📅  最后修改于: 2020-12-23 10:04:51             🧑  作者: Mango
在本节中,我们将学习如何与Metasploit的Meterpreter进行交互。在Linux中, help命令用于获取有关特定命令的信息。因此,我们要做的第一件事是运行help命令,以获得可以运行的所有命令的大列表。它还告诉我们每个命令的功能描述,如以下屏幕截图所示:
我们要强调的第一件事是背景命令,如以下屏幕截图所示:
后台命令基本上用于后台当前会话而不终止它。此命令与最小化窗口非常相似。因此,在运行后台命令之后,我们可以返回Metasploit并运行其他命令以进一步利用目标计算机,从而保持与刚被黑客入侵的计算机的连接。我们将使用sessions -l命令来查看我们正在使用的所有计算机和会话的列表。在下面的屏幕截图中,我们可以看到我们仍然有Meterpreter会话,它位于我们的设备10.0.2.15和目标设备10.0.2.5之间:
如果要返回到上一个会话以再次运行Metasploit,则必须使用-i (用于进行交互)运行sessions命令,然后输入ID(即2) ,如以下屏幕截图所示:
每当入侵系统时,我们将运行的另一个命令是sysinfo命令。 sysinfo命令向我们显示有关目标计算机的信息。在下面的屏幕截图中,我们可以看到它显示了计算机的名称,操作系统和体系结构。我们还可以在下面的屏幕快照中看到它是一台64位计算机,因此,如果我们以后希望在目标计算机上运行可执行文件,我们知道我们将创建64位可执行文件:
我们可以看到它使用英语,计算机正在工作的工作组以及登录的用户ID。我们还可以看到目标计算机上正在运行的Meterpreter版本,它实际上是32位版。
另一个有用的信息收集命令是ipconfig 。 ipconfig命令向我们显示了连接到目标计算机的所有接口,如以下屏幕快照所示:
在上面的屏幕截图中,我们可以看到接口1 ,连接到多个网络的MAC地址,IP地址甚至IPv4地址。我们还可以看到所有接口以及如何与它们交互。
用于信息收集的另一个有用的命令是ps命令。 ps命令列出了目标计算机上正在运行的所有进程。这些进程可能是后台进程,也可能是作为Windows程序或GUI在前台运行的实际程序。在下面的屏幕截图中,我们将看到所有正在运行的进程的列表,以及每个进程的名称和ID或PID :
一个有趣的过程是explorer.exe 。它是Windows的图形界面。在前面的屏幕截图中,我们可以看到它正在PID 4744上运行,如以下屏幕截图所示:
当我们侵入系统时,最好将人员正在运行的进程迁移到更安全的进程中。例如,进程explorer.exe是Windows的图形界面,并且只要用户使用其设备,该进程就始终在运行。这意味着此过程比我们访问计算机的过程安全得多。例如,如果我们通过程序或可执行文件获得访问权限,那么当该人关闭该程序时,我们将丢失该过程。更好的方法是迁移到不太可能终止或关闭的进程。为此,我们将使用migration命令,该命令会将当前会话移至另一个进程。我们将使用进程explorer.exe ,因为它是安全的。
我们将使用migration 4744命令,其中4744是explorer.exe进程的PID。命令如下:
那时,Meterpreter正在explorer.exe进程中运行。现在,如果我们转到目标计算机上的任务管理器并运行“资源管理器” ,然后转到“网络”选项卡并转到“ TCP连接” ,就可以看到端口8080上的连接来自explorer.exe进程,如以下屏幕截图所示:
因此,对于目标计算机而言,它不是来自后门,我们的有效负载,一个恶意文件,而是通过explorer.exe运行的,该文件对于目标计算机而言并不可疑。现在,如果我们看到Chrome或Firefox,便可以迁移到这些进程。而且,如果我们使用端口8080或80进行连接,则它看起来似乎更加可疑,因为Web服务器使用端口8080或80 ,因此通过它们进行连接是很自然的。