Meterpreter
Динамически расширяемая нагрузка, использующая инъекцию в dll в памяти. Работает через сокет. Алгоритм работы:
- Целевая машина запускает начальную нагрузку (bind, reverse, findtag, passivex, и т д)
- Начальная нагрузка загружает dll, с префиксом Reflective.
- Инициализируется ядро Meterpreter, создается TLS соединение и скачивается конфигурация клиента.
- Обычно загружается stdapi, остальное в зависимости от задачи.
Особенности:
- Работает только в памяти, на диск ничего не пишет
- Новые процессы не запускаются, инъекция в существующие скомпроментированные процессы с возможностью миграции из процесса в процесс
- Шифрованное взаимодействие
- Динамическое расширение функционала без необходимости сборки
Отдельная консоль для управления скомпроментированной системой. Команды консоли:
| background | Перевод сессии в фон и возврат в консоль MSF. Для восстановления нужно подключиться к сессии
|
| cat | Отображение файла |
| cd, pwd | Переход и отображение текущей папки |
| clearev | Очистка логов журналов Application, System, and Security на Windows |
| download | Скачивает файл с скомпроментированной машины |
| edit | Редактирование файла на |