今天讲payload的使用
生成木马的参数 和钓鱼
web_delivery 钓鱼模块经常用 也可以会话建立
能拿到一定系统权限 可能权利很小 但还是能提权
很少用exp poc
提取
这个也很重要
拿到一个web的权限 怎么脱库 只拿到web权限没拿到服务器 msf已经建议会话 通过这个模块
在内网就可以 将1.2的152端口转发到我们电脑上的1521端口
这样我们链接152就是链接他们的1521 这个我们就是端口转发
假如您跨越n个网段你网不好 你会非常卡
3层就非常吃不消了网
msf简介和所有参数
payload 成品
shellcode 半成品 需要服务器环境配好
-f exe
-e编码变型起到免杀的作用
-a 指定位数 x86 32位 x86_64 位 不指都是32位 以后说怎么指定什么位
-platform 是指定linux , windows
-b也是干扰杀毒软件
-i 指定几次 多了可能就坏了
-c 注入到一个文件
剩下的自己看图
MSF常用参数
例1
msfvenom -l -p 展示payload列表如下图
只有在后面加了x64才是64位
前面是系统
meterpreter 后渗透模块 也就是 系统/空或者x64/攻击模块
bind_tcp_rc4: bind 我主动去直接连接你, 如下图 , 如果你又防火墙 会把我拦截掉 tcp什么协议进行连接 tcp 连接最可靠 https http 拦截的比较松
所以我们不用bin 除了特殊情况
网络穿透没有回来路由
这个后面详细讲
reverse
反过来连接 被攻击 连接我们
例2 我们通过stu java写的这个东西拿到system权限 毕竟stu一般都是管理员用的我们利用它就是得到system权限
现在我们面临一个问题 我们入侵数据库 但是这个数据库服务器不出网
目前我们是tcp建立的会话
我们想了下 不出网是不是协议的拦截 当然另一种方法是隧道(只要能访问网站走隧道一般都没有问题)
那我们可以试试reverse 走http
MSF常见参数
第3个简写 msfvenom -l e
好用的免杀 如上
监听模块
cs稳定 不容易挂 只要系统不关机
msf功能多
cd可以加脚本插件
payload可持续化
各个平台payload生成 与 监听方法
安卓的话区 youyube 搜教程 安卓 一个月最新 一般视频下面就有github
电脑上一般有客户端 有一定面杀 不免杀就使用社工
生成后 在当前文件夹找 你是root 就在root文件夹下
msfconsle 监听
这届handler也一样
设置好了 option一定看一下
cs半开半关稳定不容易被发现
msf容易被发现
这时我们要用 englock 后面会讲
这时我们session -i
调用的话
session -i 1
就进入这个系统的cmd help 就可以看帮助
权限不够进行提权
run po 后渗透工具模块
hashdump 获取hash
去桌面
只能监控看 不能操作
修改参数就能不只是只读状态
3389被限制可以试试vnc
很脆弱 中断了就断了
安卓payload
社工:
apk藏木马
linux:老方法
如果生成 php -f raw
改为php 平台就不是linuix 而是 php
hander命令参数
powershell配合msf无文件攻击
1.找到这个网址
原理讲解
2台机子 下面是web网站
我们将xps1文件上传到web 然后xsp1
将命令发送到目标机 然后目标机 和我们的msf建立会话
2.命令
尽量64位 powershell用32位会出现一些问题
3.调用
vps替换 没听懂
老大直接把命令放在08服务器cmd里面
先看有没有连接上 在运行cmd之前
当主机执行命令:
那么就开始被监听了,此时主机上面没有任何木马
1.钓鱼2.shell 找个地方运行
word钓鱼
1.添加域
2建立连接后 赶紧迁移进程
MSF宏钓鱼 对面没有安word
1.网卡的话可以使用镜像
2.下载好后到相应目录
3.python2运行 然后 msf连接
4.先监听
捆绑之前先看端口
监听之前先捆绑
上图是监听代码
5.完成之后迁移进程
在受害者看文件时 sessions -l
然后赶紧如上图迁移进程
sessions -l 8
migrate 3032\
实际操作时注意免杀
MSF宏excel 钓鱼 ??我没跳过怎么后面变成无文件钓鱼
下面5张图是常规步骤
展示目标
设置目标
set target 1
options
run
会生成命令
直接让目标主机运行结果崩了 因为忘记设置64位
崩了之后换个端口
重新 run
另一个简短的方法 无文件进入
先到另一个武器库 然后如下图
还有setpayload php/ 的提权
记住前面的步骤这个差不多
制作钓鱼
msf
- msf 信息收集模块
- msf 密码破解模块
- msf 漏洞利用模块
- msf 各种payload
- msf 后渗透模块
一、msf 信息收集模块
-
- 基础命令:
- show:后跟模块或者要展示的信息
- search:根据命令搜索,search <xxx>格式搜索关键词,search name:xxx会更精确
- search path:xxx:根据路径搜索
- search platform:xxxx:根据平台搜索(操作系统,数据库等)
- search type:xxx:根据指定模块
- search cve:CVE-2017-8684:根据cve搜索
- 一般search+想搜索的内容就行,如search ms17-010
- back:退出模块
- exit:退出msf框架
- use:使用模块内容,如use exploit/multi/handler
- msf中也可以使用 whois 和 nmap 等linux命令
- rank排序:excellent > great > good > normal > average >low > manual
- 基础命令:
-
- 端口扫描模块:
- search portscan:搜索端口扫描模块
- use auxiliary/scanner/portscan/syn:使用syn扫描(可以输入前面数字)
- show options:查看设置详情
- set rhosts 192.168.1.2:设置目标
- set threads 50:设置线程为50
- run:执行
- 端口扫描模块:
-
- 基于特定的服务扫描:
扫设置的ip是否开启了改服务
-
-
- search smb_version:搜索smb扫描模块
- search mysql_ping:搜索mysql扫描模块
- search ssh_version:搜索ssh扫描模块
- search telnet_version:搜索telnet扫描模块
- search ftp_version:ftp扫描模块
- search arp_sweep:查看主机存活模块
-
模块:
- exploit:漏洞利用模块
- auxiliary:辅助模块
- post:meterpreter里调用的模块
- payloads:攻击载荷模块
- encoders:编码加密模块
- nops:填充空白代码,躲避杀软
- evasion:自带的bypass模块(一般也不用)
- 目录扫描:search dir_scanner
- 搜索网站的email信息:search email_collector
- 嗅探抓包:use auxiliary/sniffer/psnuffle,抓取明文流量信息
二、密码破解模块
search 服务名_login:爆破指定服务
- ssh 服务爆破:
- use auxiliary/scanner/ssh/ssh_login
b. set rhosts 192.168.1.11
- set username root
- set passfile /root/pass.txt
- set threads 50
- Run
- mysql 服务爆破:
- use auxiliary/scanner/mysql/mysql_login
b. set RHOSTS 192.168.1.111
c. set user_file /root/user.txt
sessions -l:列出会话sessions -i 1:进入会话1
mysql不能爆root,
因为 mysql 默认不开启外联
可以爆破普通用户
kali远程登录:rdesktop <ip> kali字典生成工具:crunch
crunch 4-6 guanliyuan -o pass.txt
(生成4-6位包含guanliyuan字符的字典)
- set user_file /root/user.txt
- set pass_file /root/pass.txt
- Run
- tomcat 爆破:
可以用 tomcat 爆破模块,也可以用依美式
- postgresql 爆破
- telnet 爆破(很慢,用smb更快些)
- smb 爆破
爆出smb账号密码后,对方没开telnet,也没开rdp 怎么控制系统:
psexec.exe \\192.168.1.111 -l administrator -p pass cmd.exe
三、漏洞利用模块
- 一般的流程(例子):
- 使用arp_sweep寻找目标网段存活的主机
- 用smb_version看看开了445端口的主机
- 用nmap --script smb-vuln* 192.168.1.1,通过nmap 的脚本搜索一下这个ip 的smb相关漏洞
- 如果扫到例如ms17-010的漏洞,在msf中搜索 search ms17-010
- 使用模块,设置参数,show targets查看可攻击的版本目标,set payload
- run/exploit
进入shell乱码,编码问题:chcp 65001 编码转换
Win7 payload一般用默认的更容易成功,用其他payload可能不成功,可以先默认成功再进行用设置payload测试
- 远程代码执行漏洞
- 浏览器漏洞
- 服务漏洞
- 本地提权漏洞
- 这篇文章写的不好因为断断续续看没有认真看 以后网站钓鱼 和 拿到cmd powershell 需要用再回来重写 重看 这个视频吧