DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
[Maintaining Access] Metscv Backdoor trong Metasploit
Sau khi khai thác thành công một hệ thống, bạn có thể cân nhắc việc tạo một backdoor trên hệ thống này để bạn có thể truy cập tới nó khi cần. Trong metasploit có hai backdoor cho phép làm việc này là Metsvc backdoor và Persistence backdoor. Metsvc không cung cấp nhiều tùy chọn như Persistence backdoor.
Giả sử rằng bạn đã thâm nhập thành công một hệ thống. Ví dụ trong trường hợp này mình sử dụng Veil để thâm nhập hệ thống. Bạn có thể xem bài viết về Veil ở link dưới:
Bạn có thể xem qua thông tin về metsvc backdoor bằng lệnh run metsvc -h
Như bạn có thể thấy, backdoor này chỉ có 2 tùy chọn:
Bạn sẽ thực hiện lệnh run metsvc -A. Lệnh này sẽ tự động upload một số file và sẽ tạoạo một windows service trên remote machine, nó sẽ chạy trên cổng 31337
Như bạn có thể thấy trên hình, bạn sẽ có 2 phiên mở trên remote machine. Khi truy cập vào task manager, bạn sẽ nhìn thấy một tiến trình tên là metsvc-server.exe, nó chính là backdoor.
Nếu bạn muốn loại bỏ backdoor từ máy mục tiêu, bạn có thể sử dụng lệnh run metsvc -r
Lệnh này sẽ dừng backdoor nhưng nó sẽ không xóa file trên hệ thống mục tiêu. Do đó, để tránh sự phát hiện bạn cần phải xóa các file này.
Kết luận:
Metsvc backdoor chạy như moôtj dịch vụ trên maý tính từ xa và không cần yêu cầu xác thực. Backdoor này có thể phát hiện dễ dàng bằng cách sử dụng một công cụ scan cổng như Nmap.
Giả sử rằng bạn đã thâm nhập thành công một hệ thống. Ví dụ trong trường hợp này mình sử dụng Veil để thâm nhập hệ thống. Bạn có thể xem bài viết về Veil ở link dưới:
HTML:
http://whitehat.vn/threads/4886-Bypass-antivirus-va-get-mot-meterpreter-su-dung-Veil.html?highlight=VeilNhư bạn có thể thấy, backdoor này chỉ có 2 tùy chọn:
- -A nó sẽ tự động bắt đầu khai thác multi/handler
- -r nó sẽ gỡ bỏ khai thác này khi backdoor đã được tạo
Bạn sẽ thực hiện lệnh run metsvc -A. Lệnh này sẽ tự động upload một số file và sẽ tạoạo một windows service trên remote machine, nó sẽ chạy trên cổng 31337
Như bạn có thể thấy trên hình, bạn sẽ có 2 phiên mở trên remote machine. Khi truy cập vào task manager, bạn sẽ nhìn thấy một tiến trình tên là metsvc-server.exe, nó chính là backdoor.
Nếu bạn muốn loại bỏ backdoor từ máy mục tiêu, bạn có thể sử dụng lệnh run metsvc -r
Lệnh này sẽ dừng backdoor nhưng nó sẽ không xóa file trên hệ thống mục tiêu. Do đó, để tránh sự phát hiện bạn cần phải xóa các file này.
Kết luận:
Metsvc backdoor chạy như moôtj dịch vụ trên maý tính từ xa và không cần yêu cầu xác thực. Backdoor này có thể phát hiện dễ dàng bằng cách sử dụng một công cụ scan cổng như Nmap.
Chỉnh sửa lần cuối bởi người điều hành: