基于MSF平臺下的內(nèi)存密碼破解新思路

姚軼嶄 陳利 王禹 田永興

中國信息安全測評中心 北京 100085

0 前言

metasploit溢出工具包的使用對于溢出攻擊內(nèi)網(wǎng)服務器系統(tǒng)具有非常重要的作用，可以說在溢出工具包中總可以找到適合我們滲透攻擊使用的高效溢出工具。

首先在對內(nèi)網(wǎng)服務器系統(tǒng)攻擊開始之前我們必須確保該服務器系統(tǒng)有這種溢出漏洞存在，這是我們進行溢出攻擊的前提條件，所以我們需要利用一些漏洞掃描工具，如XSCAN、HSCAN、SUPERSCAN等，對內(nèi)網(wǎng)服務器主機系統(tǒng)進行大面積的漏洞掃描。需要說明的是單位內(nèi)部網(wǎng)絡服務器系統(tǒng)由于考慮到服務器系統(tǒng)補丁升級會給部署于其上的應用系統(tǒng)的使用穩(wěn)定性帶來影響，再加上網(wǎng)絡管理人員的錯誤網(wǎng)絡安全思想，認為有了網(wǎng)絡安全產(chǎn)品防火墻、入侵檢測、入侵防御和防病毒系統(tǒng)等的部署對于安全防御就可以高枕無憂了，所以大量的服務器系統(tǒng)都不會進行或者不完全進行各種安全補丁的更新安裝工作，這就為我們從內(nèi)部網(wǎng)絡入侵服務器系統(tǒng)帶來了機會。

1 密碼的破解和反破解

在滲透測試和安全研究中，最終的關卡就在密碼的破解和反破解之間的博弈，所以，如何通過內(nèi)存密碼的破解得到想要的權限，成為一個研究課題。

首先，通過某些手段取得一個會話，先導出HASH:

導出的HASH已經(jīng)保存到了數(shù)據(jù)庫里面，查看一下：

最終結果如圖1所示。

圖1 已經(jīng)成功得到密碼

通過得到的密碼，可以進行后續(xù)的提權和執(zhí)行系統(tǒng)命令等操作。由于遠程主機上一般都已經(jīng)禁用了FTP服務，或者封閉了FTP服務端口，所以不能通過FTP服務向遠程主機直接上傳文件，然而，我們可以在本地建立一個FTP服務器，從被溢出的遠程主機向本地的FTP服務器發(fā)起連接，從而繞過防火墻的禁止，直接下載攻擊者所在的本地FTP服務器上的MIMIKATZ程序文件，接下來還可以上傳一些控制木馬和控制工具，為最高效獲取服務器主機的管理員密碼做好準備。

2 MIMIKATZ獲取管理員賬號和密碼

此處上傳的MIMIKATZ程序文件不需要包含所有文件，只需要將 win32文件夾下的內(nèi)容復制，復制完畢后，進入win32路徑下直接執(zhí)行mimikatz.exe即可，mimikatz是法國人寫的，windows下的輕量級調(diào)試器，可以直接抓取windows的口令，只要系統(tǒng)沒有重啟，登錄過的賬戶口令都可以抓到。需要說明的是一般情況下解壓 MIMIKATZ壓縮文件后會生成三個目錄，只須打開win32目錄下的mimikatz.exe文件即可，就如我們此次的操作，彈出控制臺窗口，命令提示符是mimikatz#。使用到的主要的三個命令是：//提升權限privilege::debug //注入dll inject::process lsass.exe sekurlsa.dll //抓取密碼 @getLogonPasswords，不過需要注意的是如果是通過遠程終端(mstsc.exe)、虛擬桌面中抓取密碼的時候，通常在遠程終端中運行該程序會提示：存儲空間不足，無法處理此命令。這是因為在終端模式下，不能插入遠線程，跨會話不能注入，你需要使用如下方法執(zhí)行該程序：首先提取幾個文件，只抓取密碼的話，只需要這幾個文件：

打包后上傳至目標服務器，然后解壓釋放，注意路徑中絕對不能有中文(可以有空格)！否則加載DLL的時候會報錯，找不到文件。而我們此次操作的方法是直接利用溢出權限進行類似于本地的命令執(zhí)行操作，所以不需要上述幾個文件，直接即可得到管理登錄過的賬號和密碼。具體滲透執(zhí)行過程如下所示：綠色標示部分為輸入的命令，黃色標示部分為從內(nèi)存中獲取到的服務器管理員賬號和密碼。

獲取到系統(tǒng)的管理員賬號和密碼后，繼續(xù)可以用已經(jīng)上傳的一些控制工具打開系統(tǒng)的 3389端口進行遠程控制，或者悄悄安裝一個小巧的后門木馬控制程序，實現(xiàn)對服務器系統(tǒng)的完全和長期的控制，并作為攻擊其它服務器系統(tǒng)的一個跳板機。

3 總結

這種metasploit內(nèi)存獲得系統(tǒng)密碼并結合MIMIKATZ工具的攻擊方式，在實際的使用中可以發(fā)現(xiàn)對于內(nèi)網(wǎng)服務器系統(tǒng)的攻擊具有非常高的效率，因為單位內(nèi)網(wǎng)服務器系統(tǒng)會由于各種原因總有個別服務器安全補丁打的有遺漏，結合強大的 metasploit攻擊工具首先可以獲得服務器系統(tǒng)的系統(tǒng)操作權限，再借助上傳工具上傳MIMIKATZ工具，并直接執(zhí)行，高效從內(nèi)存中獲取到系統(tǒng)的管理員賬號和密碼，為進一步完全占領服務器系統(tǒng)快速簡潔的打好了基礎，所以說這確實是一種利用攻擊工具結合攻擊思路的新型攻擊范例。

[1]David Kennedy,Jimo’Gorman, Devon Kearns,and Mati Aharoni.Metasploit_penetration_test_guider.