现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队“设为星标”,否则可能就看不到了啦!
背景介绍
许多师傅加入星球后还不知道工具如何搭使用才能发挥最大的效果,另外对内网的一些渗透手法还不熟悉,请看下面教程。获取方式:连同cobaltstrike4.9.1二开版本、免杀插件、过火绒6配置文件 以及其他发布的工具都放在了内部星球里。
常用手法
1.首先当我们找到文件上传漏洞时,可以使用以下星球工具上传webshell,或者直接加载shellcode上线cobaltstrike。
推荐文章:【新增PHP类型】蚁剑 | 哥斯拉免杀 过雷池、D盾、安全狗的 XlByPassWAF v1.1已更新!
XlByPassBehinder
XlByPassGodZilla
XlByPassWAF
aspx加载shellcode上线cobaltstrike
jsp加载shellcode上线cobaltstrike
2. 当我们获取到webshell权限后,发现目标系统上含有360安全卫士软件,可以使用一键kill360工具,强制退出360进程。
推荐文章:【免杀】R3用户层一键击溃360+核晶
3.然后获取目标图形化桌面,两种方式:
一种通过抓取lsass.exe进程,然后dmp内存,然后使用mimikatz进行解密,获取明文密码,如果是密文形式就需要利用到md5.com网站进行解密。
推荐文章:【免杀】基于fscan 过360核晶、火绒的xlscan v1.2 介绍!
xlscan.exe -k 123 -rls allxlscan.exe -k 123 -rld 1726670123424.dmp
mimikatz.exe "sekurlsa::minidump 1726671241489.dmp" "sekurlsa::logonPasswords full" "exit"第二种方式是通过静默安装Todesk远控软件,360不会拦截,安装完会自动运行todesk,使用以下命令:
ToDesk_Setup.exe /S然后可以使用xlscan工具中的一键获取todesk/向日葵 账户密码功能(当然大概率目标系统上含有todesk或者向日葵进程可以跳过第一步):
xlscan.exe -k 123 -rts all最后直接通过设备代码和密码直接连接目标机器。
4. 然后就是对内网进行扫描,可以图形化使用xlscan进行扫描,也可以以命令行的方式进行扫描。
5.如果在内网横向的时候内网机器不出网,可以在获取权限的机器上使用chfs开启轻型web服务,用于放置工具进行内网横向移动。
推荐文章:【文末获取】chfs文件共享工具 | 解决横向移动时 不出网机器文件下载困难问题
6.如果想对目标内网流量进行转发,可以使用Xl-Neoreg工具对流量进行正向代理。
推荐文章:【正向代理】基于Neo-reGeorg过D盾、安全狗、360、火绒的Xl-Neoreg v1.1已更新!
或者可以采用xlfrpc工具对流量进行反向代理。
推荐文章:【免杀】基于frp 过360、火绒、微软的xlfrc正式发布!
最后:由于kill掉360程序,后续可以上线cobaltstrike进行多人协同配合,这样更省时间,效率更高!
推荐文章:【免杀】CobaltStrike4.9.1二开 | 自破解 免杀 修复BUG
圈子介绍
博主介绍:
目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。
目前已经更新的免杀内容:
一键击溃360+核晶
CobaltStrike4.9.1二开
CobaltStrike免杀插件
aspx文件自动上线cobaltbrike
jsp文件自动上线cobaltbrike
哥斯拉免杀工具 XlByPassGodzilla
冰蝎免杀工具 XlByPassBehinder
冰蝎星落专版 xlbehinder
正向代理工具 xleoreg
反向代理工具xlfrc
内网扫描工具 xlscan
CS免杀加载器 xlbpcs
Todesk/向日葵密码读取工具
导出lsass内存工具 xlrls
绕过WAF免杀工具 ByPassWAF
等等...
目前星球已满100人,价格由198元调整为208元(交个朋友啦),200名以后涨价至238元!
关注微信公众号后台回复“入群”,即可进入星落安全交流群!
往期推荐
1.【免杀】ASPX文件加载shellcode实现CobaltStrike上线
2.【免杀】JSP文件加载shellcode自动化实现CobaltStrike上线
4.【免杀】CobaltStrike4.9.1二开 | 自破解 免杀 修复BUG!
【声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!
