Meterpreterプロンプトでrun scraperコマンドを実行するとArgumentErrorが発生する

2021年7月15日

問題

ターゲット端末に遠隔操作しているとき、Meterpreterプロンプト上でrun scrapterコマンドを実行しても、"Could not excute scraper: ArgumentError wrong number of arguments"というエラーメッセージが出るという報告を受けました。

#ハッキングラボ　
windows7のハッキングでセッション2のMeterpreterプロンプトに移動してrun scraperコマンド打ってもCould not excute scraperってなってできない…
ハッキング・ラボのつくりかたのサポートサイト見ても乗っていないのでわかる方いたらご教示いただきたいです。 pic.twitter.com/4WAOjcqH6p

— K (@K88336374) June 29, 2021

Meterpreterスクリプト【補足】

run scraperコマンドは、scraperという名のMeterpreterスクリプトを実行するコマンドです。

Meterpreterセッションを奪った後、システムをさらに悪用するための定義済みのスクリプトが用意されています。これをMeterpreterスクリプトと呼びます。

現在のMetasploitではMeterpreterスクリプトがどこに格納しているかは確認していませんが、昔のバージョンであれば"/opt/metasploit-framework/embedded/framework/scripts/meterpreter"ディレクトリに配置されていました。

原因

新しいMetasploitではMeterpreterスクリプトをサポートしなくなったことが原因と考えられます。

今回はrun scraperコマンドがうまくいかないという話でしたが、他にもrun hashdumpコマンド、run persistanceコマンドも動作しないと推測できます。

対応方法

旧バージョンのMetasploitで実験する方法

旧バージョンで実験する方法を検証して頂きました。ありがとうございます🙇‍♀️

Metasploit v6.0.52-dev (kali linux 2021.2) で"run scraper"したら"ArgumentError"になったから書籍と同じバージョンのmetasploit入れて実行した (もっと良い方法ありそう)https://t.co/6eOTWA709b#ハッキングラボ

— 橘 あい (@tcbn_ai) July 13, 2021

代替モジュールを用いる

Meterpreterスクリプトの1つであるpersistanceスクリプトはrun persistanceコマンドが実行できました。

しかし、Kaliのバージョンが上がると非推奨となり、それに伴いターゲット端末側でエラーが起きるという現象が報告されていました。

代わりにMetasploitに"post/windows/manage/persistence_exe"モジュールが用意されています。

未確認ですが、scraperもモジュールとして用意されている可能性があります（今なくても、今後サポートされる可能性あり）。

同様の動作を別の方法で実現する

MeterpreterスクリプトはRubyで書かれています。つまり、scraperスクリプトもRubyで記述されています。

実際に開いてみると動作やコマンドを把握できます。Windowsのレジストリにアクセスするので、おそらくRailgunを使っているはずです。

動作を解読して、モジュール化するというのもありだと思います。MeterpreterスクリプトもMetasploitのモジュールもどちらもRubyで記述します。scraperスクリプトのソースをどの程度流用できるかはわかりません。

おわりに