主題:掃描具有MS06-040弱點的機器再利用 Metasploit Framework 攻擊加入駭客帳號與取得權限 。
##CONTINUE##
VMWARE 模擬環境:
Hacker:IP:192.168.123.101
工具:MS06-040 弱點掃描工具、Metasploit Framework、DOS指令
Server:IP:192.168.123.100
服務:無
模擬過程:
Hacker 首先使用[ MS06-040 弱點掃描工具 ]來掃描出目標Server 192.168.123.100 發現具有 MS06-040 未修正的弱點。
接著使用[ Metasploit Framework Web Console v2.6 ] 之 MSFWeb Console 來進行針對[ Microsoft NetpIsRemote() MS06-040 OverFlow] 的 EXPLOITS 程序。
選擇 Select Payload:win32_reverse 來取得一個 Windows Reverse Shell ,選擇好相關選項後接著執行[ Exploit ],如果目標機器具有MS06-040 的弱點就會Exploit 出一個可用的 Windows Reverse Shell 。
輸入[ ipconfig ]確認IP為目標機器,接下來就可執行其他DOS指令,例如:[ net user、net localgroup、net share、net use ]等來建立駭客帳號[ hacker ]與加入該台主機之[ administrators ]群組。最後使用[ net use z: \\sec\web ]來建立遠端的磁碟機達到遠端控制之目的。
防治手段:
- 修補系統[ MS06-040 弱點 ]。(迷之聲:當然應該所有系統弱點都應該一起修正)
- 設定或檢測防火牆上阻擋[ 弱點掃描工具 ]的掃描行為,基本上該 [ Microsoft NetpIsRemote() MS06-040 OverFlow] 的 EXPLOITS 程序需要呼叫[ port 4321 ],除非該Server沒有架設,不然[ port 4321 ]應該是不會對外開放的。
- 建置IDS/IDP等多層次資訊安全架構。(迷之聲:[ Microsoft NetpIsRemote() MS06-040 OverFlow ]基本上大部分的IDS/IDP均可抓到這樣的惡意攻擊行為,如果設備設定無誤且有更新偵測碼的話應該是阻擋的住。)
特別聲明:
本影片預設都沒有錄製聲音,只有在舉辦研討會中才會有錄製聲音。
此模擬過程為Demo常見之入侵手法,示範及被攻擊主機均為VMWARE模擬機器而非真實主機。
本示範檔並非[教授入侵技巧],相關[駭客工具]及[木馬程式]等檔案請勿詢問及索取。
[ MS06-040 弱點掃描工具 ]以及[ Metasploit Framework Web Console v2.6 ] 均是合法廠商所開發的測試用工具,但該工具雖然合法而使用的人行為合不合法就不知道了。
