Meterpreter是Metasploit框架中的一个杀手锏,通常作为利用漏洞后的攻击载荷所使用,攻击载荷在触发漏洞后能够返回给用户一个控制通道。当使用Armitage、MSFCLI或MSFCONSOLE获取到目标系统上的一个Meterpreter连接时,用户必须使用Meterpreter传递攻击载荷。MSFCONSOLE用于管理用户的会话,而Meterpreter则是攻击载荷和渗透攻击交互
Meterpreter作为后渗透模块有多种类型,并且命令由核心命令和扩展库命令组成,极大的丰富了攻击方式。其有很多有用的功能,如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清楚应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。
Meterpreter包括的一些常见命令如下所示。
- help:查看帮助信息。
- background:允许用户在后台Meterpreter会话。
- download:允许用户从入侵主机上下载文件。
- upload:允许用户上传文件到入侵主机。
- execute:允许用户在入侵主机上执行命令。
- shell:允许用户在入侵主机上(仅是Windows主机)运行Windows shell命令。
- session -i:允许用户切换会话。
- background:将当前会话放置后台
- load/use:加载模块
- Interact:切换进一个信道
- migrate:迁移进程
- run:执行一个已有的模块,这里要说的是输入run后按两下tab,会列出所有的已有的脚本,常用的有autoroute,hashdump,arp_scanner,multi_inject等
- Resource:执行一个已有的rc脚本常用的Meterpreter类型为:payload/windows/meterpreter/reverse_tcp
针对windows操作系统,反向连接shell,使用起来比较稳定。