meterpreter是我最喜欢使用的攻击payload,经常都会使用windows/meterpreter/reverse_tcp作为携带的payload来进行测试,下面就meterpreter的基本使用进行一个总结:
(1)meterpreter的技术优势:
1.平台通用性
2.纯内存工作模式,执行漏洞渗透攻击的时候么会直接装载meterpreter的动态链接库到目标进程的空间中。这样使得meterpreter启动隐蔽,很难被杀毒软件检测到
3.灵活且加密的通信协议
4.易于扩展
(2)meterpreter的基本命令:
获得meterpreter的shell之后可以通过输入?来获取meterpreter的基本命令介绍:
下面就简单介绍几个不熟悉的命令:
1.getwd命令:可以获取当前目标机器的工作目录,也可以获得当前系统的工作目录:
2.upload命令:可以上传文件或文件夹到目标机器:
3.download命令:从目标机器上下载文件夹或者文件到攻击机:
4.search命令:支持对远程目标机器上的文件进行搜索:
5.portfwd命令:这个是meterpreter内嵌的端口转发器,一般在目标主机开放的端口不允许直接访问的情况下使用;比如当目标主机开放的远程桌面3389端口只允许内网访问,这是可以使用portfwd命令进行端口转发,已达到直接访问目标主机的目的。
这样就把远程主机的3389的端口映射到本机的1235号端口,之后通过rdesktop就可以访问本机1235号端口来访问远程主机的3389号端口。
6.route命令:可以查看路由
7.ps命令可以用来获取目标主机上正在运行的进程信息:
8.migrate命令,将当前meterpreter会话从一个进程移植到另外一个进程的内存空间中,
通过ps命令可以看到QQ.exe的pid是10652
然后用migrate命令,将会话移植到qq.exe这样,只要qq一直运行,当前的meterpreter会话就不会中断。常常利用此命令将meterpreter移植到一些一直不会关闭的进程中,可以最大程度的保证meterpreter的寿命。
9.execute命令:可以在目标机中执行文件