简介
在后渗透中我们拿到meterpreter之后,常需要上传很多工具到目标机器,进一步的扩大战果。上传工具到靶机,就避免不了与目标机器的文件系统进行交互,这个过程难免会留下各种痕迹,这些痕迹信息如果处理不好,将会被作为安全服务人员取证溯源的重要依据。因此,在渗透测试过程中,我们要尽量减少与文件系统的交互,meterpreter就是依照这一思想设计的,它将各种模块加载到靶机的内存中,而不将文件写在磁盘上,这样做极大的减少了在系统上留下操作痕迹的几率。当我们必须要上传某些工具到目标靶机时,如何去躲避或者干扰管理员对文件系统信息的取证溯源呢?meterpreter又给了我们提供了priv模块下的timestop命令。
MACE时间
meterpreter > timestomp -v 1.txt
[*] Showing MACE attributes for 1.txt
Modified : 1990-10-01 12:00:00 -0400
Accessed : 2023-05-14 03:36:04 -0400
Created : 1990-10-01 12:00:00 -0400
Entry Modified: 2023-05-14 03:36:11 -0400
Modified: 内容修改时间
Accessed: 文件访问时间
Created: 文件创建时间
Entry Modified: 在ntfs文件系统的主文件分区表MTF(master table file)存放,entry信息包含文件大小、名称、目录、磁盘位置、创建位置等信息,如果文件位置发生改变这个时间也会发生变化,或者修改文件名也会改变
timestomp的使用
很多不用记忆,随时查看帮助文档即可。
meterpreter > timestomp help
Usage: timestomp <file(s)> OPTIONS
OPTIONS:
-a Set the "last accessed" time of the file
-b Set the MACE timestamps so that EnCase shows blanks
-c Set the "creation" time of the file
-e Set the "mft entry modified" time of the file
-f Set the MACE of attributes equal to the supplied file
-h Help banner
-m Set the "last written" time of the file
-r Set the MACE timestamps recursively on a directory
-v Display the UTC MACE values of the file
-z Set all four attributes (MACE) of the file
帮助文档已经很清楚了。
-v
查看MACE
meterpreter > timestomp -v 1.txt
[*] Showing MACE attributes for 1.txt
Modified : 1990-10-01 12:00:00 -0400
Accessed : 2023-05-14 03:36:04 -0400
Created : 1990-10-01 12:00:00 -0400
Entry Modified: 2023-05-14 03:36:11 -0400
修改MACE
-m/-a/-c/-e
比如修改M:
meterpreter > timestomp -v 1.txt
[*] Showing MACE attributes for 1.txt
Modified : 1990-10-01 12:00:00 -0400
Accessed : 2023-05-14 03:36:04 -0400
Created : 1990-10-01 12:00:00 -0400
Entry Modified: 2023-05-14 03:36:11 -0400
meterpreter > timestomp -m "10/01/2010 12:00:00" 1.txt
[*] Setting specific MACE attributes on 1.txt
meterpreter > timestomp -v 1.txt
[*] Showing MACE attributes for 1.txt
Modified : 2010-10-01 12:00:00 -0400
Accessed : 2023-05-14 03:36:04 -0400
Created : 1990-10-01 12:00:00 -0400
Entry Modified: 2023-05-14 03:36:11 -0400
-a/-c/-e同理
这就是timestomp的基本使用。