它实际是metasploit的一种载荷,它在攻击系统上运行但是并没有安装在系统里,而是加载在内存里。比如反弹shell的实验中,会建立的会话就显示metaprete,再比如MS17_010。
Meterpreter 会与攻击者的系统建立一个加密的(TLS)通信通道。
下面是metaprete能生效的系统:
metaprete相关命令:
核心命令
background:背景当前会话 //可以通过sessions -i 进入会话exit:终止Meterpreter会话guid: 获取会话GUID (Globally Unique Identifier)help:显示帮助菜单info: 显示有关 Post 模块的信息irb:在当前会话中打开交互式 Ruby shellload: 加载一个或多个 Meterpreter 扩展migrate: 允许您将 Meterpreter 迁移到另一个进程run: 执行一个 Meterpreter 脚本或 Post 模块sessions:快速切换到另一个会话
文件系统命令
cd: 会改变目录ls: 将列出当前目录中的文件(dir 也可以)pwd: 打印当前工作目录edit: 将允许您编辑文件cat: 将文件的内容显示到屏幕上rm: 将删除指定的文件search:将搜索文件upload: 将上传文件或目录download: 将下载一个文件或目录
联网命令
arp:显示主机ARP(地址解析协议)缓存ifconfig:显示目标系统上可用的网络接口netstat:显示网络连接portfwd:将本地端口转发到远程服务route:允许您查看和修改路由表
系统指令
clearev:清除事件日志execute: 执行命令getpid: 显示当前进程标识符getuid: 显示 Meterpreter 正在运行的用户 //清楚当前权限kill: 终止进程pkill: 按名称终止进程ps:列出正在运行的进程 //列出进程的信息,方便迁移metaprete到别的进程,进行伪装reboot:重新启动远程计算机shell:进入系统命令外壳shutdown:关闭远程计算机sysinfo: 获取远程系统的信息,例如OS
其他命令(这些将在帮助菜单的不同菜单类别下列出)
idletime:返回远程用户空闲的秒数keyscan_dump:转储击键缓冲区keyscan_start:开始捕获击键keyscan_stop: 停止捕获击键screenshare:允许您实时观看远程用户的桌面screenshot:抓取交互式桌面的屏幕截图record_mic:从默认麦克风录制音频 X 秒webcam_chat:开始视频聊天webcam_list:列出网络摄像头webcam_snap:从指定的网络摄像头拍摄快照webcam_stream:播放来自指定网络摄像头的视频流getsystem:尝试将您的特权提升到本地系统的特权hashdump: 转储 SAM 数据库的内容
迁移:更好的伪装,或者借助别的进程进行后渗透,使用命令 migrate pid(进程号) 进行迁移。
哈希转储:hashdump命令
搜索:search
getshell:shell
metaprete可以加载kiwi、python:
Kiwi主要针对Windows域环境中的安全问题进行研究和演示,可以用于渗透测试、红队操作和安全研究等领域。
只需要 在 metaprete 界面输入load kiwi即可。
演示:
获得一个metaprete会话后:
1.sysinfo 查看计算机的相关信息;
2.post/windows/gather/enum_domain 使用该模块来查看目标域。此时需要隐藏会话,但是要记住session id
3.post/windows/gather/enum_shares 使用该模块查看共享名称