metasploit在渗透测试中常常被用到,实践上这套软件搜聚了不少器械,这些器械组成了1个残破的进攻框架.
metasploit梗概在渗透测试中的每1方面都不能称为最佳用的器械,然而这个工存在它本身的方便的地方.
这篇文章中,我调演示在1次渗透测试中咱们会阅历哪些步骤,而且我会故意的只操作metasploit来实现这些任务,以此来默示metasploit的本领所在.
渗透测试中不能仅仅依靠器械,器械常常会出错.
最佳亲身试下器械获得的前因,而且尽或很多用几个器械测1下,看下前因是不是雷同的.本身手动确认漏洞当然是最佳的了,譬喻说,如果1个器械测出来讲或许存在匿名FTP登录,那咱们就该试着去登录FTP处事器,看下器械的检测前因是不是切确的.
我风俗操作Backtrack 5R2零碎,metasploit和postgresql数据在这个零碎上都已经默认铺排了.
这次用来演示的进攻目标是192.168.3.0/24这个网段.
好吧,当初劈头开端实践垄断.
打开msfconsole,而且检查数据库可否连上木有.
先来介绍1下任务空间的观念.在metasploit中任务空间被当作寄放消息的逻辑单元.你大概为分歧的渗透任务设立分歧的任务空间.在分歧的任务空间中很繁冗同享数据.
任务空间中有不少的放数据的表,如hosts,service,vulns,loot和notes.大概手动增加数据到表中,譬喻大概增加1个主机到hosts表中.
而且1个处事大概手动增加到services表中:
想到自动获得这些表的话,大概用db_nmap.不外你也大概用你喜欢的扫描器械,只要你把扫描前因导出成xml名堂的文件,尔后就大概把xml名堂的文件导入到metasploit的数据库中.导入大概用msfconsole的内置db_import饬令;看上面这张图,大概看出不少的器械都被反对:
咱们先来用nmap扫1下:
看1下hosts表,大概看到表中有不少数据了:
看1下services表,咱们大概只默示咱们想看到的几列数据:
因为看到有这么多的windows主机,咱们大概操作协助模块,1个smb版本扫描器:
所以咱们需要用set饬令指定1个特定的hosts,然而那样的话咱们就得1个1个的指定hosts,那不得烦死?所以这里metasploit就有1个很方便的处所,咱们大概从services表中获得全体开了445端口的主机,生成1个文件,尔后把这个文件当作hosts参数:
smb扫描器扫完当前,咱们来看1下services表:
大概看到不少windows 2003的主机,只要1个主机铺排了SP1.咱们还大概看到主机的名字和域名是”TEST”.咱们大概猜1下TEST-EMEA-DC-01是台域控主机,而且TEST-EMEA-DB-01或许是台数据库处事器.
OK,来看看这台或许的数据库处事器.
大概猜下如果是台数据库处事器,数据库理应是mssql,因为是台windows主机嘛.不外mssql默认的处事端口1433却貌似没打开.那我就要来测试1下终究有不有mssql了:
貌似咱们扫出来了:
这里,扫描器发现了1个mssql处事,监听在1043端口.mssql处事版本9.00.4035.00,据此可知运行的是Microsoft SQL 2005 SP3.
咱们查看1下services表,看下有甚么篡改:
services表除了减少1043端口的mssql处事,还减少了1个1433的端口,即是这个端口走漏了mssql处事的着实端口.
当初,咱们既然已经知道主机上有个数据库处事正在运行,而且知道是监听在哪个端口,咱们大概再用metasploit暴力破解1下.
设置好RPORT参数,而且设置暗码和用户名雷同:
运行完后,得胜找到暗码:
OK,当初咱们知道了暗码.那末这个然而咱们的第1个凭证.咱们不妨来看看creds表:
exploit:
咱们已经知道用户名,暗码和端标语了:
得到1个meterpreter shell:
将这次会话放到后台.咱们看下会话,大概看到有1个会话:
当初来看看怎么用post exploit模块来进1步渗透.
咱们用smart_hashdump来查看hashes.设置好SESSION和GETSYSTEM参数:
尔后运行:
OK,当初loot表中有1些数据了.
smart_hashdump得到了SYSTEM权限后,大概获得两个hashes.看起来administrator帐号和RID为500的localadmin1样.所以Administrator是1个假的帐号.
当初来看下loot表:
看下creds表,发现已经有三笔记录了:
咱们来看下localadmin帐号的暗码在别的零碎可否大概登录:
首先,咱们增加从service表中增加hosts:
因此,咱们不是在破解hash,而是繁冗地传递hash.咱们把USER_AS_PASS和BLANK_PASSWORDS设置成false:
咱们大概看到登录得胜了不少:
更多的凭证在creds表中了:
当初咱们有了windows零碎的外地用户暗码.咱们大概用psexec exploit,然而那样的话,咱们得1个接1个地做.在这个psexec exploit中,只要RHOST参数,不有RHOSTS参数,所以也不能用services表生成1个hosts文件.所以咱们需要另1种自动化的行动-resource脚本.
感激互联网上的各种利润,我收集到了这段脚本.修正这段脚本,很紧要地大概增加更多地模块:
当初咱们需要实行psexec.不外咱们不能间接地实行这段脚本,因为默认的PAYLOAD是windows/meterpreter/reverse_tcp,标题是反弹型的shell不能都连到同1个端口吧,所以这里咱们要把PAYLOAD改成 windows/meterpreter/bind_tcp:
尔后运行resource脚本:
当初咱们就有9个会话了:
当初咱们需要获得更多的hashes,诚然大概手工地进入每1个会话,尔后获得hashes.然而咱们需要自动化啊.咱们大概用1个credential collector模块.这个模块会收集hashes,而且很弥留的是它会清理好踪迹和找到domain tokens.不外这个模块仍是需要本身脱手对每1个session垄断以此,除非咱们再写1个resource脚本.
劈头开端收集hashes和tockens:
会话5和会话6貌似有1些不1样的domain tokens:
咱们大概操作这些token,如许咱们对一小块域就有贪图员权限了:
好了,我已经演示完了metasploit中的1些组件的用法.
Happy Metasploiting…
与metasploit相关的文章推荐:
具体饬令与参数:《Meterpreter初探》
攻防实战:《Metasploitable 2 漏洞练习训练零碎操作指南(上)》
【via@spiderlabs】
