欢迎回来,我的新手黑客!
如您所知,侦察是黑客/渗透测试人员工作的重要组成部分。如果没有良好的侦察,你所有的工作和努力很可能都白费。随着Metasploit从严格的开发框架发展成为多方面的渗透测试工具,它增加了额外的功能,包括侦察。您不再需要携带单独的工具进行侦察和利用。Metasploit可以做到这一切。
此外,通过将postgresql数据库附加到Metasploit,我们可以将端口扫描和漏洞扫描的结果保存到数据库中,然后在渗透测试的下一阶段使用这些结果。
步骤#1 启动Metasploit
当然,第一步是启动Kali并启动msfconsole。
kali>msf
步骤 #2 nmap 和db_nmap
通常,在开始黑客攻击之前,我们希望尽可能多地收集有关目标的信息。让我们首先找出哪些端口是开放的。Metasploit使我们能够直接从msf提示符运行nmap。让我们尝试使用 TCP 扫描 (-sT) 扫描局域网上的系统,寻找 1 到 1000 (-p1-1000) 之间的开放端口。
msf > nmap -sT 192.168.181.0/24 -p1-1000
如上所示,nmap 能够扫描我们内部网络上的所有计算机,并返回开放端口的结果。
正如我在 Metasploit Basic 第 4 部分中演示的那样,您还可以使用 db-nmap 命令扫描结果并将其保存到 Metasploit 的 postgresql 附加数据库中。这样,您可以在以后的利用阶段使用这些结果。
让我们用db_nmap扫描我们的目标。
msf > db_nmap 192.168.181.0/24
正如我们在上面看到的,Metasploit中的nmap扫描程序能够对子网上的每个系统进行端口扫描,找到它们的开放端口并将该信息存储到数据库中以供以后使用。
步骤#3:扫描模块
Metasploit内置了大量扫描模块。如果我们打开另一个终端,我们可以导航到Metasploit的 auxiliary 模块并列出所有 scanner 模块。
cd /usr/share/metasploit-framework/modules/auxiliary
kali > ls -l
请注意,在上面的屏幕截图中,包含用于各种辅助目的的模块的众多目录。让我们导航到 scanner 目录并查看内部。
kali> cd scanner
kali > ls -l
如下图所示,每个扫描程序模块都位于特定目标类型的目录中。
二十多年来,SMB协议在所有操作系统上都存在问题。2017年,ShadowBrokers发布了一个窃取的NSA漏洞,该漏洞攻击了SMB并赋予了攻击系统管理员权限。这个漏洞在微软的说法中被称为EternalBlue或MS17-010(有关EternalBlue的更多信息,请参阅此处的网络取证文章)。
要确定 Windows 7/Server 2008 系统是否容易受到此攻击,Metasploit 中有一个扫描程序可以确定这一点。
如果我们导航到SMB子目录并在其上进行长列表,我们会看到一个名为“smb_ms17_010”的扫描仪。
kali > cd smb
kali > ls -l
让我们将该扫描程序加载到我们的框架中,并在Windows 7系统上运行它。
msf5 >use auxiliary/scanner/smb/smb_ms17_010
msf5 >set RHOSTS 192.168.1.102
msf5 >run
如上所示,此扫描程序将探测器发送到目标系统,然后返回并报告它可能容易受到攻击!我们将在 Metasploit Basics 系列的第 8 部分中利用该漏洞。
接下来,让我们转到scada目录并查看其中的内部。
如您所见,有11个scada扫描仪模块。
步骤#4进行SCADA扫描
让我们尝试使用其中一个scada扫描仪模块在SCADA系统上进行扫描(有关SCADA黑客的更多信息,请参阅我的SCADA系列)。
msf > use auxiliary/scanner/scada/modbusclient
我们需要设置RHOST,即要读取的线圈数量,并READ_COIL参数。
正如您在上面的屏幕截图中看到的,我们使用此scada扫描仪读取远程SCADA系统上的线圈(线圈是SCADA设施内的ON/OFF开关)。这将是利用此系统之前的第一步。
步骤 #5 MS SQL 登录扫描
在Metasploit中的众多扫描中,有一个可以枚举Microsoft旗舰数据库服务器SQL Server上的登录名。
我们可以通过键入来使用此模块;
msf > use auxiliary/admin/mssql/mssql_enum_sql_logins
加载模块后,我们通过键入信息了解有关此扫描的更多信息。
msf>info
正如您在描述中看到的那样,此模块可用于模糊可用的SQL Server登录名,为我们提供登录名,然后可以使用许多不同的密码破解工具之一暴力破解这些登录名。
一旦我们向它提供RHOST,它就会开始扫描数据库服务器上的可用登录名。
msf >set RHOST 192.168.181.129
msf >exploit
正如您在上面看到的,此扫描程序能够找到登录“sa”帐户或此SQL Server安装的系统管理员!
结论
侦察是黑客/渗透测试过程的关键阶段。Metasploit添加了数百个侦察模块,因此我们可以直接从Metasploit完成大部分侦察。在这里,我只演示了Metasploit中的几个侦察模块,但实际上还有数百个,所以花一些时间探索Metasploit中的许多侦察模块,它可能会在你的黑客/渗透测试中为你节省数百个小时。