*本文原创作者:亚信安全(企业账号),本文属FBuf原创奖励计划,未经许可禁止转载
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powrshll很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。
拓扑设计拓扑介绍其中..1.0/24模拟的是公网的环境
.21..0/24模拟的是企业内网的环境
边界wb服务器双网卡(公网的:..1.,和内网的.21..),而且为了最基本的安全保障,wb边界服务器设置了防火墙,此防火墙对外网只开放80,81,端口,对内网开放所有端口,上面还装有杀毒软件。
内网还布置若干台wb服务器,一台旁路告警设备(ips),他们都可以连接到外网,但是外网访问不到内部的任何wb服务器
其中wb服务器(linux)(.21..)前面放置防火墙,不可以被内网的其他wb服务器访问到,但是它可以访问到内网的其他服务器,并且能够连接到外网。这套环境里面的..1.是黑客的kali攻击机,..1.是黑客的windows攻击机
科普下nishang和PowrSploit
1、Nishang是基于PowrShll的渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编写的,具有实战价值。包括了下载和执行、键盘记录、dns、延时命令等脚本
2、PowrSploit是又一款PostExploitation相关工具,PostExploitation是老外渗透测试标准里面的东西,就是获取shll之后干的一些事情。
PowrSploit其实就是一些powrshll脚本,包括Injct-Dll(注入dll到指定进程)、Injct-Shllcod(注入shllcod到执行进程)、Encrypt-Script(文本或脚本加密)、Gt-GPPPassword(通过groups.xml获取明文密码)、Invok-RvrsDnsLookup(扫描DNSPTR记录)
渗透开始首先边界wb服务器上fastcgi配置错误,导致服务器被gtshll因为网上的菜刀好多都有后门,所以我用开源的CKnif(介绍女性白癜风的发病原因皮肤白癜风的治疗方法