Metasploit Framework中有很多漏洞利用模块,包括缓冲区溢出,浏览器漏洞利用,Web应用程序漏洞,后门利用,僵尸接管工具等。Exploit开发者以及对这个框架有贡献的人已经分享了很多有趣并且有用的东西。
这篇文章中,我们将讨论利用Metasploit来攻击并接管常见的后门和僵尸网络的话题。我们不会深入研究所有的模块,但是会提到一些在未来渗透测试或者工作时会用到的模块。我们不会开发Exploit,所以不需要你使用调试器和代码编辑器。
如果你刚开始利用Msfconsole(框架的一个命令行接口)来使用Metasploit Framework,不必担心,这里会一步一步地教你怎么使用漏洞利用模块。这个教程只需要你做一件事,在你的攻击机上安装Metasploit,我建议你使用Kali Linux或者BackBox,这是渗透测试的发行版系统,已经预先安装了Metasploit。
对于我们的目标机,我建议你把metasploitable 2安装到喜欢的虚拟化平台上,比如VMWare或者VirtualBox。Metasploitable 2是一个有漏洞的Ubuntun Linux虚拟机,你可以用它练习你的Metasploit使用技巧,因为它上面安装了一些不安全的程序。
Metasploitable 2虚拟机配置安装了包含有后门和公开漏洞的服务。
在6667端口上,Metasploitable 2上运行着有后门的UnreaIRCD IRC后台程序,可以通过发送字母“AB”触发,攻击者能够以运行ircd的用户权限执行任意系统命令。这是一个非常好的用来练习的漏洞,我们试试看能不能弹出一个shell。很幸运,Metasploit已经有一个该漏洞的利用模块,位于exploit/unix/irc/unreal_ircd_3281_backdoor下面。
现在,是时候攻击这个包含有后门的服务了!
哇哦,我们拿到了shell。想要获取更多关于其它有后门的服务的信息,请查看Metasploitable 2 Exploitability Guide。
我们讨论的不应该是常见的后门和僵尸网络接管话题吗?是的!我们才刚刚开始,刚才做了一个简单而又简短的介绍,如何利用MSF控制台来攻击UnreaIRCD IRC服务中的后门。
我们的目标是介绍一个新奇的玩意儿,Metasploit已经有了这一类模块,这些模块并不是在Web应用程序上远程执行任意代码,也不是在应用程序或服务上进行缓冲区溢出攻击。
在下一个例子中,我们将会使用一个我写的Simple Backdoor Shell Remote Code Execution模块攻击一个Web后门。这个模块攻击一个简单的web后门,利用常见后门shell的有脆弱点的参数执行命令。
Daniel Miessler和Jason Haddix的OWASP安全列表工程里有很多这类后门shell的样本,它们被分类编入到Payloads下面。
在我们探究Simple Backdoor Shell Remote Code Execution模块之前,我们首先要在目标机器上创建一个后门shell。我建议你在Linux虚拟机上安装一个Apache 服务器 ,并编写以下有漏洞的代码:
我把这个代码放在Ubuntun VM虚拟机的/var/www/html/msfdev/vulnerable.php路径下,这样我可以使用浏览器访问,如下图所示,利用这个漏洞代码的POC就可以通过exec参数执行任意命令。
现在,我们使用Simple Backdoor Shell Remote Code Execution模块。
正如你看到的执行show option命令之后的输出信息,有一些必须的设置的选项(除RHOST,RPORT,以及其它普通选项外),通过设置METHOD指定HTTP方法,通过设置TARGETURI指定后门shell的路径,以及通过设置VAR指定参数或者说命令变量。
假设我们的目标机的IP地址是192.168.150.136,我们需要把RHOST设置成这个地址,通过设置TARGETURI为/msfdev/vulnerable.php来定义我们的后门shell的位置。然后是VAR选项,我们可以设置为exec,这样就可以执行任意命令。我们不需要设置HTTP方法,因为web应用程序允许GET方法,并且通过GET方法就可以进行漏洞利用。
成功弹出了第二个shell!好了,这就是利用这个模块攻击web shell的全过程。
以下是一些与这类模块相关的其它漏洞利用模块:
Th3 MMA mma.php Backdoor Arbitrary File Upload – 这个模块攻击Th3 MMA mma.php后门,可以上传任意文件,这导致任意代码执行。因为php_uname()函数,这个后门也回显了Linux内核版本号或者操作系统版本号。
Zemra Botnet CnC Web Panel Remote Code Execution – 这个模块攻击CnC web panel of Zemra僵尸网络,在其泄漏的源码中包含了一个后门。Zemra是一个可以实施DDOS攻击的恶意软件,被Symantec发现并命名为Backdoor.Zemra。
China Chopper Caidao PHP Backdoor Code Execution – 这个模块攻击一个中国黑客广泛使用的中国菜刀webshell。
Horde 3.3.12 Backdoor Arbitrary PHP Code Execution – 这个模块攻击一个包含有任意PHP代码执行漏洞后门的Horde 3.3.12 and Horde Groupware 1.2.10。
OpenX Backdoor PHP Code Execution – 至少在2012年11月到2013年8月期间,penX Ad Server version 2.8.10上搭载了一个隐藏的后门。漏洞利用非常简单,只需要发送一个含有rot13’d和回连载荷的单独请求。
STUNSHELL Web Shell Remote PHP Code Execution – 这个模块攻击一个“STUNSHELL”Webshell的未证实版本。当Web服务器上开启了安全模式时这个模块有效。该shell被广泛用在自动化RFI载荷中。
继续,列表会越来越长。通过命令search backdoor你可以获取更多的模块。
我编写和贡献的另一类模块是针对僵尸网络接管的。一个好例子是w3tw0rk / Pitbul IRC Bot Remote Code Execution。这个模块攻击一个w3tw0rk僵尸网络,把你的昵称注册或者伪装成注册僵尸网络的IRC频道的管理员或者看守人。
我想把这个作为一个挑战给你,因此我不会解释这些选项的含义以及如何攻击这类僵尸网络,而且已经有了一个这个漏洞利用的截屏。我想你已经通过前面的指令看到了设置Metasploit的模式。
这里是w3tw0rk / Pitbul IRC的源代码脚本,它可以用来发动DDos(分布式拒绝服务)或者DoS(拒绝服务)攻击:
。你应该在你的虚拟机中运行它,确保它连上你自己的IRC服务器,这样你的虚拟机就不会被其它的僵尸网络看守者或恶意软件十字军所控制。
我不对这个脚本造成的危害负责,但是请仅作为教学目的使用。
其它与僵尸网络接管相关的漏洞利用模块:
Xdh / LinuxNet Perlbot / fBot IRC Bot Remote Code Execution – 这个模块可以在xdh开发的IRC Bot上远程命令执行。这个perl bot是Conor Patrick用他的shellshock蜜罐服务器捕获的,Markus Zanke将其划入到fBot (Fire & Forget – DDoS Bot)类别中。Matt Thayer发现这个脚本有一个LinuxNet perlbot的描述。这个bot只应答配置在perl脚本中的服务名和昵称,因此,为了攻击这个bot你需要能够操作IRC网络来欺骗它或者至少有和配置中相同的ip。
Ra1NX PHP Bot PubCall authentication Bypass Remote Code Execution – 这个模块可以在PHP IRC bot Ra1NX 上远程命令执行,通过使用私人信息中的public call特性来秘密绕过认证系统。
Legend Perl IRC Bot Remote Code Execution – 这个模块可以在Legend Perl IRC Bot上远程命令执行。2014年10月该bot被作为一个载荷用在Shellshock spam中。这个特殊的bot有一些功能,比如NMAP扫描, TCP, HTTP, SQL, and UDP洪泛攻击,清除系统日志,获取root权限,VNC扫描。Damballa的高级威胁研究专家Kevin Stevens把这个脚本上传到VirusTotal上,其md5为11a9f1589472efa719827079c3d13f76。
Dexter (CasinoLoader) SQL Injection – 这个模块攻击一个在control Dexter上使用的命令和控制面板中发现的漏洞。漏洞利用通过访问一个bots使用的PHP页面(gateway.php)实现,这个页面并没有对输入作防护。输入被加密和编码。命令和控制面板指定了一个上传文件的位置,这可以作为写入PHP shell的可靠位置。攻击这个漏洞并不需要认证。
参考文献:
中国企业什么时候开始跨国并购
是从2006年开始的,
中国企业跨国并购的根本动因是企业成长的需要。 有一点可以肯定的就是并购能够帮助中国企业迅速获得新的市场机会。 主要体现在企业在不增加行业生产能力的情况下达到临界规模。 通过并购接管一家公司可以立即利用现成的当地供应商与顾客网络,并获得相应的市场份额。 据说海尔如果成功并购美泰克,将会获得美国家电市场16%的市场份额,这是任何一家新公司在短期之内无法完成的。 另外,公司进行并购主要是因为通过并购能产生协同效应,提高效率,典型的就是在短时期内发挥规模效应。 跨国公司可以通过并购对企业的资产进行补充和调整,以达到最佳经济规模,降低企业的生产成本,以产生规模经济效益。 企业培育核心竞争力有两种途径:一是在公司内部通过长期的自身知识积累学习,逐步培育起来;二是通过外部并购具有核心竞争力或具有相应资源的企业,经过有效重组、整合而得。 相比之下,跨国并购具有时效快、可得性和低成本等特点。 特别是对于那种企业需要的某种知识和资源专属于另一企业时,并购就成为企业获得这种知识和资源的惟一途径。
DDOS可不可防御
不可以防御的,这是由网络带宽限制的、100辆车并排走一个5米宽的路,那是什么感觉。 DDOS就是增加了宽带数据量、造成网咯堵塞。 如果想防御,除非停止这个网站的所有服务。 既然用户可以访问,那攻击者同样可以操作一个庞大的僵尸网络来访问这个网站。
什么是僵尸病毒??
僵尸网络病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。 僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。 因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。 僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。 然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。 因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 此病毒有如下特征:1、连接IRC服务器;1)连接IRC服务器的域名、IP、连接端口情况如下:域名 IP 端口 所在国家 194.109.11.65 TCP/6556,TCP/1023 荷兰 64.202.167.129 TCP/6556,TCP/1023 美国 194.109.11.65 TCP/6556,TCP/1023 荷兰 64.202.167.129 TCP/6556,TCP/1023 美国 194.109.11.65 TCP/6556,TCP/1023 荷兰 无法解析 TCP/6556,TCP/)连接频道:#26#,密码:g3t0u7。 2、扫描随机产生的IP地址,并试图感染这些主机;3、运行后将自身复制到System\;4、在系统中添加名为NetDDE Server的服务,并受系统进程保护。 按照以下方法进行清除:该蠕虫在安全模式下也可以正常运行。 但可以通过清除注册表的方式在正常模式下清除蠕虫。 手工清除该蠕虫的相关操作如下:1、断开网络;2、恢复注册表;打开注册表编辑器,在左边的面板中打开并删除以下键值:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv3、需要重新启动计算机;4、必须删除蠕虫释放的文件;删除在system下的文件。 (system是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32)5、运行杀毒软件,对电脑系统进行全面的病毒查杀;6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁。
发表评论