钓鱼上线的主机如何进行利用

1. 权限维持和环境侦察

首先，你需要确保这条“上线”的连接不会轻易中断，并尽可能地了解你所处的新环境

• 持久化：这是首要任务。如果你的初始 Shell 仅仅是一个内存中的进程，一旦机器重启或程序关闭，连接就会丢失。你需要将后门永久地植入系统
  • 常见方法：利用 注册表启动项、计划任务或服务。虽然这些方法可能被安全软件拦截，但你必须尝试，并结合 无文件技术，例如让启动项执行一个从你服务器下载并反射加载的 PowerShell 脚本
• 信息收集：你需要像侦探一样，了解这台主机的一切
  • 用户信息：whoami、whoami /all，查看当前用户的权限。是普通用户还是管理员？
  • 网络信息：ipconfig /all、route print，了解主机的 IP 地址、子网掩码、网关和路由表。这能帮助你绘制网络拓扑图
  • 域环境：net user /domain、net group "domain computers" /domain，判断主机是否在域内，以及当前用户是否是域用户。如果主机在域内，那么你的攻击范围将大大扩展
  • 系统信息：systeminfo，了解操作系统版本、补丁情况
  • 杀毒软件：tasklist 或 Get-Process，检查是否有安全软件正在运行，这决定了你下一步的行动风险