1|00x00 Payload生成
1|1Windows·Linux
1|2Web
1|3Android
2|00x01 msfvenom命令参数:
3|00x02 常用系统命令
3|1uictl开关键盘/鼠标
3|2webcam摄像头命令
3|3execute执行文件
3|4migrate进程迁移
3|5clearev清除日志
4|00x03 文件类命令
4|1基本文件系统命令
4|2timestomp伪造时间戳
5|00x04 网络类命令
5|1基本网络命令
5|2portfwd端口转发
5|3autoroute添加路由
5|4利用arp_scanner、portscan等进行扫描
5|5Socks4a代理
6|00x05 信息收集
6|1信息收集的脚本位于:
6|2信息收集的脚本较多,仅列几个常用的:
7|00x06 提权
7|1getsystem提权
getsystem工作原理:
getsystem创建一个新的Windows服务,设置为SYSTEM运行,当它启动时连接到一个命名管道。
getsystem产生一个进程,它创建一个命名管道并等待来自该服务的连接。
Windows服务已启动,导致与命名管道建立连接。
该进程接收连接并调用ImpersonateNamedPipeClient,从而为SYSTEM用户创建模拟令牌。
然后用新收集的SYSTEM模拟令牌产生cmd.exe,并且我们有一个SYSTEM特权进程。
7|2bypassuac
内置多个pypassuac脚本,原理有所不同,使用方法类似,运行后返回一个新的会话,需要再次执行getsystem获取系统权限,如:
如使用bypassuac.rb脚本:
7|3内核漏洞提权
可先利用enum_patches模块 收集补丁信息,然后查找可用的exploits进行提权
8|00x07 mimikatz抓取密码
9|00x08 远程桌面&截屏
10|00x09 开启rdp&添加用户
10|1getgui命令
10|2enable_rdp脚本
脚本位于/usr/share/metasploit-framework/modules/post/windows/manage/enable_rdp.rb
通过enable_rdp.rb脚本可知:开启rdp是通过reg修改注册表;添加用户是调用cmd.exe 通过net user添加;端口转发是利用的portfwd命令
11|00x10 键盘记录
12|00x11 sniffer抓包
13|00x12 注册表操作
13|1注册表设置nc后门
14|00x13 令牌操纵
14|1incognito假冒令牌
14|2steal_token窃取令牌
15|00x14 哈希利用
15|1获取哈希
15|2PSExec哈希传递
通过smart_hashdump获取用户哈希后,可以利用psexec模块进行哈希传递攻击
前提条件:①开启445端口 smb服务;②开启admin$共享
16|00x15 添加后门维权
16|1metasploit自带的后门有两种方式启动的,一种是通过启动项启动(persistence),一种是通过服务启动(metsvc),另外还可以通过persistence_exe自定义后门文件。
persistence启动项后门
在C:Users***AppDataLocalTemp目录下,上传一个vbs脚本
在注册表HKLMSoftwareMicrosoftWindowsCurrentVersionRun加入开机启动项
连接后门
16|2metsvc服务后门
在C:Users***AppDataLocalTemp上传了三个文件(metsrv.x86.dll、metsvc-server.exe、metsvc.exe),通过服务启动,服务名为meterpreter