1. 程式人生 > >metasploit---後漏洞利用--清除痕跡

metasploit---後漏洞利用--清除痕跡

對於黑客來說,一個重要的事情就是如何隱藏他的行為。
在提取之後,後漏洞利用的下一個階段,也就是藉助日誌刪除清除痕跡,以及禁用防火牆和防病毒系統的警告。

防火牆分為三種類型。
包過濾防火牆(Packet Filter Firewall):這種型別的防火牆工作在OSI參考模型的前三層,並藉助了傳輸層的一些功能,即識別源埠和目標埠。當一個數據包流經包過濾防火牆時,防火牆會根據配置規則進行匹配分析。如果該資料包同過了防火牆的過濾,就允許它進入網路,否則就會阻止它。

狀態防火牆(Stateful Firewall):也稱為第二代防火牆。顧名思義,這種防火牆在網路連線狀態下工作。通過狀態資訊,它決定包是否允許進入網路中。

應用防火牆(Application Firewall):也就是眾所周知的第三代防火牆。應用防火牆依賴應用程式和HTTP、SMTP等協議。當一個不需要的協議檢視在一個合法的埠上繞過防火牆時,這種防火牆也能夠幫助檢測到。


首先,檢查被攻擊系統內的防火牆狀態,即它是啟動的還是禁用的。使用後漏洞利用指令碼 run getcountermeasure,或者使用在shell中使用netsh firewall show opmode命令。
在這裡插入圖片描述

在這裡插入圖片描述
可以看到防火牆已經關閉 Operational mode 顯示的是Disable就表示關閉,如果已經開啟,在shell中使用netsh firewall show opmode mode=disable

關閉防火牆。
在這裡插入圖片描述

防毒軟體關閉及日誌刪除

通過關閉程序來停用防毒軟體。需要使用一個名為killav的後漏洞利用指令碼。
在這裡插入圖片描述

在這裡插入圖片描述

執行指令碼,輸入命令run killav
在這裡插入圖片描述

現在進入被攻擊系統的命令列狀態,輸入tasklist命令,檢查運行於被攻擊系統中的所有程序。
在這裡插入圖片描述

檢視這些程序它們屬於哪個程序組。輸入命令tasklist/svc
在這裡插入圖片描述

需要找到任務列表中的AVG防毒服務,所以輸入**tasklist/svc | find /I “avg”**命令。
在這裡插入圖片描述

這裡防毒服務都沒有,如果有就需要先將它們關閉。

成功禁用防火牆和防毒軟體之後,就是清除計算機系統中的日誌。
在meterpreter輸入clearev

命令。
在這裡插入圖片描述

在這裡插入圖片描述