| Windows | Linux | OSX | BSD | Solaris | Unix | |
| VNC injection | V | |||||
| File execution | V | |||||
| Interactive shell | V | V | V | V | V | |
| Meterpreter | V | |||||
| Command execution | V | V | V | V | V | V |
| DLL injection | V | |||||
| Add user | V | V |
VNC injection
- 執行一台暫時性的VNC伺服器
- 取得目標機器之桌面的完整存取權限,以完全圖型化的方式與Windows互動
- 啟動或與之互動的任何應用程式,將被顯示在目標主機的監視器上
- 需較大的頻寬
File execution
- 把檔案上傳到目標主機並且執行它
- 讓後門程式rootkit的安裝非常有效率
Interactive shell
- 提供交互式命令殼(shell)以存取遠端電腦
- 對具有強大威力之命令殼的作業系統(BSD、Linux、OS X、Solaris)來說,非常好用
- 幾乎所有的攻擊程式都提供命令殼存取
Command execution
- 在目標電腦上執行單一命令
- 不需要與任何使用者互動,適合自動化任務
$ msfcil 'echo "patch me" | sendmail youremailaddress' #掃描整個網路上的一批機器,並從任何攻擊所影響之機器接收電子郵件
DLL injection
- 把自訂DLL注入目標行程(process)的記憶體中,將自己的程式碼添加到剛剛攻陷的程式碼中
- 需要高度客製化的攻擊行為
- 自動被用來提供VNC injection和 Meterpreter
Add user
- 使用自訂的用戶名稱和密碼為系統增加新用戶
- 用在Windows目標主機時,將用戶添加到管理者群組
- 用在Linux目標主機時,將用戶具有UID 0
Meterpreter
- 功能豐富的Windows命令殼,提供許多一般Windows命令殼所遺漏的命令
- 有用的Meterpreter (可輸入commandname -h 取得特定命令更詳細資訊)
- sysinfo:顯示剛剛攻擊之主機的有用資訊,包括電腦名稱、作業系統、和pathchlevel
- pwd:顯示當前工作目錄,通常從windows系統目錄開始算起
- cd:改變當前工作目錄
- ls:顯示當前工作目錄裡的檔案及子目錄清單
- cat:將檔案內容列印到螢幕上
- download:從遠端系統將檔案內容複製到本地端
- upload:從本地端檔案系統將檔案上傳到遠端系統
- edit:使用你所選擇的編輯器在本地端電腦打開檔案
- execute:在遠端電腦上執行其檔案系統上的檔案
- ipconfig:顯示遠端電腦的網路設定
- getpid:顯示Meterpreter所寄宿之當前行程的PID,可能是為了執行Meterpreter所攻擊的脆弱行程
- getuid:顯示行程擁有人的用戶名稱(username),此用戶決定你在遠端電腦上所具有的控制權
- ps:顯示目前在遠端電腦上執行的所有程式清單,並且伴隨著PID
- kill:殺掉行程,如果殺掉在遠端電腦上的Meterpreter行程,會導致Meterpreter session關閉
- migrate:將Meterpreter程式碼和執行緒遷到不同的行程,不會中斷Meterpreter控制台,可以使用此命令將Meterpreter程式碼遷移到更穩定的其他行程
- portfwd:類似於SSH通道,可將本地端電腦經由Meterpreter接通到(tunnel)遠端電腦上的port;可達到Core Impact的功能
- reg:觀看或修改Windows系統登錄(registry),幾乎所有的Windows設定都位在系統登錄中
- idletime:顯示電腦已經多久沒有人動到鍵盤或滑鼠
- uictl:停用(或重新啟用)遠端電腦上的鍵盤或滑鼠,可暫時阻止電腦用戶採取任何行動
- irb:衍生出交互式的Ruby命令殼,可以與Meterpreter的內部進行互動,並且透過它的API撰寫指令稿,直接影響它的行為
- run:執行本地端檔案系統上的Ruby指令稿
- quit:推出Meterpreter session
- sysinfo:顯示剛剛攻擊之主機的有用資訊,包括電腦名稱、作業系統、和pathchlevel
資料出處:O'REILLY 防駭超級工具
沒有留言:
張貼留言