Metasploit第一次渗透记录(前渗透阶段)

      暑假闲着没事,图书馆借了本书叫《Metasploit 渗透测试手册》。其实很久以前就对渗透测试很感兴趣,就是没时间。渗透测试是个好听的说法,其实在我的角度看来就是入侵。请叫我屌哥,因为我两天前,开始学习,今天就差不多搞定了一台主机,虽然root权限搞不定。下面我就说说我的第一次入侵。

      我是要找练手的机器。本来我是好心好意,用xp虚拟机来测试漏洞,谁知道每次使用ms08_067_netapi 都会导致 Generic Host Process for Win32 needs to close,简直就是坑爹。据说是因为虚拟机Chroot Jail Cell不知道什么的原因。见这里。所以我还是找真机吧。

信息搜集:

目标网络:

      有什么地方是大规模的网络,而且被发现也不会被抓的?答案就是学校。所以我就从我们学校下手。选择学校还有其他原因:主机难以维护更新缓慢,使用者素质不同总会有漏洞。第一步就是上网找学校ip段,你懂的。假设我找到的是10.0.0.0-10.0.63.255。下一步就是nmap端口扫描。

扫描准备:

      扫描端口之前,有件事要先准备一下。就是准备一个VPN,这样可以稍微掩盖一下不法行径。而且VPN最好是查不到的。我就选择了AWS直接建个VPS,反正365天不要钱,不用白不用。

端口扫描:

      这时候就用到了metasploit,普通的nmap不能将扫描后的数据自动存到数据库,而且分析也是靠人的。然而metasploit里的db_nmap可以完成数据存储和初步分析。所以果断的,用db_nmap。首先要进入msfconsole,细节以后讲。

      差不多一个意思的nmap来一下,要注意不要一下子太多ip了,干等也不是办法。扫描完成后,可以用msfconsole的内置命令,hosts查看扫描的主机,以及vulns。一般都会有结果,就看临幸哪台主机了。比如我这出来的结果。最理想的是选择老的服务器,nmap有-O选项来检测操作系统。更有smb来更精确的检测,细节留下次。(在此之前我犯了2个错误,1是一定要windows服务器,2是认为内网更容易入侵)vulns

漏洞检测:

      差不多选定了一台主机,就到了深入检测的时候。这是在nmap利用充分之后的下一步。nessus著名的漏洞检测软件。虽然现在不开源,但是作为个人用,有免费版,虽然有限制,但我感觉完全够用。这个还有下载安装注册。具体见主页

      nessus确实吊。是他找到了我这次入侵的突破点,虽然我完全不知道这是如何做到的。。其中这个结果引起我的注意。自己尝试一下,确实是个漏洞。然后又google了一下,发现这可能还有个更危险的漏洞,CVE-2011-4908,可以上传文件。那一切就好说了。我认为这就是切入点,虽然我还不清楚这个joomla!的版本,但能确定这个版本很老。现在都3.0了。joomla

上传shell:

      metasploit自带上传文件的工具,如下一气呵成,这就是metasploit的威力。exploitstep

      可是没有成功。我很疑惑,手动去上传,改名字什么的都行。参考web application,我也实现的同样的效果。我觉得是metasploit出bug了(后来发现应该是网站做了防护措施,检测文件编码和大小)。所以这还得靠手动上传。步骤如下:

  1. 找个合适的能运行命令的php文件,改名为r.ph.p。具体代码见参考
  2. 上传到网站页面,(我就不显示网址了)
  3. 重命名去掉. r.ph.p => r.php
  4. 运行r.php

      这些步骤具体都能在web application里找到。最后结果:webshell

总结:

      现在我只是上传了一个文件,能远程执行代码。这完成了入侵的第一步。接下来的事情才更有趣。真的是像探险一样。各种发现,各种偶然,我真TM是个侦探!
      这给我们的教训是:不要使用过期的软件,要及时更新系统!
      以上仅供学习,我还是那句话:进攻是为了更好的防御。说不定现在我的博客网站正在被攻击,而我从这次入侵中学到的教训可能救了我网站一命。还有,我不会恶作剧,可以看看接下去我发现了什么,我可以做一件足以让其主人崩溃的事,rm -rf。。。但是我没有,我会跟他讲的,他的邮箱已经找到。我也没有泄露网址,所以我不是个坏人,不要抓我。。
      今天先说到这。累成狗。

参考:

  1. nmap常用命令
  2. nessus blog

 

复制来的简单php shell代码,我忘记从来的了,文件里也没有署名,真对不起作者。