渗透测试技术-教学课件 第四章 主机渗透

第四章主机渗透目录CONTENTS01主机渗透概述02主机漏洞利用03Linux主机漏洞利用攻击实践主机渗透概述PART.01主机渗透的一般思路主机渗透是渗透测试的重要内容，包括对Windows、Solaris、AIX、Linux、SCO和SGI等操作系统进行渗透测试。首先，明确攻击目的是控制客户主机，可以通过以下几种=种方式实现。1、社会工程学攻击方式利用社交工程技巧欺骗用户，使其下载恶意软件。例如，攻击者可能伪装成用户熟悉的联系人，通过邮件发送恶意链接给用户，诱骗用户单击恶意链接，然后控制用户的主机。2、运用层方式MSF可以通过扫描端口、扫描漏洞等方式，运用攻击模块，实现对远程主机的控制。找到注入点，进而找到登录后台的用户名、密码。登录后台后，找到文件上传漏洞，先上传小马，再上传大马，最终实现对主机的控制。主机渗透的一般思路3、信息收集攻击前的信息收集很重要，主要包括以下3点。（1）互联网方式获取，即获取网址、IP地址和服务器所在地址等。（2）获取真实IP地址后，根据IP地址获取服务器信息，如操作系统、开放端口和服务等。（3）根据获取的服务器信息，进行漏洞扫描，从而决定攻击策略。主机渗透的一般思路及流程渗透目标确定查找并利用漏洞对内网主机进行渗透，渗透成功后，执行一些命令。准备阶段软件：KaliLinux、WindowsXPSP3Chinese-Simplified(NX)、VMware15pro。网络配置：如WindowsXPSP3Chinese-Simplified(NX)、Kali-linux-2022。WindowsXP系统设置：“两个关闭，三个打开”。“两个关闭”即关闭自动更新和防火墙，否则会一直报连接超时的错误。“三个打开”即打开三个服务，分别是ComputerBrowser、Server和Workstation。渗透测试阶段（1）查找漏洞（可以在网上查找公开的平台漏洞）。（2）选择Rank等级较高的模块，并选中模块。（3）查找漏洞可复现的操作系统类型。（4）查看模块需要配置的参数。（5）查找可用的攻击载荷。（6）开始渗透。Kail基础知识本小节介绍的攻击平台是KaliLinux（简称Kali），它是基于Debian的Linux发行版本，具有大量的渗透测试工具，其前身是BackTrackLinux。虽然渗透测试人员通常在大型项目开始的前两天才开始准备测试主机，但是，如果从安装操作系统时安装测试主机，再逐一安装测试工具，并且确保每款测试工具都能正常运行，那么恐怕谁都受不了这么折腾。Kali这种预先配置好所有测试工具的平台，帮助我们节省了大量的时间。Linux命令行Linux命令行系统釆用一种名为Bash的命令处理程序，它能够把人们输入的文本命令转换为系统控制命令。在使用命令行系统时，能看到“root@Kali:~#”一类的系统提示符。其中，“root”就是Linux系统的超级用户，它具有Kali的全部控制权限。例如下图通过ls指令查看当前目录下的文件夹，可以发现当前目录下为空Kail基础知识Linux文件系统在Linux系统中，无论是键盘、打印机，还是网络设备，所有资源都可以以文件的形式进行访问。只要是文件，就可以被查看、编辑、删除、创建、移动。Linux文件系统大致包括文件系统的根（/）、目录（包含目录中的文件）及其子目录。

切换目录1.pwd:查看当前所处的目录位置2.cd<目录名称>：到达指定目录下面3.cd..：回退到上一级目录

用户权限Linux系统的账户与其能够访问的资源或服务有对应关系。通过密码登录的用户，能访问Linux主机上的某些系统资源。所有用户都能编写自己的文件，都能访问互联网，但是一般用户通常不能看到其他用户的文件。“root”就是Linux系统的超级用户，它具有Kali的全部控制权限。Kail基础知识

添加用户在默认情况下，Kali只有一个账户，即权限最高的root账户。虽然必须以root权限启动绝大多数的安全工具，但是为了减小意外破坏计算机系统的可能性，我们可能更希望使用一个权限较低的账户进行日常的操作，可以使用使用adduser命令来添加其他用户将用户添加到sudoers文件中通常情况下，我们会以非特权用户的身份申请使用root权限。这时就需要在使用root权限的命令前添加sudo前缀，输入当前用户的密码。以刚刚建立的用户为例，为了让这个用户能够运行特权命令，需要把它添加到sudoers文件中。只有在这个文件中的用户才有权使用sudo命令，执行“adduser｛用户名｝sudo”命令。切换用户与sudo命令sudoroot：切换到root用户，需要输入root用户的密码Kail基础知识创建文件和目录1.touchmyfile:创建一个名为myfile的文件2.mkdir文件夹名称：创建一个自定义文化夹文件的复制、移动和删除cp[原路径]［目标路径]:将原路径文件复制到目标路径下mv[原路径]［目标路径]:将原路径文件移动到目标路径下rm文件名:删除文件rm–r:删除文件夹给文件添加文本echo命令可以将终端中输入的内容显示出来，通过管道“>”，可以将输入的内容输出保存为文本文件，此后可以使用cat命令查看文本文件的内容，Kail基础知识文件权限Linux的文件访问权限分为读（r）、写（w）和执行（x）三类，其访问对象也分为三类，即创建人（owner）、所属用户组（group）和其他用户。第一项信息的前三个字符表示创建人持有的权限，紧接着的三个字符表示所属用户组具有的权限，而最后三个字符则表示其他用户、用户组的权限。使用chmod命令可以改变文件的访问权限。chmod命令可以单独调整文件的创建人、所属用户组和其他用户的访问权限。在设置访问权限时，通常使用数字0～7，这些数字的具体含义如下所示Kail基础知识编辑文件Linux用户争议最大的问题之一是“哪款文件编辑器才是最佳编辑程序”，两款较为常用的文本编辑器是：nano和vi。字符串搜索只要按下Ctrl+W组合键，输入要搜索的字符串，再按Enter键就可以进行搜索。使用vi编辑文件vi文件名称：即可对文件进行编辑，不过，vi并不像nano那样启动之后立即进入编辑状态，需要按下I键，进入插入模式后才能开始编辑文件。在插入模式下，屏幕下方将会显示INSERT的字样。当结束文件编辑工作后，按Esc键退出插入模式，返回命令模式。在命令模式下，可以使用编辑命令继续编辑文件。开放式ShellNetcat的Shell命令受理端（CommandShellListener）功能为人乐道。在受理端（监听端口）模式下启动Netcat时，可以使用-e选项绑定主机的Shell（一般是/bin/bash）。当某台主机与Netcat受理端建立连接后，前者发送的命令都会被Netcat受理端主机的Shell执行，主机渗透常用工具01Nmap扫描工具Nmap扫描工具是Kali自带的工具，在使用时可以调整扫描速度、显示详细信息、选择扫描等级等02Masscan扫描工具Masscan扫描工具是Kali自带的工具，它的扫描速度极快，但不会显示具体信息，可以配合Telnet使用03Hydra九头蛇弱口令爆破工具Hydra九头蛇弱口令爆破工具是Kali自带的工具，可以爆破任意指定端口弱口令，需要使用字典，会将符合条件的结果输出04超级弱口令检查工具超级弱口令检查工具自带字典，可以一键式扫描爆破端口主机漏洞利用PART.02常见主机漏洞原理MS08-067漏洞是在MSRPC（MicrosoftRemoteProcedureCall，微软远程进程调用）overSMB（ServerMessageBlock协议，作为一种局域网文件共享传输协议，常被用来作为共享文件安全传输研究的平台）通道调用Server服务程序中的NetPathCanonicalize函数时触发的。NetPathCanonicalize函数在远程访问其他主机时，会调用NetpwPathCanonicalize函数，对远程访问的路径进行规范化。在NetpwPathCanonicalize函数中存在逻辑错误，会造成栈缓冲区可被溢出，而获取远程代码执行。在路径规范化操作中，服务程序对路径字符串的地址空间检查存在逻辑漏洞。攻击者通过精心设计输入路径，可以在函数去除“..\”字符串时，将路径字符串中的内容复制到路径字符串之前的地址空间中（低地址），达到覆盖函数返回地址，执行任意代码的目的。1.MS08-067原理简介MS10-046即Windows快捷方式LNK文件自动执行代码漏洞。Windows系统支持使用快捷方式或LNK文件。LNK文件是指向本地文件的引用，单击LNK文件与单击快捷方式所指定的目标具有相同效果。Windows系统没有正确地处理LNK文件，特制的LNK文件可能导致Windows系统自动执行快捷方式文件所指定的代码。这些代码可能位于USB驱动、本地或远程文件系统、光驱或其他位置，使用资源管理器查看LNK文件所在的位置就足以触发这个漏洞。2.MS10-046原理简介常见主机漏洞原理MS12-020是微软在2012年发布的一份安全公告，对应的漏洞编号为CVE-2012-0002。该漏洞是一个在Windows系统的RDP（RemoteDesktopProtocol，远程桌面协议）中存在的漏洞。RDP是Windows系统中使用的一种协议，用于远程控制或共享桌面。它允许用户在远程计算机上执行操作，就好像直接在本地计算机上操作一样。在默认情况下，RDP功能在许多Windows系统中是开启的。当处理特殊构造的封包时，MS12-020漏洞会导致系统出现内存溢出。攻击者可以利用这个漏洞发送特殊构造的RDP请求，导致目标系统出现内存溢出并执行任意代码，以此实现对目标系统的远程控制。对于这个漏洞，微软发布了相应的补丁进行修复。对使用者来说，除了及时安装补丁，还可以通过关闭RDP、使用VPN等方式进行防护。需要注意的是，这个漏洞的危害性极高，因为它可以在无须认证的情况下远程执行代码，因此一旦被攻击者利用，就可能造成严重的信息泄露和系统损坏。3.MS12-020原理简介MS17-010漏洞也被称为永恒之蓝漏洞，是一个针对SMB服务进行攻击的漏洞。该漏洞导致攻击者在目标系统上可以执行任意代码。事实上，MS17-010应用的不仅仅是一个漏洞，它包含WindowsSMB远程代码执行漏洞CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148六个漏洞，所以利用MS17-010漏洞进行攻击显得十分烦琐。4.MS17-010原理简介实验：Linux主机漏洞利用攻击实践PART.03Linux主机漏洞利用攻击实践预备知识本实验要求实验者具备以下相关知识。Samba是在Linux和UNIX系统上实现SMB协议的免费软件，由服务器及客户端程序构成，Samba服务对应的端口有139、445等。概述（1）CVE-2017-7494漏洞又被称为Samba服务远程溢出漏洞。（2）主要利用SMB上的反弹Shell漏洞进行远程代码执行。（3）Samba3.5.0到4.6.4/4.5.10/4.4.14的中间版本、Docker。Linux主机漏洞利用攻击实践原理Samba允许连接一个远程的命名管道，并且在连接前会调用is_known_pipename函数验证管道名称是否合法。在is_known_pipename函数中没有检查管道名称中的特殊字符，但加载了使用该名称的动态链接库，导致攻击者可以构造一个恶意的动态链接库文件，执行任意代码。该漏洞的利用条件有两个，首先要拥有共享文件写权限，如匿名可写等；其次要知道共享目录的物理路径。实验目的（1）充分了解CVE-2017-7494漏洞形成的原因。（2）学会搭建靶机环境。（3）学会使用Kali中的MSF。Linux主机漏洞利用攻击实践实验步骤步骤一（1）创建快照，在渗透结束后可以恢复靶机。