Windows注册表是一个神奇的地方,只需几个按键,就可以使系统几乎不可用。所以,在下一节中要非常小心,因为错误可能会很痛苦。
Meterpreter为注册表交互提供了一些非常有用的功能。让我们看看选项。
meterpreter > reg
Usage: reg [command] [options]
Interact with the target machine's registry.
OPTIONS:
-d 要存储在注册表值中的数据。
-h 帮助菜单。
-k 注册表键路径(例如 HKLM\Software\Foo)。
-r 连接到的远程计算机名称(使用当前进程凭证
-t 注册表值类型(例如REG_SZ)。
-v 注册表值名称(例如Stuff)。
-w 设置KEY_WOW64标志,有效值[32 | 64]。
COMMANDS:
enumkey 枚举提供的注册表项[-k]
createkey 创建提供的注册表项[-k]
deletekey 删除提供的注册表项[-k]
queryclass 查询提供的密钥的类[-k]
setval 设置注册表值[-k -v -d]
deleteval 删除提供的注册表值[-k -v]
queryval 查询值的数据内容[-k -v]
在这里我们可以看到我们可以使用各种选项来与远程系统进行交互。我们有读取,写入,创建和删除远程注册表项的完整选项。这些可用于任何数量的操作,包括远程信息收集。使用注册表,可以找到已使用的文件,在Internet Explorer中访问过的网站,使用的程序,使用的USB设备等。
Access Data发布的这些有趣的注册表条目以及任何数量的互联网参考资料都有一个很好的快速参考列表,值得您在寻找具体内容时找到。