网络空间安全之一个WH的超前沿全栈技术深入学习之路(15）红队/白帽必经之路——如何用Metasploit 在边路进行信息刺探及收集[既然是红队，那就对自己狠一点]

盛透侧视攻城狮

发布于 2024-12-25 09:09:39

2420

1.基于 SNMP 协议收集主机信息

我们使用 root 用户先到 Metasploitable2-Linux 主机上修改一下 SNMP 服务
因为默认服务是不对外开放的。

msfadmin@metasploitable:~# vim /etc/default/snmpd

修改第 11 行

SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 127.0.0.1'
为：
SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid 0.0.0.0'

保存退出重启 SNMP 服务

msfadmin@metasploitable:~$ sudo /etc/init.d/snmpd restart

确认服务监听正常

msfadmin@metasploitable:~$ netstat -antup | grep 161
(No info could be read for "-p": geteuid()=1000 but you should be root.)
udp 0 0 0.0.0.0:161 0.0.0.0:*

2.实战-使用 snmp_enum 模块通过 snmp 协议扫描目标服务器信息

Metasploit Documentation: https://docs.metasploit.com/

msf6 >  use auxiliary/scanner/snmp/snmp_enum
msf6 auxiliary(scanner/snmp/snmp_enum) > show options

Module options (auxiliary/scanner/snmp/snmp_enum):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   COMMUNITY  public           yes       SNMP Community String
   RETRIES    1                yes       SNMP Retries
   RHOSTS                      yes       The target host(s), see https://docs.metasploit.com/docs/using-metasploit/ba
                                         sics/using-metasploit.html
   RPORT      161              yes       The target port (UDP)
   THREADS    1                yes       The number of concurrent threads (max one per host)
   TIMEOUT    1                yes       SNMP Timeout
   VERSION    1                yes       SNMP Version <1/2c>


View the full module info with the info, or info -d command.

msf6 auxiliary(scanner/snmp/snmp_enum) > set RHOSTS 192.168.1.180
RHOSTS => 192.168.1.180
msf6 auxiliary(scanner/snmp/snmp_enum) > run

注意：

可以看到通过 snmp 协议探测到的信息非常多。
如服务器硬件信息和服务器当前运行的进程，这两方面是其他扫描方式，获取不到的。

3 基于 SMB 协议收集信息

使用 smb_version 基于 SMB 协议扫描版本号

msf6 >  use auxiliary/scanner/smb/smb_version

设置扫描目标，注意多个目标使用逗号+空格隔开

msf6 auxiliary(scanner/smb/smb_version) > set RHOSTS 192.168.1.56, 192.168.1.180

注意：

192.168.1.56 后面的逗号和 192.168.1.180 之间是有空格的

msf6 auxiliary(scanner/snmp/snmp_enum) > back
msf6 >  use auxiliary/scanner/smb/smb_version
msf6 auxiliary(scanner/smb/smb_version) > show options

Module options (auxiliary/scanner/smb/smb_version):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   RHOSTS                    yes       The target host(s), see https://docs.metasploit.com/docs/using-metasploit/basi
                                       cs/using-metasploit.html
   THREADS  1                yes       The number of concurrent threads (max one per host)


View the full module info with the info, or info -d command.

\msf6 auxiliary(scanner/smb/smb_version) > et RHOSTS 192.168.1.56, 192.168.1.180
[-] Unknown command: et
msf6 auxiliary(scanner/smb/smb_version) > set RHOSTS 192.168.1.56, 192.168.1.180
RHOSTS => 192.168.1.56, 192.168.1.180
msf6 auxiliary(scanner/smb/smb_version) > run

可以扫描出来操作系统的版本号，版本号很准确。

使用 smb_enumshares 基于 SMB 协议扫共享文件（账号、密码）

在 Windows 中启用一下共享服务并且新建文件夹 xuegod 并进入该文件夹。

枚举共享

msf6 > use auxiliary/scanner/smb/smb_enumshares
msf6 auxiliary(scanner/smb/smb_enumshares) > show options

Module options (auxiliary/scanner/smb/smb_enumshares):

   Name                    Current Setting               Required  Description
   ----                    ---------------               --------  -----------
   HIGHLIGHT_NAME_PATTERN  username|password|user|pass|  yes       PCRE regex of resource names to highlight
                           Groups.xml
   LogSpider               3                             no        0 = disabled, 1 = CSV, 2 = table (txt), 3 = one li
                                                                   ner (txt) (Accepted: 0, 1, 2, 3)
   MaxDepth                999                           yes       Max number of subdirectories to spider
   RHOSTS                                                yes       The target host(s), see https://docs.metasploit.co
                                                                   m/docs/using-metasploit/basics/using-metasploit.ht
                                                                   ml
   SMBDomain               .                             no        The Windows domain to use for authentication
   SMBPass                                               no        The password for the specified username
   SMBUser                                               no        The username to authenticate as
   Share                                                 no        Show only the specified share
   ShowFiles               false                         yes       Show detailed information when spidering
   SpiderProfiles          true                          no        Spider only user profiles when share is a disk sha
                                                                   re
   SpiderShares            false                         no        Spider shares recursively
   THREADS                 1                             yes       The number of concurrent threads (max one per host
                                                                   )


View the full module info with the info, or info -d command.

msf6 auxiliary(scanner/smb/smb_enumshares) > set RHOSTS 192.168.1.56
RHOSTS => 192.168.1.56

如果你不配置用户，就扫描不到信息。
所以得配置一下用户信息，我这里用户是默认的管理员用户，密码没有设置。

msf6 auxiliary(scanner/smb/smb_enumshares) > set SMBUser administrator
SMBUser => administrator
msf6 auxiliary(scanner/smb/smb_enumshares) > et SMBPass 123456
[-] Unknown command: et
msf6 auxiliary(scanner/smb/smb_enumshares) > set SMBPass 123456
SMBPass => 123456
msf6 auxiliary(scanner/smb/smb_enumshares) > run

可以看到有 1 个是我们前面设置的 xuegod 共享文件目录还有 4 个是隐藏的共享目录。

使用 smb_lookupsid 扫描系统用户信息（SID 枚举）

在 Win7 上新建一个 xuegod 用户。密码也是 123456

右键计算机→管理→本地用户和组→用户，在空白处，右击新建一个用户

用户 xuegod 密码： 123456

注意：

SID 是 Windows 中每一个用户的 ID，更改用户名 SID 也是不会改变的。

msf6 auxiliary(scanner/smb/smb_enumshares) > back
msf6 > use auxiliary/scanner/smb/smb_lookupsid
msf6 auxiliary(scanner/smb/smb_lookupsid) > show options

Module options (auxiliary/scanner/smb/smb_lookupsid):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   MaxRID     4000             no        Maximum RID to check
   MinRID     500              no        Starting RID to check
   RHOSTS                      yes       The target host(s), see https://docs.metasploit.com/docs/using-metasploit/ba
                                         sics/using-metasploit.html
   SMBDomain  .                no        The Windows domain to use for authentication
   SMBPass                     no        The password for the specified username
   SMBUser                     no        The username to authenticate as
   THREADS    1                yes       The number of concurrent threads (max one per host)


Auxiliary action:

   Name   Description
   ----   -----------
   LOCAL  Enumerate local accounts



View the full module info with the info, or info -d command.

msf6 auxiliary(scanner/smb/smb_lookupsid) > set RHOSTS 192.168.1.56
RHOSTS => 192.168.1.56
msf6 auxiliary(scanner/smb/smb_lookupsid) > set SMBUser administrator
SMBUser => administrator
msf6 auxiliary(scanner/smb/smb_lookupsid) > set SMBPass 123456
SMBPass => 123456
msf6 auxiliary(scanner/smb/smb_lookupsid) >  run