Meterpreter入门与精通(七)

2021年09月15日 阅读数:1
这篇文章主要向大家介绍Meterpreter入门与精通(七),主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

Meterpreter反取证ide

      

      在上一课中,咱们看到了Meterpreter中的一些重要且有用的系统命令,使用它们能在目标主机开展不少工做。Meterpreter还包含有另外一个有趣的命令timestomp,该命令是用来修改文件的Modified-Accessed-Created-Entry(MACE)属性。该属性值表示文件中发生任何MACE活动的日期和时间。使用timestomp命令,咱们能够修改这些值。spa

准备工做blog

      在正式开始课程以前,您可能会有这样的疑问:咱们为何要修改MACE的值?黑客通常使用这项技术修改文件的MACE值,让用户认为文件已经在系统中存在了很长时间,并且未被触碰或修改过。若是发生可疑活动,管理员会检查最近修改的文件,以查明是否有任何文件被修改或访问。所以,使用这项技术以后,最近修改的文件就不会出如今管理员的检查清单里。即便还有其余技术能够肯定文件属性是否已被修改,但该技术仍然能够派上用场。it

      咱们从目标主机中找一个文件而后修改它的MACE值。如下截图显示了修改前的各类MACE值:入门

Meterpreter入门与精通(七)_Meterpreter

图1: 修改文件MACE值以前class

      如今咱们开始修改各类MACE值。首先,咱们使用timestomp -h命令,查看全部可用选项。而后,咱们使用-v选项列出MACE的属性值。以下图所示:原理

Meterpreter入门与精通(七)_Meterpreter_02

图2: 查看MACE属性值sed

操做步骤im

      咱们先来修改文件的建立时间。注意timestomp命令后跟的各类参数。以下图所示:技术

Meterpreter入门与精通(七)_Meterpreter_03

图3: 修改文件的建立时间

工做原理

      选项-c是用来修改文件的建立时间。类似的,咱们可使用-m和-a选项来修改文件的最后访问属性。以下图所示:Meterpreter入门与精通(七)_Meterpreter_04

图4: 修改文件的最后访问属性

      属性被修改以后,咱们能够再次使用-v选项检查和验证命令是否成功执行。以下图所示:

Meterpreter入门与精通(七)_Meterpreter_05

图5: 检查属性修改结果

       咱们已经成功修改了文件的MACE属性。如今,文件就不会出如今最近修改或最近访问的文件列表里了。或者,咱们可使用-z选项一次修改四个MACE属性值,这样咱们就不须要逐个修改它们。可是,-z选项会将MACE的全部属性值设置为同样的,这在实际中是不合理的。通常文件的建立时间和访问时间不会是同样的,所以应该避免使用-z选项。