维护访问方法
在上一节中,我们已经看到当目标用户重新启动计算机时,我们就会失去连接。我们使用了一个普通的后门程序,这就是为什么当计算机重新启动时,后门程序将被终止,进程将被终止,我们将失去连接。但在本节中,我们将讨论如何维持对目标计算机的访问的方法。我们将使用之前创建的普通HTTP反向Mterepreter不可检测的后门。将它作为一项服务注入,以便每次目标用户运行他们的计算机时它都会运行,它会尝试以一定的间隔连接回我们。为此,我们将运行后台命令并与数字2
上的会话进行交互。
我们将使用命令use exploit/windows/local/persistence
运行一个模块。它就像Metasploit附带的多处理程序模块。执行此命令后,运行show options
命令以查看需要配置的内容,如以下屏幕截图所示:
我们首先来看看DELAY,它是目标尝试连接回我们的秒数。设置为10
,表示每10秒,目标计算机将尝试连接回我们。现在,我们将设置EXE_NAME
。它是在连接响应的进程下显示的名称。我们会将EXE_NAME
设置为browse.exe
以降低其可检测性。命令如下:
将安装后门或有效负载的PATH,它将保持不变。REG_NAME是注册条目,它也将保持不变。SESSION指定会话,如果运行session -l
命令,它将列出可用会话,如以下屏幕截图所示:
现在使用以下命令将SESSION设置为2
:
set SESSION 2
对于用户权限,STARTUP将保留为USER。现在运行show options
。在下面的屏幕截图中,我们可以看到browser.exe
和会话号2设置正确:
现在,我们将指定将作为服务注入的有效负载。为此运行show advanced
命令,它将向我们显示可以为此特定模块设置的高级选项。在下面的屏幕截图中,我们只对EXE::Custom
感兴趣,这表明我们将使用自定义.exe
作为服务运行并注入目标计算机:
我们将EXE::Custom
设置为/var/www/html/backdoor.exe
,以便可以运行存储在/var/www/html/backdoor.exe
中的后门程序。命令如下:
现在运行show advanced
命令,并看到它已正确设置,如以下屏幕截图所示:
现在,我们运行exploit
命令。它会将/var/www/html/backdoor.exe
上传到目标计算机上,使用我们指定的会话,即2。在下面的屏幕截图中,可以看到它已上传并安装:
如果不再需要目标计算机上的后门,可以使用资源文件将其删除。可以将前面屏幕截图中显示的RC文件存储到Leafpad中,以便以后可以运行它并删除后门程序。
如果运行session -l
命令,它将显示可用的会话,我们可以与它进行交互。使用session -k
命令,可以终止该会话。
现在,如果运行list
命令,我们将看到没有与目标计算机的连接。使用exploit多处理程序,我们可以监听传入的连接。
如果运行exploit,并且被黑客入侵的计算机已经启动,将立即获得连接,因为目标已经在reverse_http
上的端口8080上注入目标计算机。现在确定,我们将启动Window机器。为了确保始终与它建立连接,我们将重新启动目标Windows计算机。无论Windows机器关闭或重启多少次,Kali机器每隔10秒就会尝试连接回它。现在将运行Meterpreter处理程序并等待连接。然后运行exploit命令进行监听,最多需要10秒才能恢复连接。在下面的屏幕截图中,我们可以看到收到了与目标计算机的连接,现在可以完全访问该计算机: