Meterpreter的攻击场景一般为先向被攻击系统发送一个攻击载荷(payload),该攻击载荷会反向链接到meterpreter,然后发送一个Meterpeter Server dll紧接着发送第二个dll注入攻击载荷完成一个socket的,这样服务器与客户端的meterpreter会话就生成了。
Meterpreter链接上后具有很多功能如下
基于不同的用途,这里列举这些命令的部分
|
命令类型 |
名称 |
描述 |
|
进程列表 |
getuid |
获取系统id与名称 |
|
kill |
结束进程 |
|
|
ps |
列举进程 |
|
|
getpid |
得到当前进程的pid |
|
|
键盘记录 |
keyscan_start |
开始键盘记录 |
|
Keyscan_stop |
停止键盘记录 |
|
|
keyscan_dump |
下载键盘记录 |
|
|
会话 |
enumdesktops |
枚举可访问的电脑终端 |
|
getdesktop |
获取当前桌面 |
|
|
setdesktop |
设置当前桌面 |
|
|
嗅探 |
use sniffer |
加载嗅探功能 |
|
sniffer_start |
开始嗅探 |
|
|
sniffer_stop |
停止嗅探 |
|
|
sniffer_dump |
嗅探内容存到本地 |
|
|
摄像头 |
webcam_list |
列出摄像头 |
|
webcam_snap |
获取主机快照 |
|
|
record_mic |
录音 |
1.使用sysinfo获取当前系统信息
2.获取系统桌面快照
3.Migrate pid
将当前的恶意进程附加到内部其他进程里面
4.使用webcam_list查看摄像头清单,使用webcam_snap可拍照
5.查看系统主机ID名字,使用getuid
6.通过shell命令可以直接控制windows系统
Windos系统当中多出了一个3348的进程父进程为notepad
创建系统文件目录,受害机器上已经出现此文件
7.通过run checkvm检查虚拟机
8.检查用户机器的环境变量run get_env
9.查看局域网内部的主机情况与路由表
10.启动主机系统当中的RDP协议
可以添加用户和开启RDP协议
11.修改hosts文件的内容
Run hostedit -e 127.0.0.1 www.baidu.com
12.枚举当前那些用户登录了被攻击系统
Run enum_logged_on_users
13.枚举系统当中的所有重要系统信息
通过运行不同的工具与命令、从被攻击系统当中获取飞夺多的信息。
Run wineeum