第九天作业

第九天作业

1.安装CS，写安装步骤
2.总结用户组和用户、windows信息搜集命令
3.总结手工提权思路，拿土豆提权
4.用CS插件提权，提虚拟机或本地都行
加分项：MSF提权

一、Cobalt Strike安装

服务端

在安装Cobalt Strike的时候需要安装服务端以及客户端，并且服务端必须要安装在Linux系统下，而客户端就没那么多要求。同时服务端和客户端都需要安装java运行环境。

1.下载CS文件后，将其中sever文件发送到服务端

2.赋予teamserver文件可执行权限

使用命令chmod +x teamserver

3.运行服务端

运行服务器，需要执行./teamserver IP地址 密码，IP地址即团队服务器的IP地址，密码为团队服务器的密码。CS允许团队多人协同使用。

客户端

客户端只需将client文件解压缩即可

二、总结用户组和用户、windows信息搜集命令

1.用户组和用户

net user #查看所有账户
net user 用户名 #查看用户详细信息
net user 用户名 新密码 #给用户改密码（只有管理员可使用）
net user 用户名 密码 /add（/del） # 创建（删除）用户名和密码

net localgroup #列出所有组
net localgroup 组名 /add #新建组
net localgroup 组名 #查看该组成员
net localgroup administrator 用户名 /add（/del） # 把用户添加（把用户从组中删除）到管理员组
net user 用户名 /active:yes #激活账户
net user 用户名 /active:no #禁用账户

2.Windows信息搜集命令

2.1 系统程序

net config workstation                                   # 查询简易系统信息

systeminfo                                               # 查询全部内容

wmic qfe get Caption,Description,HotFixID,InstalledOn    # 查询已安装的补丁列表

2.2 进程服务

tasklist /v                                       
# 查询正在运行的进程

wmic product get name,version                    
# 查询所有安装过的软件及版本

powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
# 使用 powershell 查询所有安装过的软件及版本，效果和 wmic 相同

wmic service list brief                           
# 查询当前机器的服务信息

wmic startup get command,caption                 
# 查看启动项

schtasks  /query  /fo  LIST /v                    
# 查看任务计划

2.3 防火墙

netsh firewall show config                                  
# 查看防火墙信息，但 firewall 命令已弃用，可使用 advfirewall 命令代替

netsh advfirewall firewall show rule name=all           
# 查看配置规则

netsh advfirewall set allprofiles state off\on              
# 关闭防火墙\开启防火墙

netsh advfirewall export\import xx.pol                      
# 导出\导入配置文件

netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block                             
# 新建规则阻止TCP协议139端口

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow                                 
 # 新建规则允许3389通过防火墙

netsh advfirewall firewall delete rule name=Remote Desktop      
# 删除名为Remote Desktop的规则

netsh interface               
# 连接安全规则配置，很少配置。

2.4 用户信息

whoami                                           # 当前用户
quser                                            # 查询登录用户，同 query user
qwinsta                                          # 查询登录用户，同 query user
query user                                      # 查询登录用户
query session                                   # 查询会话
query termserver                                 # 查询远程桌面主机列表。
net accounts                                     # 查询域密码策略
net user                                        # 查询本地用户列表
net user "$username"                             # 查询指定用户
net localgroup                                   # 查询本地用户组列表
net localgroup "$groupname"                      # 查询指定用户组成员
net group                                        # 仅域控可执行，查询用户组列表
net group "$groupname"                           # 仅域控可执行，查询用户组成员

2.5 历史操作记录

Get-History | Format-List -Property *             # 查询 powershell 当前窗口历史操作记录
Clear-History                                    # 删除 powershell 当前窗口历史操作记录
Clear-History -Id 3                               # 删除 powershell 当前窗口指定 ID 的历史操作记录
doskey /h                                         # 查看 cmd 的历史操作记录
doskey /reinstall                                 # 删除 cmd 的历史操作记录

2.6 基本搜集命令

ipconfig /all                                   # 列出当前主机详细网络信息
ipconfig  /displaydns                          # 列出dns缓存信息
route print                                     # 查询路由表
arp -a                                          # 地址解析协议缓存表
netstat -ano                                    # 端口使用情况
net share                                       # 查看共享信息
net view                                       # 查看共享资源列表
wmic share get name,path,status                 # 查看共享信息
type  c:\Windows\system32\drivers\etc\hosts   # 查看 host 文件

三、总结手工提权思路，拿土豆提权

1.手工提权思路

常用步骤

1.信息收集:收集系统信息，补丁信息，杀软等。

2.筛选可能存在的exp

3.利用exp进行攻击获取权限

补丁筛选

https://github.com/bitsadmin/wesng

使用方法

1.在⽬标主机上执⾏systeminfo，复制输出信息到本机
2.在本机执⾏以下命令
python wes.py systeminfo.txt --color
python wes.py systeminfo.txt --color -i "Elevation of Privilege"

3.根据漏洞编号寻找可利用脚本EXP，注意选择与目标系统架构和版本相匹配的EXP。

4.将EXP上传到目标系统，并寻找合适的方式执行它。

5.成功执行EXP后，将获得更高的权限，但为避免漏洞被修复或被管理员发现，应寻找权限维持的办法。

EXP获取

https://github.com/Ascotbe/Kernelhub
http://kernelhub.ascotbe.com/Windows/Docs/#/
https://github.com/SecWiki/windows-kernel-exploits
https://github.com/nomi-sec/PoC-in-GitHub
https://gitlab.com/exploit-database/exploitdb

土豆家族

GodPotato
https://github.com/BeichenDream/GodPotato
SweetPotato
https://github.com/CCob/SweetPotato
BadPotato
https://github.com/BeichenDream/BadPotato
RoguePotato
https://github.com/antonioCoco/RoguePotato
CandyPotato
https://github.com/klezVirus/CandyPotato
EfsPotato
https://github.com/zcgonvh/EfsPotato
MultiPotato
https://github.com/S3cur3Th1sSh1t/MultiPotato
RasmanPotato
https://github.com/crisprss/RasmanPotato
PetitPotato
https://github.com/wh0amitz/PetitPotato
JuicyPotatoNG
https://github.com/antonioCoco/JuicyPotatoNG
PrintNotifyPotato
https://github.com/BeichenDream/PrintNotifyPotato
CoercedPotato
https://github.com/Prepouce/CoercedPotato

2.使用土豆进行提权

此处由于对Windows 11提权失败，使用土豆对Windows server 2012进行提权。

此处使用printnotifyPotato

命令：.\PrintNotifyPotato-NET2.exe whoami

可以看到提权成功。

四、用CS插件提权

1.客户端打开CS，输入配置信息，连接到团服务器

2.创建监听器

3.点击有效载荷，选择生成Windows可执行文件，生成木马文件，选择监听者为刚刚创建的监听者。

4.将该木马文件上传至Windows Server 2012中，运行该木马文件，可以在客户端出现会话

5.选择监听会话，右键选择插件梼杌，选择juicypotato进行提权，可见提权成功。