嗅探抓包
查看网卡
指定网卡,因为资源有限,默认抓满50000个包如果不dump下来,就会自动销毁掉,从0开始抓。
dump嗅探到的文件到本机,传递到本机的过程是结果ssl加密的
dump了两个文件
解包
指定想要解包文件
run
搜索文件
破解弱口令
需要有一个system权限的session
使用hashdump
使用system权限的session
exploit
结果保存在/tmp目录下
使用弱密码破解工具
run执行
修改MACE时间
最好的避免电子取证发现的方法:不要碰文件系统
meterpreter在内存中使用的,只要不碰文件系统,很难被发现
通过查看MACE(modify、access、change、entry modify)时间很容易判断是否被其他人动过手脚
在windows上按时间来搜文件,可以查看某个时间段对文件系统的操作
右键属性也可以查看
在linux系统上查看MAC时间用stat命令
修改linux文件时间,通过touch -d
当去查看这个文件时,访问时间就会发生变化
对文件修改时,文件的修改时间也发生了变化
也可以touch -t修改MA时间
msf修改时间
查看文件MACE时间用timestomp -v
用一个文件作为MAC时间模板,比如用通常在windows文件夹里默认的隐藏文件auto.exec作为MAC模板
timestomp -f 将模板文件的MACE时间作为目标文件的MACE时间
查看2.txt的MACE时间发现已经修改了
timestomp -z 整体修改MACE时间
