使用Metasploit的Timestomp修改文件属性并避免检测

文章来源：华盟论坛

原文链接：

https://bbs.77169.net/forum.php?mod=viewthread&tid=375339&extra=

什么是MACE值？

MACE（修改，访问，创建，输入）值是文件属性，描述文件上活动的日期和时间。管理员使用这些属性来确定上次访问或更改文件的时间，并且通常可以使用它们来跟踪恶意活动。

黑客入侵时最好的做法是完全不留痕迹，但是修改MACE属性可能是下一个最好的选择。这种方法不是绝对可靠的，但可以帮助掩盖在文件系统上的活动。

一、设置所有内容

我们将使用Windows 7的拷贝作为我们的标记，而Kali Linux作为我们的攻击机器。我们需要做的第一件事是在目标上创建一些示例文件。我还创建了一个名为“MyFiles”的新文件夹，以使它们保持有序。不管这些基本的文本文件是什么。

二、获取Meterpreter会话

~# msfconsole

这个目标很容易受到EternalBlue的攻击，因此我将使用它来获取shell。但是，只要最终在目标上执行MSF会话。

三、验证目标的文件

既然我们已经获取目标，pwd命令以查看当前的工作目录。

由于我们在C盘上创建了一个新文件夹，因此我们可以导航到那里并确认我们之前创建的文件存在。

四、使用Timestomp更改文件属性

Timestomp是Meterpreter中提供后渗透模块，可用于修改文件的MACE值。这很有用，因为我们可以更改访问的任何文件的时间和日期，从而最大程度地减少被捕获的风险。

在Meterpreter会话中，使用timestomp帮助显示此模块的帮助菜单：

1、查看文件的MACE值提供文件和所需的选项以执行操作。例如，要查看文件的MACE值，请使用-v标志。

 

2、更改访问，创建和修改的时间。我们可以使用适当的选项和有效的DateTime格式更改任何这些属性。要更改“修改的”值，请使用-m标志。

现在，当我们查看文件属性时，我们可以看到它已更改。

3、删除所有值

我们也可以使用-b标志完全清空文件属性。

现在，当我们查看文件时，它会将无意义的值显示为将来的日期，这显然是不可能的。

我们还可以使用-r标志递归地清空当前目录中的所有文件。

现在，当我们查看目标上的文件时，日期将显示为空白。