根据应急响应当中众多样本分析发现许多广泛传播的病毒利用了一些windows自己的内部功能特征,如Powershell与wmi等系统功能,且流行度也越来越高已经出现了一些针对内网的渗透框架形成成熟利用框架。
0x2 常见的攻击框架
Nishang(Powershell Penetration Testing Tools
Powershell用于渗透测试其实早在多年前就已经被提出了。利用Powershell,攻击者可以在无需接触磁盘的情况下执行命令等,并且相较已经被大家广泛关注并防御的Cmd而言,Powershell并非那么的引人瞩目。Nishang是基于PowerShell的渗透测试专用工具。它集成了框架、脚本和各种payload,能够帮助渗透测试人员在对Windows目标的全过程检测中使用,是一款来源于作者实战经历的智慧结晶。至今,Nishang最新版本已为v0.67了。
主要功能如下:
PowerShell Empier
针对windows系统平台而打造的一款渗透工具。在PowerShell方面,帝国实现了无需powershell.exe即可运行PowerShell代理的功能,可快速部署的开发后的模块从按键记录到Mimikatz,可逃避网络检测的能力,适应性强的通信,都包裹在易用性为重点的框架,有点类似于像meterpreter。
列出大类模块如下
code_execution #代码执行
Collection #信息收集模块、屏幕截图、键盘记录 、剪贴板记录等
Credential s #密码凭据的获取和转储
exfiltration #指定ip进行端口扫描
lateral_movement #横向渗透模块
Management #用来执行些系统设置,和邮件信息的收集
Persistence #权限维持工具
privesc #权限提升
recon #侦察
situational_awareness #评估主机运行环境,网络运行环境
trollsploit #恶作剧
Metasploit
Metasploit是一款开源安全漏洞检测工具,附带数百个已知的软件漏洞,并保持频繁更新。被安全社区冠以“可以黑掉整个宇宙”之名的强大渗透测试框架。
这种可以扩展的模型将负载控制(payload)、编码器(encode)、无操作生成器(nops)和漏洞整合在一起,使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。
目前的版本收集了数百个实用的溢出攻击程序及一些辅助工具,让人们使用简单的方法完成安全漏洞检测,即使一个不懂安全的人也可以轻松的使用它。当然,它并不只是一个简单的收集工具,提供了所有的类和方法,让开发人员使用这些代码方便快速的进行二次开发。
大致功能结构如下:
0x3 内网安全常见的安全工具
Mimikatz(咪咪猫)
mimikatz是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点也是让阿刚最感兴趣的就是他可以直接从 lsass中获取当前处于Active系统的登录密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而mimikatz正是通过对lsass的逆算获取到明文密码.
Lcx
Lcx.exe是一个端口转发工具,相当于把肉鸡A上的3389端口转发到具有外网IP地址的B机上,这样连接B机的3389端口就相当于链接A机的3389端口。Lcx程序多用于被控制计算机(肉鸡)处于内网的情况,被控制机可能中了木马程序,虽然能够进行控制,但还是没有使用远程终端登陆到本机进行管理方便,因此在很多情况下,都会想方设法在被控制计算机上开启3389端口,然后通过lcx等程序进行端口转发,进而在本地连接到被控制计算机的远程终端并进行管理和使用。
psexec.exe
PsExec 最强大的功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。
原文链接:https://blog.csdn.net/momo_sleet/article/details/81664120如有侵权,请联系删除
好文推荐
欢迎关注 系统安全运维
如有侵权请联系:admin#unsafe.sh