Metasploit渗透学习日记三

今天复了一下昨天学习的空闲扫描，发现了一细节上的问题，那就是用Nmap扫描的时候，参数的顺序问题。

Nmap扫描的时候，参数-sI一定要写在最后面，也就是说-sI后面接的是满足空闲扫描条件的主机，否则会出现错误，如下图所示：

在这里，-sI参数写在了前面，所以出现错误了……

其实，昨天利用Nmap进行的只是端口和系统信息方面的扫描，都说Nmap强大，可是仅仅用来扫描端口和系统信息，真的是有点徒有虚名了，因为其它扫描工具也一样可以实现。巧的是，今天看了一个视频，里面讲到了关于Nmap利用漏洞脚本扫描目标主机。以前这个功能我也从没用过，所以亲自试验了一下，又多学会了nmap一项很重要功能。

命令格式：nmap-script=漏洞脚本ip（在-script=漏洞脚本后也可以接其它的参数，也可以不接）。有人就会问了，那么Nmap所使用的漏洞脚本在哪里找呢？这也是我开始的时候很迷惑的地方，但这个视频里提到了，Nmap所用的漏洞脚本在Metasploit的按装目录下，我的是bt5r3，所以我的目录为：/opt/metasploit/common/share/nmap/scripts里。如下图：

看到了吧，我用ls命令查看了一下，有好多漏洞脚本。在试验的过程中，我发现windows下基于smb的漏洞比较多，而且很多视频里讲metaspliot渗透实战中，也基本全都是利用smb漏洞做的演示……呵呵……无语吧？下图是我用Nmap扫描的结果：

上面的第二张图中，明确扫描出了很多可利用的漏洞，但是在实际利用过程中，我发现只有MS08-067可以成功，其它的几个都不行，不知道为什么，这也是很多视频里都用MS08-067来做演示的原因吧……

使用Metasploit进行端口扫描

在Metasploit中不仅能够使用第三方扫描器，而且在其辅助模块中也包含了几款内建的端口扫描器。这些内建的扫描器在很多方面与Metasploit框架进行了融合，在辅助进行渗透攻击方面更具有优势。

利用已攻陷的内网主机获取内网的访问通道并进行攻击，这样的渗透攻击过程通常称为跳板攻击，它使我们能够利用网络内部已攻陷的主机，将攻击数据路由到原本无法到达的目标。

举例来说，假设你攻陷了一台位于防火墙之后使用网络地址转换（NAT）的主机。这台主机使用的是无法从internet直接连接的私有IP地址。如果你希望能够使用metasploit对位于NAT后方的主机进行攻击，那么你可以利用已被攻陷的主机做为跳板，将流量传送到网络内部的主机上。

在Metasploit框架中搜索端口扫描工具的命令：

search portscan

上图中，显示出了扫描端口的模块。

根据需要，可以选择相应的扫描模块对目标进行扫描。我是参照教程来进行试验，教程中使用的是syn扫描模块。

结果也很明显，扫描到了一些开放的端口。

针对性扫描

在渗透测试工作中，我们还可以针对某个已知的可利用的漏洞来对目标系统进行扫描。

1、服务消息块协议扫描

metasploit可以利用它的smb_version模块来遍历一个网络，并获取windows的系统版本号。下面来演示一下：

在上面的结果中，我们可以看见目标系统的详细信息，包括系统类型、版本、机器名字等等……而且扫描结果将保存在metasploit的数据库中，以便后续使用，可以使用db_hosts命令查看数据库中保存的结果。由于我的bt版本是bt5r3，所以db_hosts这个命令被hosts这个命令取代了。

---------------------------Metasploit渗透学习日记三------------------------------