Introduction
Là một loại shell được cung cấp bởi Metasploit và hỗ trợ nhiều tính năng hơn các loại shell thông thường, chẳng hạn như upload và download file. Để sử dụng các công cụ post exploitation và các staged payload của Metasploit thì ta bắt buộc phải dùng loại shell này.
Về bản chất, Meterpreter sẽ chạy ở trong RAM nên không bị các chương trình antivirus phát hiện (không tạo ra tập tin metepreter.exe). Do đó, ta có thể xem Meterpreter như là một tiến trình. Mặc dù nó vẫn có thể bị phát hiện bởi một số chương trình, nhưng nó vẫn là tàng hình đối với một số thao tác kiểm tra bằng tay.
Ngoài ra, nó còn tạo kết nối đã được mã hóa bằng TLS với target machine.
Commands
Liệt kê các payload dùng Metepreter bằng cách sử dụng Metasploit Venom:
msfvenom --list payloads | grep meterpreterTrong giao diện của Meterpreter, ta có thể dùng lệnh help để hiển thị danh sách các lệnh. Hoặc dùng lệnh run để chạy một post exploitation module nào đó. Ví dụ:
run post/linux/gather/hashdumpNote
Những phiên bản (hệ điều hành, giao thức mạng, etc) khác nhau sẽ có tập câu lệnh khác nhau.
Metepreter Commands
Xem user ID:
getuidXem danh sách các tiến trình:
psMigrate
Tương tác với một tiến trình thông qua PID của nó:
migrate PIDGiả sử nếu tiến trình đó là word.exe hoặc notepad.exe thì Meterpreter cung cấp cho chúng ta câu lệnh keyscan_start, keyscan_stop, và keyscan_dump giúp Meterpreter đóng vai trò như là một keylogger.
Important
Nếu ta migrate sang tiến trình chạy bởi người dùng có quyền thấp hơn thì ta có thể mất tất cả các đặc quyền trước đó.
Hashdump
Xem SAM (Security Account Manager) DB, là một DB chứa password ở trên Windows:
hashdumpPassword được lưu dưới dạng NTLM (New Technology LAN Manager). Chúng ta có thể may mắn tìm được mật khẩu nhờ sử dụng online NTLM DB.
Search
Tìm kiếm tập tin:
search -f flag2.txtShell
Chạy shell của target system:
shellĐể quay lại shell của Meterpreter thì dùng CTRL + Z.