MSF系列:
發現和端口掃描
Nmap掃描
db_nmap -sV 192.168.1.0/24
Auxiliary模塊
RHOSTS在指定目標時可以指定多個目標
指定IP范圍:192.168.171.1.20-192.168.171.30
指定兩個主機段:192.168.1.0/24,192.168.11.0/24
導入文件中的IP:file:/rooot/host.txt
search arp
arp掃描
INTERFACE可以指定使用哪個網卡發包,SHOST可以偽裝成別的IP,SMAC可以偽裝成別的MAC地址,THREADS設置掃描的線程數
search portscan
端口掃描有以下幾個模塊,我們這里用syn掃描
步驟都差不多,show options查看要填寫的參數信息,然后run運行
IPID Idle掃描
向一個空閑主機發包,這個空閑主機必須要有一個特點,它的IP包頭里的ID值是順序增長的,假如發給它第一個包的響應ID是1,下一次響應的ID就是2
根據它這個變化的IPID的值,偽裝掃描的源IP地址,把源IP改成目標的IP,以目標IP為源IP向這個空閑主機發包,根據這個ID的值判斷目標主機是否活着,目標端口是否開放
用這種方法的關鍵是找到一台空間的機器。首先它很少跟網絡中的其他機器通信,還有IPID是遞增的。
下面這個模塊可以幫助我們找到空閑主機
auxiliary/scanner/ip/ipidseq
測試結果
UDP掃描
auxiliary/scanner/discovery/udp_sweep
auxiliary/scanner/discovery/udp_probe
密碼嗅探
auxiliary/sniffer/psnuffle
不僅支持實時抓取密碼,也支持從pcap抓包文件中提取密碼
功能類似dsniff
目前只支持pop3、imap、ftp、HTTP GET協議
可以什么都不配置,直接run,默認抓取本機的流量,也可以分析pcap文件里面可能存在的密碼
set PCAPFILE /root/pcap
SNMP掃描
auxiliary/scanner/snmp/snmp_login
SNMP中Community其實就相當於PASSWORD,如果是可讀的,就能讀取服務器上的配置,如果是可寫的,那就可以更改這些配置。
這個模塊就是用來破解SNMP的Community,默認使用了一個密碼字典
auxiliary/scanner/snmp/snmp_enum
如果破解出來了密碼,我們可以用這個模塊來讀取SNMP的配置
設置這里破解出來的COMMUNITY和RHOSTS然后就可以了
auxiliary/scanner/snmp/snmp_enumusers
用這個可以枚舉Winodws上面有多少個用戶和用戶賬號
auxiliary/scanner/snmp/snmp_enumshares
用這個可以枚舉Windows上開了多少個文件共享,隱藏的共享不能枚舉出來
SMB服務掃描
SMB版本掃描
auxiliary/scanner/smb/smb_version
掃描命名管道,判斷SMB服務類型
auxiliary/scanner/smb/pipe_auditor
掃描通過SMB管道可以訪問的DCERPC服務
auxiliary/scanner/smb/pipe_dcerpc_auditor
SMB共享枚舉
auxiliary/scanner/smb/smb_enumshares
SMB用戶枚舉
auxiliary/scanner/smb/smb_enumusers
SID枚舉
- SID是安全標識符,每安裝一個操作系統就會根據系統時間之類的隨機數生成一個SID
- 在一個系統上有賬號A,刪除之后再創建一個A,我們看來是一樣的,但是操作系統看來是不一樣的,它們SID不同
auxiliary/scanner/smb/smb_lookupsid
SSH服務掃描
ssh版本掃描
auxiliary/scanner/ssh/ssh_version
ssh密碼爆破
auxiliary/scanner/ssh/ssh_login
/usr/share/metasploit-framework/data/wordlists/root_userpass.txt 是msf自帶的“用戶-密碼”文件,格式為“賬號 密碼”,賬號和密碼以空格分隔
/usr/share/metasploit-framework/data/wordlists下面有許多msf自帶的字典
ssh公鑰登錄
ssh可以不使用賬號密碼登錄
auxiliary/scanner/ssh/ssh_login_pubkey
系統補丁
基於已取得的sessions進行檢測
post/windows/gather/enum_patches
我們用ms80_067取得XP SP3上一個sessions
進入sessions中,將Meterpreter Shell遷移到別的進程中,比如遷移到下圖中的進程
然后用這個sessions查目標系統上的補丁
SQL server
Mssql掃描端口:
一般是TCP 1433,也可以用動態端口(隨機生成的端口),如果是動態端口我們可能就錯過了Mssql服務
也可以通過UDP 1434判斷是否開起了SQL server,我們可以通過連接UDP的1434端口查詢TCP的動態端口
auxiliary/scanner/mssql/mssql_ping
爆破密碼:
一般爆破的mssql用戶名是sa
auxiliary/scanner/mssql/mssql_login
遠程代碼執行:
auxiliary/admin/mssql/mssql_exec
CMD可以設置為自己想要執行的命令
FTP服務
FTP版本掃描:
auxiliary/scanner/ftp/ftp_version
FTP是否支持匿名登錄:
auxiliary/scanner/ftp/anonymous
暴力破解
auxiliary/scanner/ftp/ftp_login