metasploit后渗透入门--meterpreter

0x01利用漏洞拿到Meterpreter。

将存放在桌面上的exploit文件复制到metasploit系统指定的exploits存储路径中，并将exploit的属性设置为644.
cp ~/Desktop/ms14_064_ole_exploit.rb /usr/share/metasploit-framework/modules/exploits/windows/browser/
chmod 644 ms14_064_ole_exploit.rb

在启动的metasploit中使用reload_all加载刚刚添加的exploit，加载完成后发现exploit从1347增加到1348。搜索得到ms14_064 exploit的路径。
reload_all
search ms14_064

并进行利用

Win8机器上访问相关uri会显示如下页面

同时linux下会显示

出现上图则说明我们拿到了meterpreter。
大部分同学使用metasploit到这儿就停止了，其实接下来可以做的工作还有好多呢。

0x2利用meterpreter进行进一步深入地信息搜集

使用env模块：收集并显示靶机系统上的操作系统环境变量

Checkvm模块：检查靶机是否为虚拟机。此模块支持Hyper-V、VMware、VirtualCenter、Xen和QEMU虚拟机。

credential_collector模块：获取受感染主机上的密码哈希和令牌token。

enum_Applications模块：枚举列出安装在靶机上的应用程序

Enum_logged_on_users模块：返回当前和最近登录的用户的列表

Usb_history模块：列出在靶机系统上usb驱动的历史

enum_Applications模块：枚举安装在靶机上的应用程序。

Enum_drives: 查看分区情况

0x2迁移会话，后台运行会话以及针对靶机的操作后台运行及返回会话：

Ctrl+z（也可直接使用background命令）：将meterpreter终端隐藏在后台运行

迁移会话：
Migrate模块：迁移到指定的进程，如果没有指定的进程，将自动生成一个新进程并迁移到它
（应用场景：如果反弹的meterpreter会话是对方打开了一个你预置特殊代码的word文档（比如最近几个月的office的CVE）而产生的，那么对方一旦关闭掉word文档，我们获取到的meterpreter会话就会随之关闭，所以把会话进程注入到其他常见的系统进程如explorer.exe是一个好方法）
下图展示的是自动生成新进程并进行迁移

迁移进程后，可以试试dumplinks模块：获得目标主机最近进行的系统操作，访问文件和office文档操作记录

因为在试验环境下，所以查找不到相关记录

delete_user模块：从受感染的系统中删除指定的用户帐户。
首先切换回win8环境
创建新用户

接下来运行模块

再回到windows可以看到创建的用户被删除了

multi_meterpreter_inject模块：注入一个给定的有效载荷到靶机的进程中。如果没有指定PID值，将创建一个新进程并注入有效负载。

接下里按照前面实验的操作，同样先隐藏会话
然后使用connect执行靶机ip，端口进行连接

这样就弹回了cmd

键盘记录器在当年盗号横行的年代可谓非常火爆，其实meterpreter中也有相关的后渗透模块：
Keylog_recorder:记录靶机键盘输入

指定会话进行键盘输入的记录

在靶机上我们随意输入：

输入完毕后按ctrl+c停止记录。此时靶机上的键盘输入已经被保存在相关路径了。我们可以使用cat看看

可以看到确实被记录了

内网扫描以及远程控制

autoroute模块：通过Meterpreter会话创建一个新的路由，从而能够更深入地进入目标网络。（此处假设C段为192.168.218.0~255）

Ctrl+z隐藏会话

设置好新路由后进行扫描

植入后门实施远程控制：
通过在meterpreter会话中运行persistence后渗透攻击模块，在目标主机的注册表值 HKLM\Software\Microsoft\Windows\Currentversion\Run中添加键值，达到自启动的目的，-X参数指定启动的方式为开机自启动，-i的参数指定反向连接的时间间隔。然后遍历meterpreter客户端，在指定回连的443端口进行监听，等待后门重新连接

可以在win8下看到成功植入后门