|
|
|
联系客服020-83701501

Metasploit =- tips, tricks, hashes and tokens

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Metasploit => tips, tricks, hashes and tokens

metasploit在渗透测试中常常被用到,实践上这套软件搜聚了不少器械,这些器械组成了1个残破的进攻框架.

metasploit梗概在渗透测试中的每1方面都不能称为最佳用的器械,然而这个工存在它本身的方便的地方.
这篇文章中,我调演示在1次渗透测试中咱们会阅历哪些步骤,而且我会故意的只操作metasploit来实现这些任务,以此来默示metasploit的本领所在.
渗透测试中不能仅仅依靠器械,器械常常会出错.
最佳亲身试下器械获得的前因,而且尽或很多用几个器械测1下,看下前因是不是雷同的.本身手动确认漏洞当然是最佳的了,譬喻说,如果1个器械测出来讲或许存在匿名FTP登录,那咱们就该试着去登录FTP处事器,看下器械的检测前因是不是切确的.
我风俗操作Backtrack 5R2零碎,metasploit和postgresql数据在这个零碎上都已经默认铺排了.
这次用来演示的进攻目标是192.168.3.0/24这个网段.
好吧,当初劈头开端实践垄断.
打开msfconsole,而且检查数据库可否连上木有.

6a0133f264aa62970b016306af9984970d-800wi
先来介绍1下任务空间的观念.在metasploit中任务空间被当作寄放消息的逻辑单元.你大概为分歧的渗透任务设立分歧的任务空间.在分歧的任务空间中很繁冗同享数据.

6a0133f264aa62970b016306af9d51970d-800wi
任务空间中有不少的放数据的表,如hosts,service,vulns,loot和notes.大概手动增加数据到表中,譬喻大概增加1个主机到hosts表中.

6a0133f264aa62970b016767a305e2970b-800wi
而且1个处事大概手动增加到services表中:

6a0133f264aa62970b0176159880b9970c-800wi
想到自动获得这些表的话,大概用db_nmap.不外你也大概用你喜欢的扫描器械,只要你把扫描前因导出成xml名堂的文件,尔后就大概把xml名堂的文件导入到metasploit的数据库中.导入大概用msfconsole的内置db_import饬令;看上面这张图,大概看出不少的器械都被反对:

6a0133f264aa62970b017615988419970c-800wi
咱们先来用nmap扫1下:

6a0133f264aa62970b016767a30c59970b-800wi
看1下hosts表,大概看到表中有不少数据了:

6a0133f264aa62970b017615988671970c-800wi
看1下services表,咱们大概只默示咱们想看到的几列数据:

6a0133f264aa62970b016306afa7ac970d-800wi
因为看到有这么多的windows主机,咱们大概操作协助模块,1个smb版本扫描器:

6a0133f264aa62970b016767a3132f970b-800wi
所以咱们需要用set饬令指定1个特定的hosts,然而那样的话咱们就得1个1个的指定hosts,那不得烦死?所以这里metasploit就有1个很方便的处所,咱们大概从services表中获得全体开了445端口的主机,生成1个文件,尔后把这个文件当作hosts参数:

6a0133f264aa62970b0176159894ea970c-800wi
smb扫描器扫完当前,咱们来看1下services表:

6a0133f264aa62970b017615989974970c-800wi
大概看到不少windows 2003的主机,只要1个主机铺排了SP1.咱们还大概看到主机的名字和域名是”TEST”.咱们大概猜1下TEST-EMEA-DC-01是台域控主机,而且TEST-EMEA-DB-01或许是台数据库处事器.
OK,来看看这台或许的数据库处事器.

6a0133f264aa62970b016767a31b04970b-800wi
大概猜下如果是台数据库处事器,数据库理应是mssql,因为是台windows主机嘛.不外mssql默认的处事端口1433却貌似没打开.那我就要来测试1下终究有不有mssql了:

6a0133f264aa62970b016306afb717970d-800wi
貌似咱们扫出来了:

6a0133f264aa62970b016767a31df3970b-800wi
这里,扫描器发现了1个mssql处事,监听在1043端口.mssql处事版本9.00.4035.00,据此可知运行的是Microsoft SQL 2005 SP3.
咱们查看1下services表,看下有甚么篡改:

6a0133f264aa62970b016306afbb0f970d-800wi
services表除了减少1043端口的mssql处事,还减少了1个1433的端口,即是这个端口走漏了mssql处事的着实端口.
当初,咱们既然已经知道主机上有个数据库处事正在运行,而且知道是监听在哪个端口,咱们大概再用metasploit暴力破解1下.

6a0133f264aa62970b01761598a54c970c-800wi
设置好RPORT参数,而且设置暗码和用户名雷同:

6a0133f264aa62970b01761598a7bc970c-800wi
运行完后,得胜找到暗码:

6a0133f264aa62970b016767a32a06970b-800wi
OK,当初咱们知道了暗码.那末这个然而咱们的第1个凭证.咱们不妨来看看creds表:

6a0133f264aa62970b016767a32c2d970b-800wi
exploit:

6a0133f264aa62970b016306afc80a970d-800wi
咱们已经知道用户名,暗码和端标语了:

6a0133f264aa62970b016306afc8c9970d-800wi
得到1个meterpreter shell:

6a0133f264aa62970b01761598b1fd970c-800wi
将这次会话放到后台.咱们看下会话,大概看到有1个会话:

6a0133f264aa62970b01761598b2f1970c-800wi
当初来看看怎么用post exploit模块来进1步渗透.
咱们用smart_hashdump来查看hashes.设置好SESSION和GETSYSTEM参数:

6a0133f264aa62970b01761598b41f970c-800wi
尔后运行:

6a0133f264aa62970b01761598b56c970c-800wi
OK,当初loot表中有1些数据了.
smart_hashdump得到了SYSTEM权限后,大概获得两个hashes.看起来administrator帐号和RID为500的localadmin1样.所以Administrator是1个假的帐号.
当初来看下loot表:

6a0133f264aa62970b01761598b725970c-800wi
看下creds表,发现已经有三笔记录了:

6a0133f264aa62970b01761598ba68970c-800wi
咱们来看下localadmin帐号的暗码在别的零碎可否大概登录:

6a0133f264aa62970b016306afd2ec970d-800wi
首先,咱们增加从service表中增加hosts:

6a0133f264aa62970b016306afd474970d-800wi
因此,咱们不是在破解hash,而是繁冗地传递hash.咱们把USER_AS_PASS和BLANK_PASSWORDS设置成false:

6a0133f264aa62970b016306afd669970d-800wi
咱们大概看到登录得胜了不少:

6a0133f264aa62970b01761598bf8f970c-800wi
更多的凭证在creds表中了:

6a0133f264aa62970b016306afd809970d-800wi
当初咱们有了windows零碎的外地用户暗码.咱们大概用psexec exploit,然而那样的话,咱们得1个接1个地做.在这个psexec exploit中,只要RHOST参数,不有RHOSTS参数,所以也不能用services表生成1个hosts文件.所以咱们需要另1种自动化的行动-resource脚本.
感激互联网上的各种利润,我收集到了这段脚本.修正这段脚本,很紧要地大概增加更多地模块:

6a0133f264aa62970b016767a341e1970b-800wi
当初咱们需要实行psexec.不外咱们不能间接地实行这段脚本,因为默认的PAYLOAD是windows/meterpreter/reverse_tcp,标题是反弹型的shell不能都连到同1个端口吧,所以这里咱们要把PAYLOAD改成 windows/meterpreter/bind_tcp:

6a0133f264aa62970b01761598c558970c-800wi
尔后运行resource脚本:

6a0133f264aa62970b01761598c73a970c-800wi
当初咱们就有9个会话了:

6a0133f264aa62970b016306afdeb0970d-800wi
当初咱们需要获得更多的hashes,诚然大概手工地进入每1个会话,尔后获得hashes.然而咱们需要自动化啊.咱们大概用1个credential collector模块.这个模块会收集hashes,而且很弥留的是它会清理好踪迹和找到domain tokens.不外这个模块仍是需要本身脱手对每1个session垄断以此,除非咱们再写1个resource脚本.

6a0133f264aa62970b016306afe149970d-800wi
劈头开端收集hashes和tockens:

6a0133f264aa62970b01761598cb61970c-800wi
会话5和会话6貌似有1些不1样的domain tokens:

6a0133f264aa62970b01761598ccbb970c-800wi
咱们大概操作这些token,如许咱们对一小块域就有贪图员权限了:

6a0133f264aa62970b016767a34ab0970b-800wi
好了,我已经演示完了metasploit中的1些组件的用法.
Happy Metasploiting…

与metasploit相关的文章推荐:

具体饬令与参数:《Meterpreter初探》

攻防实战:《Metasploitable 2 漏洞练习训练零碎操作指南(上)》

【via@spiderlabs】

数安新闻+更多

证书相关+更多