1、实验设计
Kali Linux—(外网)—Windows(网关)—(内网)—Linux Metasploitable
目标:使用Kali Linux完成对内网Linux Metasploitable的渗透攻击
已知信息:目标对手是部署在gate.xiaorui.com网站内网的一台只连接了内网,没有直接连入互联网的主机,其IP未知。
2、环境搭建
①下载安装VMware Workstation虚拟机软件,并安装Kali Linux, Windows7 SP1, Linux Metasploitable虚拟机
②设置Windows7 SP1具有两个网卡,一个连接外网,一个连接内网,设置外网IP段为10.10.10.0,内网IP段为192.168.159.0,Kali Linux连接外网,Linux Metasploitable连接内网,三台虚拟机相互ping,确保windows7和Kali Linux、Linux Metasploitable可以相连,而Kali Linux和Linux Metasploitable无法直接相连
③Kali Linux的/etc/hosts文件添加windows7 SP1的网址为www.xiaorui.com
④windows7设置3389端口开放为远程桌面服务
3、对Windows7 SP1系统的信息搜集
先ping尝试网站可以连通,并从ping中了解到gate.xiaorui.com的IP地址为10.10.10.130
(在一次真正的渗透规划中需要利用社会共程序,互联网查询,无线网络的攻击渠道,但这里针对的不是一个实际的组织或系统,因此省略外围信息搜集)。
使用nmap-O对目标主机进行操作系统识别,主机系统为windows 2008、8.1、7、phone、vista中的一种
使用nmap中的-sS(即TCP SYN扫描),扫描windows系统上开放的端口,在谷歌上对这些端口和服务搜集资料,发现3389/tcp上是开放的远程桌面服务,可能可以加以利用
4、漏洞评估
针对信息搜集阶段可利用的端口,在谷歌上搜集后,发现CVE-2019-0708漏洞可通过3389端口进行利用
漏洞描述:该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。该漏洞影响旧版本的Windows系统,包括:Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。
漏洞评估:根据情报搜集,目标系统与漏洞存在系统契合,漏洞发现时间为2019年,用户已安装补丁的可能性较小,漏洞危害大,可利用性佳,并且metasploit上已公布该漏洞利用程序
5、渗透攻击
先确认目标系统上是否存在该漏洞,vulnerable,为可利用
再使用1号exploit程序
Exploit程序配置如上,回连IP设置为攻击机IP,payload选择meterpreter,方便进行后渗透攻击,target由于在信息搜集中无法准确判断目标主机系统,设置为0,自动判断
渗透攻击成功,返回meterpreter控制终端
6、后渗透攻击准备
我们已经取得了一个meterpreter控制终端,为了找寻我们所需要渗透的目标主机,需要扫描目标系统所连接的内部子网,下载二进制可执行文件形式的nmap,上传至目标系统,并通过微软的RDP协议连接目标的远程桌面,RDP是windows系统内建的一个远程管理协议,使得你能够和windows进行交互。
用meterpreter的getgui脚本将RDP协议通过隧道绑定在我们机器的8080端口,然后在网关系统上添加一个新的管理员用户
上传nmap至目标系统,然后使用这台系统作为攻击跳板,攻击目标主机
7、后渗透阶段信息搜集
试图用传送过去的nmap进行信息搜集却宣告失败,无奈之下用rdesktop localhost:8080开启远程桌面连接
通过远程桌面,在目标系统上安装nmap可视化工具Zenmap,对内网的活跃主机进行探索,排查出内网里三台机器,经过排查,IP地址为192.168.159.130为我们的目标主机
通过nmap -O和nmap -sS扫描,确定目标主机操作系统为Linux 2.6.x metasploitable,开放有多个端口
可以看到,该系统的139端口和445端口都Linux存在有常见的Samba smbd 3.x服务,而该服务有相应漏洞,常见的为CVE-2010-2063
Samba网络服务程序在处理链式响应数据包时,无法使用一个有效偏移来构造数据包的下一部分。攻击者通过构造这个偏移值来造成程序的内存错误,然后,通过覆盖一个函数指针达到劫持控制流执行shellcode的目的。
8、后渗透阶段渗透攻击
由于已经有效地连入了内部网络,所以我们可以直接访问到了Metasploitable靶机目标,可以直接用metasploit对其进行攻击
在谷歌上搜索适合Samba smbd 3.x版本的exploit,找到为usermap_script程序,其配置设置如上图
Exploit后,成功取得shell,运行ipconfig,确认当前shell为IP 192.168.159.130的靶机
9、隐藏踪迹
首先尝试timestomp
在meterpreter中似乎并没有安装该插件(本次实验并没有解决该问题)
运行event_manager
清除了本次攻击的事件日志
本次渗透实验完成