用户
搜索
  • TA的每日心情

    2018-11-8 20:48
  • 签到天数: 15 天

    连续签到: 1 天

    [LV.4]经常看看II

    安全团队

    www.hackjie.com

    Rank: 7Rank: 7Rank: 7

    6

    主题

    99

    帖子

    356

    魔法币
    收听
    1
    粉丝
    0
    注册时间
    2016-5-25

    安全团队

    发表于 2021-11-16 10:56:27 02647
    相信大家做一些项目,在获取到pc权限后,翻翻文件,查查浏览器记录,但是有些浏览器的账户密码,读取不出来,一些基于key验证的应用提取不出来,如果权限比较高或者过uac的情况下,我们也可以抓取用户的流量,把他提取出来


    [color=rgba(255, 255, 255, 0.6)]0x01 netsh介绍


    工具涉及系统版本
    Windows 7/8.x/10 所有版本
    Windows Server 2008 R2/2012/2012 R2/2016/2019

    netsh(Network Shell) 是一个windows系统本身提供的功能强大的网络配置命令行工具。
    0.jpg

    [color=rgba(255, 255, 255, 0.6)]0x02 netsh使用


    常用的命令

    1,利用netsh 查看本机ip
    netsh interface ip show address
    2,查看防火墙状态  /防火墙设置的类型
    netsh firewall show stat
    netsh advfirewall show allprofiles
    3,启动/关闭防火墙 (需要高权限),注意不同系统版本不同
    netsh firewall set opmode disable //关闭
    netsh advfirewall set allprofiles state off //关闭防火墙
    netsh firewall set opmode enable  //开启
    netsh advfirewall set allprofiles state on //开启防火墙
    4,netsh端口映射/转发 内网渗透常用
    netsh interface portproxy add v4tov4 listenport=绑定的端口 connectaddress=被攻击者服务器ip connectport=被攻击者服务端口

    netsh interface portproxy show all //查看转发规则

    将本地的8080端口的数据转发至192.168.10.10上的8080端口,也可以转发到其他外网ip
    netsh interface portproxy add v4tov4 listenport=8080 connectaddress=192.168.10.10 connectport=8080
    5,netsh 出站入站,进程规则 内网渗透常用
    netsh advfirewall firewall add rule name=test dir=in action=allow protocol=tcp localport=333
    添加入站规则
    netsh advfirewall firewall delete rule name=test dir=in protocol=tcp localport=333
    删除入站规则

    netsh advfirewall firewall add rule name=test dir=out action=allow protocol=tcp localport=333
    添加出站规则
    netsh advfirewall firewall delete rule name=test dir=out protocol=tcp localport=333
    删除出站规则

    netsh advfirewall firewall add rule name=test dir=in action=allow program=c:\nc.exe
    添加入站程序规则
    netsh advfirewall firewall delete rule name=test dir=in program=c:\nc.exe
    删除入站程序规则

    netsh advfirewall firewall add rule name=test dir=out action=allow program=c:\nc.exe
    添加出站程序规则
    netsh advfirewall firewall delete rule name=test dir=out program=c:\nc.exe
    删除出站程序规则
    6,netsh抓包(需要过uac,高权限)
    netsh trace start capture=YES report=YES persistent=YES //开启
    netsh trace stop //停止
    停止生成两个文件,后缀为:cab , etl
    1.jpg
    注意,生成的cab文件,可以用压缩包打开,打开report.xml可以看到电脑的基本信息
    2.jpg


    生成的 etl,后缀的文件,可以用 windows message analyze 打开(注意微软官网已经暂停下载应用,下载软件应注意来源)

    用windows message analyzer打开 -> 等待加载完成 -> 转换为cap文件 -> 使用wireshark分析即可
    3.jpg

    打开etl文件 后

    点击如下,导出即可(报错不用管)
    File -> Save As -> Export

    4.jpg


    精品书籍免费送!
    1716dcddfcd6f0ce398121f923e0792.png

    快来扫码添加柴柴,发送“win黑客”进行领取吧!
    柴柴二维码.jpg


    https://www.hackjie.com
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册