初探Meterpreter(一)

1.Meterpreter是什么?

仅仅是驻留在内存的shellcode。。

大概长这个样子:

它比一般的攻击手法要好一些,一般的payload是这么工作的:

但这样的坏处:

meterpreter的优点:

2.Meterpreter常用命令

基本命令:

文件系统命令:

网络命令:

系统命令:

写到这,我们给命令们排个龙虎榜吧:

第一名:ps + migrate ,因为我们是通过IE进来的,如果IE关掉了呢?如果它再也不访问那个hook页面了,我们岂不是再也get不了shell了。。

所以应该早早移植到别的进程空间,如Explorer.exe,这它不去关掉吧。。

第二名:execute ,能cmd.exe

第三名:portfwd ,端口转发,现实中基本都是要转发的~

看官们,如果你不同意我的看法,可以评论,发表下你的观点哦~~

3.Meterpreter与后渗透攻击模块

一直以为 Meterpreter == Metasploit后渗透攻击模块,结果不是这样的。

科普下Metasploit渗透测试平台的组成:

Meterpreter 是Metasploit的一个payload,只是比较强大很多而已。它与后渗透模块的关系就是,前者是后者的 实施通道

后攻击模块使用ruby写的,目标机上很可能没有ruby解释器,那怎么玩?

1)测试是不是虚拟机:

如果是虚拟机,热情就下降了。。

也很可能是蜜罐。。

2)安装后门方法一:

然后它就在目标机的C:/windows/Temp/下建立一个vbs文件,开机会启动这个文件

上面的vbs的确存在,并且开机启动也有,但是就是有:

这个问题,百度后发现都是说出现这情况是中毒中马,然后教大家删东东,删自启动。。

为什么meterpreter出品的东西会在xp下这么容易暴露呢?

追查了下,NTVDM是win 16虚拟机的一部分,是win 为了向下兼容16位程序的虚拟机。

但是还是提到这么回事?

这里留个坑吧,路过的大神,如果看到,可以给我回答吗?

3)安装后门方法二:

监听:31337

上传了三个dll文件

然后就在目标机器上多了一个 自启动的服务:Meterpreter。。。

 

然后连接:

觉得没什么用,不就是建立账户+加入组:”Remote Desktop Users” 和 “Administrators”,然后3389连接,如果内网就portfwd。。

这里的没什么用还得对面必须开启了3389。。

如果没出问题的话,应该是添加了用户aa,密码为123qwe,并把它加入到那两个组中。。

然后:

连上~

如果在内网,那么就先端口转发:

via@【 emaster