这一整章所介绍的技术,都是在“被占领主机”(victim)上,通过“重定向”操作,利用客户端漏洞获得在客户端的主机上执行黑客代码的能力。我们可以看到形形色色的方法,可以在客户端上的用户毫不知情的情况下,被黑客实施了“重定向”操作,只是,在看到这些内容之前,让我们先看一下当手工通过浏览器(browser)去利用一个服务器漏洞的时候,我们可以看到什么样子。这种攻击发生在如图5-1所示的网络中,其总结如表5-1所示。
图5-1 我们“被占领网络”的布局
表5-1 图中网络配置总结
⚡ 应用层的攻击方式
在一个典型的客户端攻击中,攻击者从应用层的漏洞中获得“代码执行”的权力。这些类型的漏洞的例子包括:CVE-2014-4114,这是Microsoft公司的Office软件中,一个OLE对象解析方面的缺陷;还有CVE-2014-4111,这是IE浏览器(Internet Explorer)中的一个“内存崩溃”(memory corruption)的缺陷。相对于这些特定的bug,通常需要转瞬即逝的条件,虽可重现,但较难捕获,与其把精力集中在这个上面,还不如通过展示怎么样使用Metasploit中的browser_autopwn程序漏洞功能,借助于对这种漏洞的攻击,更能理解基于浏览器攻击的原理和使用方法。
5.1.1 使用browser_autopwn程序
Metasploit工具包中的browser_autopwn程序是一个功能模块。该功能模块可以方便地检测许多种客户端的bug,这些漏洞根据它们的特点,以及相互间的历史传参关系,组成了一个“树”状的结构,并称为“Metasploit树”(Metasploit tree),凡是“Metasploit树”中的漏洞,browser_autopwn程序都可以检测到。首先,启动msfconsole程序[1],以便加载browser_autopwn模块。指定服务器的端口号(port number),注意要避免使用TCP方式下的80这个端口号,因为我们将在随后不同的攻击中使用该端口。一个无害的URL用于攻击时传送数据使用,设置这个URL需要通过参数“/ads”,如下所示。
最后,在命令中指定一个攻击者可以访问的IP地址,当我们的“外壳”shell程序需要“回连”(connect-back)的时候,就会连接这个IP地址。
现在,我们就可以发动browser_autopwn的“引擎”,让它运转起来了。
正如你从输出看到的,这个版本的Metasploit装了16个独特的客户端漏洞检测模块。如果“被占领主机”可以被定向到http://10.0.1.9:55550/ads ,那么browser_autopwn模块将检测该客户端浏览器的类型和版本,并且向其传送一个相匹配的漏洞攻击。这里获得浏览器类型和版本的方式是通过“JavaScript脚本”和“用户代理解析”(User-Agent parsing)实现的。
1.通过browser_autopwn检测OS X的浏览器漏洞在下面的例子中,在OS X操作系统上使用Firefox浏览器,在浏览browser_autopwn以前的URL的时候,存在一个Java的“运行时”(runtime)漏洞。假设有一个用户在看到所有关于运行时Jave“超时”(out-of-date)的警告,在发生这种问题的时候,通常会有很多提示信息,图5-2只是显示了其中一个。如果该用户仍然单击通过的时候,你就会在你的msfconsole窗口上,看到如下的信息提示输出出来。
图5-2 提示信息
如果检测成功,你会得到一个新的连接会话(session),通过这个会话你可以看到下面所列的内容。
你也可以与“会话1”(session 1)通过“-i”参数进行交互操作。
♥
提示
你可以从本书的网站上找到如何在Mac的操作系统上远程访问远端的浏览器,进而入侵到邻居网络中的内容。这部分内容的链接是:http://www.hackingexposedwireless.com/chapters/ch04.pdf。
2.通过browser_autopwn检测Windows 8的浏览器漏洞和“通过browser_autopwn检测OS X的浏览器漏洞”相似,要通过browser_autopwn检测Windows 8的浏览器漏洞时,如果我们运行了针对Windows的漏洞检测工具,我们就可以得到如下结果。
如果程序工作正常,那么就可以以“会话2”(session 2)的方式给我们提供另一个“外壳”shell界面。
当然,为了browser_autopwn能“正常”工作,我们必须有一个Windows程序,并且还的确存在漏洞。因为Windows自动升级和及时的补丁更新等技术,所以,其实两者都挺难找到的。作为一种攻击技术的研究工