目录
五、后渗透攻击:信息收集
成功地对目标机器攻击渗透后还可以做什么?Metasploit提供了一个非常强大的后渗透工具——Meterpreter,该工具具有多重功能,使后续的渗透侵入变得更容易。获取目标主机的Meterpreter Shell后,就进入了Metasploit最精彩的后期渗透利用阶段,后期渗透模块有200多个,Meterpreter有以下优势。
-
纯内存工作模式,不需要对磁盘进行任何写入操作。
-
使用加密通信协议,而且可以同时与几个信道通信。
-
在被攻击进程内工作,不需要创建新的进程。
-
易于在多进程之间请迁移。
-
平台通用,适用于Windows、Linux、BSD系统,并支持Intel x86和Intel x64平台。
5.1 进程迁移
在刚获得Meterrerter Shell时,该Shell是极其脆弱和易受攻击的,例如攻击者可以利用浏览器漏洞攻陷目标机器,但攻击渗透后浏览器有可能被用户关闭。所以第一步就是要移动这个Shell,把它和目标机中一个稳定的进程绑定在一起,而不需要对磁盘进行任何写入操作。这样做使得渗透更难被检测到。
输入ps命令获取目标主机正在运行的进程,如图14所示。
图14 获取目标机正在运行的进程
输入getpid命令查看Meterpreter Shell的进程号,如图15所示。
可以看到Meterpreter Shell进程的PID为XXX,Name为,然后输入migrate 448命令把Shell移动到PID为448的Explorer.exe进程里,因为该进程是一个稳定的应用。
完成进程迁移后,再次输入getpid命令查看Meterpreter Shell的进程号,发现PID已经变成了448,说明已经成功迁移到Explorer.exe进程里,如图16所示。
进程迁移完成后,原先PID为XXX的进程会自动关闭,如果没有自动关闭可以输入kill XXX命令“杀掉”该进程。使用自动迁移进程命令(run post/windows/manage/migrate)后,系统会自动寻找合适的进程然后迁移,如图17所示,系统已经自动把原来的PID为XXXX的进程迁移到XXX中。
图17 自动进行进程迁移
