滲透測(cè)試技術(shù)-教學(xué)課件 第四章 主機(jī)滲透

第四章主機(jī)滲透目錄CONTENTS01主機(jī)滲透概述02主機(jī)漏洞利用03Linux主機(jī)漏洞利用攻擊實(shí)踐主機(jī)滲透概述PART.01主機(jī)滲透的一般思路主機(jī)滲透是滲透測(cè)試的重要內(nèi)容，包括對(duì)Windows、Solaris、AIX、Linux、SCO和SGI等操作系統(tǒng)進(jìn)行滲透測(cè)試。首先，明確攻擊目的是控制客戶主機(jī)，可以通過(guò)以下幾種=種方式實(shí)現(xiàn)。1、社會(huì)工程學(xué)攻擊方式利用社交工程技巧欺騙用戶，使其下載惡意軟件。例如，攻擊者可能偽裝成用戶熟悉的聯(lián)系人，通過(guò)郵件發(fā)送惡意鏈接給用戶，誘騙用戶單擊惡意鏈接，然后控制用戶的主機(jī)。2、運(yùn)用層方式MSF可以通過(guò)掃描端口、掃描漏洞等方式，運(yùn)用攻擊模塊，實(shí)現(xiàn)對(duì)遠(yuǎn)程主機(jī)的控制。找到注入點(diǎn)，進(jìn)而找到登錄后臺(tái)的用戶名、密碼。登錄后臺(tái)后，找到文件上傳漏洞，先上傳小馬，再上傳大馬，最終實(shí)現(xiàn)對(duì)主機(jī)的控制。主機(jī)滲透的一般思路3、信息收集攻擊前的信息收集很重要，主要包括以下3點(diǎn)。（1）互聯(lián)網(wǎng)方式獲取，即獲取網(wǎng)址、IP地址和服務(wù)器所在地址等。（2）獲取真實(shí)IP地址后，根據(jù)IP地址獲取服務(wù)器信息，如操作系統(tǒng)、開(kāi)放端口和服務(wù)等。（3）根據(jù)獲取的服務(wù)器信息，進(jìn)行漏洞掃描，從而決定攻擊策略。主機(jī)滲透的一般思路及流程滲透目標(biāo)確定查找并利用漏洞對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行滲透，滲透成功后，執(zhí)行一些命令。準(zhǔn)備階段軟件：KaliLinux、WindowsXPSP3Chinese-Simplified(NX)、VMware15pro。網(wǎng)絡(luò)配置：如WindowsXPSP3Chinese-Simplified(NX)、Kali-linux-2022。WindowsXP系統(tǒng)設(shè)置：“兩個(gè)關(guān)閉，三個(gè)打開(kāi)”?！皟蓚€(gè)關(guān)閉”即關(guān)閉自動(dòng)更新和防火墻，否則會(huì)一直報(bào)連接超時(shí)的錯(cuò)誤?！叭齻€(gè)打開(kāi)”即打開(kāi)三個(gè)服務(wù)，分別是ComputerBrowser、Server和Workstation。滲透測(cè)試階段（1）查找漏洞（可以在網(wǎng)上查找公開(kāi)的平臺(tái)漏洞）。（2）選擇Rank等級(jí)較高的模塊，并選中模塊。（3）查找漏洞可復(fù)現(xiàn)的操作系統(tǒng)類型。（4）查看模塊需要配置的參數(shù)。（5）查找可用的攻擊載荷。（6）開(kāi)始滲透。Kail基礎(chǔ)知識(shí)本小節(jié)介紹的攻擊平臺(tái)是KaliLinux（簡(jiǎn)稱Kali），它是基于Debian的Linux發(fā)行版本，具有大量的滲透測(cè)試工具，其前身是BackTrackLinux。雖然滲透測(cè)試人員通常在大型項(xiàng)目開(kāi)始的前兩天才開(kāi)始準(zhǔn)備測(cè)試主機(jī)，但是，如果從安裝操作系統(tǒng)時(shí)安裝測(cè)試主機(jī)，再逐一安裝測(cè)試工具，并且確保每款測(cè)試工具都能正常運(yùn)行，那么恐怕誰(shuí)都受不了這么折騰。Kali這種預(yù)先配置好所有測(cè)試工具的平臺(tái)，幫助我們節(jié)省了大量的時(shí)間。Linux命令行Linux命令行系統(tǒng)釆用一種名為Bash的命令處理程序，它能夠把人們輸入的文本命令轉(zhuǎn)換為系統(tǒng)控制命令。在使用命令行系統(tǒng)時(shí)，能看到“root@Kali:~#”一類的系統(tǒng)提示符。其中，“root”就是Linux系統(tǒng)的超級(jí)用戶，它具有Kali的全部控制權(quán)限。例如下圖通過(guò)ls指令查看當(dāng)前目錄下的文件夾，可以發(fā)現(xiàn)當(dāng)前目錄下為空Kail基礎(chǔ)知識(shí)Linux文件系統(tǒng)在Linux系統(tǒng)中，無(wú)論是鍵盤、打印機(jī)，還是網(wǎng)絡(luò)設(shè)備，所有資源都可以以文件的形式進(jìn)行訪問(wèn)。只要是文件，就可以被查看、編輯、刪除、創(chuàng)建、移動(dòng)。Linux文件系統(tǒng)大致包括文件系統(tǒng)的根（/）、目錄（包含目錄中的文件）及其子目錄。

切換目錄1.pwd:查看當(dāng)前所處的目錄位置2.cd<目錄名稱>：到達(dá)指定目錄下面3.cd..：回退到上一級(jí)目錄

用戶權(quán)限Linux系統(tǒng)的賬戶與其能夠訪問(wèn)的資源或服務(wù)有對(duì)應(yīng)關(guān)系。通過(guò)密碼登錄的用戶，能訪問(wèn)Linux主機(jī)上的某些系統(tǒng)資源。所有用戶都能編寫(xiě)自己的文件，都能訪問(wèn)互聯(lián)網(wǎng)，但是一般用戶通常不能看到其他用戶的文件?！皉oot”就是Linux系統(tǒng)的超級(jí)用戶，它具有Kali的全部控制權(quán)限。Kail基礎(chǔ)知識(shí)

添加用戶在默認(rèn)情況下，Kali只有一個(gè)賬戶，即權(quán)限最高的root賬戶。雖然必須以root權(quán)限啟動(dòng)絕大多數(shù)的安全工具，但是為了減小意外破壞計(jì)算機(jī)系統(tǒng)的可能性，我們可能更希望使用一個(gè)權(quán)限較低的賬戶進(jìn)行日常的操作，可以使用使用adduser命令來(lái)添加其他用戶將用戶添加到sudoers文件中通常情況下，我們會(huì)以非特權(quán)用戶的身份申請(qǐng)使用root權(quán)限。這時(shí)就需要在使用root權(quán)限的命令前添加sudo前綴，輸入當(dāng)前用戶的密碼。以剛剛建立的用戶為例，為了讓這個(gè)用戶能夠運(yùn)行特權(quán)命令，需要把它添加到sudoers文件中。只有在這個(gè)文件中的用戶才有權(quán)使用sudo命令，執(zhí)行“adduser｛用戶名｝sudo”命令。切換用戶與sudo命令sudoroot：切換到root用戶，需要輸入root用戶的密碼Kail基礎(chǔ)知識(shí)創(chuàng)建文件和目錄1.touchmyfile:創(chuàng)建一個(gè)名為myfile的文件2.mkdir文件夾名稱：創(chuàng)建一個(gè)自定義文化夾文件的復(fù)制、移動(dòng)和刪除cp[原路徑]［目標(biāo)路徑]:將原路徑文件復(fù)制到目標(biāo)路徑下mv[原路徑]［目標(biāo)路徑]:將原路徑文件移動(dòng)到目標(biāo)路徑下rm文件名:刪除文件rm–r:刪除文件夾給文件添加文本echo命令可以將終端中輸入的內(nèi)容顯示出來(lái)，通過(guò)管道“>”，可以將輸入的內(nèi)容輸出保存為文本文件，此后可以使用cat命令查看文本文件的內(nèi)容，Kail基礎(chǔ)知識(shí)文件權(quán)限Linux的文件訪問(wèn)權(quán)限分為讀（r）、寫(xiě)（w）和執(zhí)行（x）三類，其訪問(wèn)對(duì)象也分為三類，即創(chuàng)建人（owner）、所屬用戶組（group）和其他用戶。第一項(xiàng)信息的前三個(gè)字符表示創(chuàng)建人持有的權(quán)限，緊接著的三個(gè)字符表示所屬用戶組具有的權(quán)限，而最后三個(gè)字符則表示其他用戶、用戶組的權(quán)限。使用chmod命令可以改變文件的訪問(wèn)權(quán)限。chmod命令可以單獨(dú)調(diào)整文件的創(chuàng)建人、所屬用戶組和其他用戶的訪問(wèn)權(quán)限。在設(shè)置訪問(wèn)權(quán)限時(shí)，通常使用數(shù)字0～7，這些數(shù)字的具體含義如下所示Kail基礎(chǔ)知識(shí)編輯文件Linux用戶爭(zhēng)議最大的問(wèn)題之一是“哪款文件編輯器才是最佳編輯程序”，兩款較為常用的文本編輯器是：nano和vi。字符串搜索只要按下Ctrl+W組合鍵，輸入要搜索的字符串，再按Enter鍵就可以進(jìn)行搜索。使用vi編輯文件vi文件名稱：即可對(duì)文件進(jìn)行編輯，不過(guò)，vi并不像nano那樣啟動(dòng)之后立即進(jìn)入編輯狀態(tài)，需要按下I鍵，進(jìn)入插入模式后才能開(kāi)始編輯文件。在插入模式下，屏幕下方將會(huì)顯示INSERT的字樣。當(dāng)結(jié)束文件編輯工作后，按Esc鍵退出插入模式，返回命令模式。在命令模式下，可以使用編輯命令繼續(xù)編輯文件。開(kāi)放式ShellNetcat的Shell命令受理端（CommandShellListener）功能為人樂(lè)道。在受理端（監(jiān)聽(tīng)端口）模式下啟動(dòng)Netcat時(shí)，可以使用-e選項(xiàng)綁定主機(jī)的Shell（一般是/bin/bash）。當(dāng)某臺(tái)主機(jī)與Netcat受理端建立連接后，前者發(fā)送的命令都會(huì)被Netcat受理端主機(jī)的Shell執(zhí)行，主機(jī)滲透常用工具01Nmap掃描工具Nmap掃描工具是Kali自帶的工具，在使用時(shí)可以調(diào)整掃描速度、顯示詳細(xì)信息、選擇掃描等級(jí)等02Masscan掃描工具M(jìn)asscan掃描工具是Kali自帶的工具，它的掃描速度極快，但不會(huì)顯示具體信息，可以配合Telnet使用03Hydra九頭蛇弱口令爆破工具Hydra九頭蛇弱口令爆破工具是Kali自帶的工具，可以爆破任意指定端口弱口令，需要使用字典，會(huì)將符合條件的結(jié)果輸出04超級(jí)弱口令檢查工具超級(jí)弱口令檢查工具自帶字典，可以一鍵式掃描爆破端口主機(jī)漏洞利用PART.02常見(jiàn)主機(jī)漏洞原理MS08-067漏洞是在MSRPC（MicrosoftRemoteProcedureCall，微軟遠(yuǎn)程進(jìn)程調(diào)用）overSMB（ServerMessageBlock協(xié)議，作為一種局域網(wǎng)文件共享傳輸協(xié)議，常被用來(lái)作為共享文件安全傳輸研究的平臺(tái)）通道調(diào)用Server服務(wù)程序中的NetPathCanonicalize函數(shù)時(shí)觸發(fā)的。NetPathCanonicalize函數(shù)在遠(yuǎn)程訪問(wèn)其他主機(jī)時(shí)，會(huì)調(diào)用NetpwPathCanonicalize函數(shù)，對(duì)遠(yuǎn)程訪問(wèn)的路徑進(jìn)行規(guī)范化。在NetpwPathCanonicalize函數(shù)中存在邏輯錯(cuò)誤，會(huì)造成棧緩沖區(qū)可被溢出，而獲取遠(yuǎn)程代碼執(zhí)行。在路徑規(guī)范化操作中，服務(wù)程序?qū)β窂阶址牡刂房臻g檢查存在邏輯漏洞。攻擊者通過(guò)精心設(shè)計(jì)輸入路徑，可以在函數(shù)去除“..\”字符串時(shí)，將路徑字符串中的內(nèi)容復(fù)制到路徑字符串之前的地址空間中（低地址），達(dá)到覆蓋函數(shù)返回地址，執(zhí)行任意代碼的目的。1.MS08-067原理簡(jiǎn)介MS10-046即Windows快捷方式LNK文件自動(dòng)執(zhí)行代碼漏洞。Windows系統(tǒng)支持使用快捷方式或LNK文件。LNK文件是指向本地文件的引用，單擊LNK文件與單擊快捷方式所指定的目標(biāo)具有相同效果。Windows系統(tǒng)沒(méi)有正確地處理LNK文件，特制的LNK文件可能導(dǎo)致Windows系統(tǒng)自動(dòng)執(zhí)行快捷方式文件所指定的代碼。這些代碼可能位于USB驅(qū)動(dòng)、本地或遠(yuǎn)程文件系統(tǒng)、光驅(qū)或其他位置，使用資源管理器查看LNK文件所在的位置就足以觸發(fā)這個(gè)漏洞。2.MS10-046原理簡(jiǎn)介常見(jiàn)主機(jī)漏洞原理MS12-020是微軟在2012年發(fā)布的一份安全公告，對(duì)應(yīng)的漏洞編號(hào)為CVE-2012-0002。該漏洞是一個(gè)在Windows系統(tǒng)的RDP（RemoteDesktopProtocol，遠(yuǎn)程桌面協(xié)議）中存在的漏洞。RDP是Windows系統(tǒng)中使用的一種協(xié)議，用于遠(yuǎn)程控制或共享桌面。它允許用戶在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行操作，就好像直接在本地計(jì)算機(jī)上操作一樣。在默認(rèn)情況下，RDP功能在許多Windows系統(tǒng)中是開(kāi)啟的。當(dāng)處理特殊構(gòu)造的封包時(shí)，MS12-020漏洞會(huì)導(dǎo)致系統(tǒng)出現(xiàn)內(nèi)存溢出。攻擊者可以利用這個(gè)漏洞發(fā)送特殊構(gòu)造的RDP請(qǐng)求，導(dǎo)致目標(biāo)系統(tǒng)出現(xiàn)內(nèi)存溢出并執(zhí)行任意代碼，以此實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程控制。對(duì)于這個(gè)漏洞，微軟發(fā)布了相應(yīng)的補(bǔ)丁進(jìn)行修復(fù)。對(duì)使用者來(lái)說(shuō)，除了及時(shí)安裝補(bǔ)丁，還可以通過(guò)關(guān)閉RDP、使用VPN等方式進(jìn)行防護(hù)。需要注意的是，這個(gè)漏洞的危害性極高，因?yàn)樗梢栽跓o(wú)須認(rèn)證的情況下遠(yuǎn)程執(zhí)行代碼，因此一旦被攻擊者利用，就可能造成嚴(yán)重的信息泄露和系統(tǒng)損壞。3.MS12-020原理簡(jiǎn)介MS17-010漏洞也被稱為永恒之藍(lán)漏洞，是一個(gè)針對(duì)SMB服務(wù)進(jìn)行攻擊的漏洞。該漏洞導(dǎo)致攻擊者在目標(biāo)系統(tǒng)上可以執(zhí)行任意代碼。事實(shí)上，MS17-010應(yīng)用的不僅僅是一個(gè)漏洞，它包含WindowsSMB遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148六個(gè)漏洞，所以利用MS17-010漏洞進(jìn)行攻擊顯得十分煩瑣。4.MS17-010原理簡(jiǎn)介實(shí)驗(yàn)：Linux主機(jī)漏洞利用攻擊實(shí)踐PART.03Linux主機(jī)漏洞利用攻擊實(shí)踐預(yù)備知識(shí)本實(shí)驗(yàn)要求實(shí)驗(yàn)者具備以下相關(guān)知識(shí)。Samba是在Linux和UNIX系統(tǒng)上實(shí)現(xiàn)SMB協(xié)議的免費(fèi)軟件，由服務(wù)器及客戶端程序構(gòu)成，Samba服務(wù)對(duì)應(yīng)的端口有139、445等。概述（1）CVE-2017-7494漏洞又被稱為Samba服務(wù)遠(yuǎn)程溢出漏洞。（2）主要利用SMB上的反彈Shell漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行。（3）Samba3.5.0到4.6.4/4.5.10/4.4.14的中間版本、Docker。Linux主機(jī)漏洞利用攻擊實(shí)踐原理Samba允許連接一個(gè)遠(yuǎn)程的命名管道，并且在連接前會(huì)調(diào)用is_known_pipename函數(shù)驗(yàn)證管道名稱是否合法。在is_known_pipename函數(shù)中沒(méi)有檢查管道名稱中的特殊字符，但加載了使用該名稱的動(dòng)態(tài)鏈接庫(kù)，導(dǎo)致攻擊者可以構(gòu)造一個(gè)惡意的動(dòng)態(tài)鏈接庫(kù)文件，執(zhí)行任意代碼。該漏洞的利用條件有兩個(gè)，首先要擁有共享文件寫(xiě)權(quán)限，如匿名可寫(xiě)等；其次要知道共享目錄的物理路徑。實(shí)驗(yàn)?zāi)康模?）充分了解CVE-2017-7494漏洞形成的原因。（2）學(xué)會(huì)搭建靶機(jī)環(huán)境。（3）學(xué)會(huì)使用Kali中的MSF。Linux主機(jī)漏洞利用攻擊實(shí)踐實(shí)驗(yàn)步驟步驟一（1）創(chuàng)建快照，在滲透結(jié)束后可以恢復(fù)靶機(jī)。