技能 metasploit-framework

🔒

metasploit-framework

Name: metasploit-framework
Author: sickn33

中風險 ⚙️ 外部命令🌐 網路存取📁 檔案系統存取

使用 Claude 掌握 Metasploit 滲透測試

安全專業人員在授權滲透測試工作流程中需要專業指導。此技能提供全面的 Metasploit Framework 文件，涵蓋利用、載荷生成以及後滲透活動，並包含法律最佳實務。

支援: Claude Codex Code(CC)

⚠️ 66 差

下載技能 ZIP

在 Claude 中上傳

前往設定 → 功能 → 技能 → 上傳技能

開啟並開始使用

測試它

正在使用「metasploit-framework」。如何啟動 msfconsole 並搜尋 SMB 利用？

預期結果:

若要啟動 msfconsole 並搜尋 SMB 利用：使用 'msfconsole -q' 以安靜模式啟動主控台，然後使用 'search type:exploit smb' 尋找 SMB 相關的利用模組。您也可以使用 'search eternalblue' 專門搜尋 MS17-010 SMB 漏洞利用。選擇前使用 'info [module_name]' 檢視模組詳細資訊。

正在使用「metasploit-framework」。配置和使用帶有 meterpreter 載荷的利用需要哪些步驟？

預期結果:

配置利用需要六個步驟：首先使用 'use [module_path]' 選擇利用。執行 'show options' 檢視所��設定。使用 'set RHOSTS [target_ip]' 和 'set RPORT [port]' 設定目標參數。使用 'set PAYLOAD windows/x64/meterpreter/reverse_tcp' 選擇您的載荷。使用 'set LHOST [your_ip]' 和 'set LPORT [port]' 配置監聽器。最後執行 'exploit' 嘗試入侵並建立 Meterpreter 會話。

正在使用「metasploit-framework」。獲得會話後應該使用哪些 Meterpreter 指令？

預期結果:

建立 Meterpreter 會話後，執行 'sysinfo' 和 'getuid' 以了解您的存取層級。使用 'hashdump' 提取密碼雜湊值並使用 'ps' 檢視執行中的處理程序。執行 'migrate [PID]' 移動到更穩定的處理程序。對於資料滲漏，使用 'download [file]' 或 'upload [file]'。執行 'screenshot' 擷取桌面或 'keyscan_start' 開始按鍵記錄。使用 'background' 將會話置於背景以返回 msfconsole。

安全審計

中風險

v1 • 2/25/2026

This skill provides documentation for the Metasploit Framework, a legitimate penetration testing tool used by security professionals. All detected patterns are educational examples showing authorized security testing workflows. The skill includes appropriate legal disclaimers emphasizing written authorization requirements. While it documents offensive security capabilities that could be misused, the context clearly indicates professional security assessment purposes with proper legal safeguards.

已掃描檔案

484

分析行數

發現項

審計總數

中風險問題 (1)

SKILL.md:1-484

Documentation of Offensive Security Tools

This skill provides comprehensive documentation for Metasploit Framework, a penetration testing tool that can be used for both authorized security testing and malicious activities. The content includes exploit modules, payload generation, post-exploitation techniques (credential harvesting, keylogging, screenshots), and persistence mechanisms. While the skill includes legal disclaimers emphasizing written authorization requirements, the detailed technical documentation could be misused by unauthorized actors.

低風險問題 (3)

SKILL.md:20-30 SKILL.md:56-171 SKILL.md:340-395

Bash Command Examples in Documentation

The skill contains numerous bash command examples showing Metasploit usage (msfconsole, msfvenom, meterpreter commands). These are educational documentation examples, not executable code. Risk is low as these require manual execution by a user who should already have authorization for penetration testing activities.

SKILL.md:146 SKILL.md:158 SKILL.md:263

Example IP Addresses in Documentation

The skill uses example IP addresses (192.168.x.x private ranges) for demonstration purposes. These are standard documentation examples and do not represent hardcoded targets.

SKILL.md:238-242 SKILL.md:308-334

Post-Exploitation Capability Documentation

The skill documents Meterpreter capabilities including keylogging, screenshots, credential harvesting, and file operations. These are descriptions of legitimate penetration testing tool capabilities used during authorized security assessments, not implementations of malicious functionality.

風險因素

⚙️ 外部命令 (4)

SKILL.md:20-30 SKILL.md:56-73 SKILL.md:340-373 SKILL.md:379-395

🌐 網路存取 (3)

SKILL.md:146 SKILL.md:228 SKILL.md:263

📁 檔案系統存取 (1)

SKILL.md:216-217

審計者: claude

品質評分

架構

100

可維護性

內容

社群

安全

規範符合性

你能建構什麼

滲透測試工作流程指導

安全專業人員在授權滲透測試委託期間使用此技能來瀏覽 Metasploit Framework 功能、選擇適當的利用模組、配置載荷，以及在法律範圍內進行後滲透活動。

安全評估文件

紅隊成員利用此��能在安全評估報告中記錄 Metasploit 使用情況，確保正確的指令語法、模組選擇和後滲透活動被準確記錄於客戶交付成果中。

安全培訓的教育資源

網路安全學生和認證考生使用此技能來學習 Metasploit Framework 概念、在實驗室環境中練習滲透測試工作流程，以及準備 OSCP、CEH 和 PTX 等認證。

試試這些提示

基本模組搜尋與選擇

我該如何搜尋並選擇適合具有 SMB 漏洞之 Windows 目標的 Metasploit 利用模組？

利用配置與執行

引導我配置帶有 meterpreter reverse_tcp 載荷的 eternalblue 利用，包括設定 RHOSTS、LHOST 和所需選項。

使用 Meterpreter 進行後滲透

在建立 Meterpreter 會話後，我應該使用哪些指令來列舉目標系統、收集憑證以及在授權滲透測試期間維持持久性？

使用 msfvenom 生成載荷

生成一個 msfvenom 指令來建立具有反向 TCP 連線的 Windows 執行檔載荷，包括編碼以規避防毒偵測。

最佳實務

在使用 Metasploit 進行任何滲透測試活動之前��務必取得書面授權
��先使用 'check' 指令驗證目標漏洞，然後再執行利用以將干擾降至最低
在部署至生產��估目標之前，先在隔離的實驗室環境中測試載荷
記錄所有指令、結果和發現以包含在滲透測試報告中
盡可能使用加密的 reverse_https 載荷而非 reverse_tcp 以規避網路監控
立即將會��置於背景並遷移處理程序以維持存取穩定性

避免

請勿在未經明確書面授權的系統上使用 Metasploit 利用 — 這是非法的
避免在沒有適當偵察和漏洞驗證的情況下，依序對目標執行所有利用
絕不要在文件或培訓期間的範例指令中使用生產系統或公用 IP 位址
不要讓使用中的 Meterpreter 會話無人看管，或在評估後忘記正確關閉它們
避免使用未經編碼的載荷，這些載荷很容易被防毒軟體偵測到，而未先測試規避技術

常見問題

使用 Metasploit Framework 合法嗎？

是��，Metasploit 是全球安全專業人員使用的合法滲透測試工具。然而，在未經擁有者同意或未取得書面授權的情況下對系統使用它是非法的。在進行任何安全測試之前，請務必確保您具有適當的法律授權和 documented rules of engagement。

msfconsole 和 msfvenom 有什麼區別？

msfconsole 是主要的 Metasploit Framework 介面，用於執行利用、管理會話以及進行後滲透活動。msfvenom 是一個獨立的載荷生成器工具，可為各種平台建立自訂執行檔、腳本和 shellcode，而不需要完整的主控台介面。

為什麼我的利用會失敗或會話會立即中斷？

常見原因包括防毒軟體偵測、不相容的載荷架構、防火牆封鎖反向連線，或目標處理程序當機。解決方案包括使用編碼載荷、將載荷架構與目標 OS 匹配、立即遷移到穩定的處理程序，以及使用無階段載荷以獲得更可靠的連線。

Metasploit 中有哪些不同的載荷類型？

Metasploit 有三種載荷類型：Singles 是獨立執行的自包含載荷。Stagers 是下載並執行較大階段的小型初始載荷。Stages 是由 stagers 下載的完整功能載荷，提供如 Meterpreter 的完整功能。命名慣例遵循 platform/architecture/type/connection。

如何使用 Metasploit 載荷規避防毒軟體偵測？

使用 -e 旗標和 -i 參數進行多次編碼迭代以混淆載荷。考慮使用規避模組、自訂載荷範本或替代載荷類型，如 reverse_https。對於進階規避，您可能需要建立自訂 shellcode 載入器，或與 Metasploit 一起協同使用第三方載荷生成框架。

此技能能否直接透過 Claude 或 Claude Code 執行 Metasploit 指令？

不，此技能提供 Metasploit Framework 的文件和指導，但不��接執行指令。您必須在系統上安裝 Metasploit，並透過終端機執行指令。該技能可幫助您了解正確的語法、模組選擇、配置和疑難排解工作流程。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/metasploit-framework

引用

main

檔案結構

📄 SKILL.md