计量基础知识

在本节中，我们将学习如何与Metasploit的Meterpreter交互。在Linux中，帮助命令用于获取指定命令的信息。我们要做的第一件事是运行帮助命令，以获得我们可以运行的所有命令的大列表。它还告诉我们每个命令的功能描述，如下面的截图所示:

我们要强调的第一件事是背景命令，如下截图所示:

的背景命令主要用于在不终止当前会话的情况下后台化当前会话。这个命令非常类似于最小化窗口。运行之后背景命令，我们可以返回Metasploit并运行其他命令来进一步利用目标机器，保持我们与刚刚被黑客攻击的计算机的连接。我们将使用会议- l命令，以查看正在使用的所有计算机和会话的列表。在下面的屏幕截图中，我们可以看到我们仍然有Meterpreter会话，它在我们的设备之间，这是10.0.2.15，目标设备为10.0.2.5：

如果我们想返回到前一个会话再次运行Metasploit，我们必须运行会话命令-我(用于交互)，然后放入ID，即2，如下图所示:

当我们入侵系统时，我们将运行的另一个命令是sysinfo命令。的sysinfo命令向我们显示有关目标计算机的信息。在下面的截图中，我们可以看到它向我们展示了计算机的名称、操作系统和架构。我们还可以在下面的截图中看到它是一个64位因此，如果我们将来想在目标机器上运行可执行文件，我们知道我们将创建64位可执行文件:

我们可以看到它使用英语语言、计算机正在工作的工作组以及登录的用户ID。我们还可以看到在目标机器上运行的Meterpreter版本，它实际上是32位版本。

用于信息收集的另一个有用命令是ipconfig．的ipconfig命令显示所有连接到目标计算机的接口，如下面的截图所示:

在上面的截图中，我们可以看到接口1MAC地址，IP地址，甚至IPv4地址，可以连接多个网络。我们还可以看到所有的接口以及如何与它们交互。

用于信息收集的另一个有用命令是ps命令。的ps命令列出目标计算机上正在运行的所有进程。这些进程可能是后台进程，也可能是作为Windows程序或gui在前台运行的实际程序。在下面的屏幕截图中，我们将看到所有正在运行的进程的列表，以及每个进程的名称和名称ID或PID：

一个有趣的过程是资源管理器．它是Windows的图形界面。在前面的截图中，我们可以看到它正在运行PID 4744，如下图所示:

当我们入侵系统时，将此人正在运行的进程迁移到更安全的进程是一个好主意。例如，一个流程资源管理器是Windows的图形界面，只要用户在使用他们的设备，这个进程就一直在运行。这意味着这个过程比我们进入计算机的过程安全得多。例如，如果我们通过一个程序或一个可执行文件获得访问权，那么当这个人关闭这个程序时，我们就会失去这个进程。更好的方法是迁移到不太可能被终止或关闭的流程。要做到这一点，我们将使用迁移命令，该命令将当前会话移动到不同的进程。我们将使用一个过程资源管理器因为它是安全的。

我们要用4744年迁移命令,4744是PID的资源管理器的过程。命令如下:

就在这时，Meterpreter正从资源管理器的过程。现在如果我们去任务管理器在目标机器上运行资源管理器，然后去网络按TAB键转到TCP连接，我们可以看到端口上的连接8080来自于资源管理器进程，如下截图所示:

所以，对于目标机器，它不是来自后门，我们的有效载荷，恶意文件，它是通过运行的资源管理器，这对于目标机器来说是不可疑的。现在，如果我们看到Chrome或Firefox，我们能够迁移到这些进程。如果我们使用端口8080或80对于连接，它将看起来更不可疑，因为web服务器使用端口8080或80，所以通过他们建立联系是很自然的。