关闭UAC

如果你获得一个system权限的session

进入到这个session

进入到shell

依次输入以下命令

cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

让目标主机重启

UAC就关闭了

获取用户和hash

再建立连接

使用hash值进行登录

设置目标主机IP，目标主机用户名和密码hash值

设置反弹payload

设置目标IP

exploit成功是在关闭UAC的前提下

远程关掉防火墙

如果你获得一个system权限的session

进入到这个session

进入到shell

远程关掉防火墙

被攻击主机的防火墙就关闭了

远程开启防火墙

防火墙就开启了

远程关掉服务

被攻击者的windefend服务是开启的

远程关闭这个服务

被攻击者的windefend服务就被关闭了

远程关掉磁盘加密

远程关闭DEP

DEP内存防护机制，如果DEF开启的话很多漏洞利用的工具就无法使用

远程关闭防病毒软件

开启远程桌面服务

就可以看到被攻击者已经被开启了远程桌面

攻击者再开一个终端，连接远程桌面

关掉远程桌面

还可以使用run getgui 开启远程桌面

远程桌面截图

或者用一个插件

获取tooken

用户每次登陆，账号绑定临时的token，访问资源时提交token进行身份验证，类似于web cookie

tooken分为三种：

delegate token：交互登陆会话

impersonate token：非交互登陆会话

delegate token：账号注销后变为impersonate token ，权限依然有效

如果有一个system权限的session

查看tooken

伪装成域管理权限的账号

就拥有了域管理权限

使用这个token执行cmd ,-h可以查看用法

添加一个管理员a，密码也是a