Meterpreter后渗透测试
特征
Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个 meterpreter shell 的链接。Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开 shell、得到用户密码、上传下载远程主机的文件、运行 cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和 IP 地址等信息。另外 Meterpreter 能够躲避入侵检测系统。在远程主机上隐藏自己,它不改变系统硬盘中的文件,因此 HIDS(基于主机的入侵检测系统)很难对它做出响应。此外它在运行的时候系统时间是变化的,所以跟踪它或者终止它对于一个有经验的人也会变得非常困难。最后,Meterpreter 还可以简化任务创建多个会话,可以来利用这些会话进行渗透。
Meterpreter工作优点
1、不创建进程(使用的内存注入方式)
2、Meterpreter 是一个解释器加载各种攻击命令
3、工作在被攻击进程的上下文中
4、通信是加密的(TLV协议),可以躲避 IDS
5、没有硬盘写入操作
6、使用的通信方式是信道模式,可以同时和几个信道工作,支持多信道
7、支持扩展编写
Meterpreter工作过程
1、漏洞的利用代码+第一阶段的攻击载荷
2、攻击载荷反向连接到 msf
3、发送第二阶段