梁發(fā)洵

摘要：該文初步探索如何開展《網(wǎng)絡(luò)攻防技術(shù)》課程實(shí)驗(yàn)，研究了Kali Linux操作系統(tǒng)在該課程的實(shí)驗(yàn)課上的應(yīng)用，并以一個(gè)漏洞攻擊案例為例介紹了Metasploit工具的使用。

關(guān)鍵詞：kali linux；metasploit；ms08-067漏洞

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）27-0142-03

Abstract： This paper preliminarily explores how to perform the experiments for the course of Network Attack and Defense Technology. The application of Kali Linux operating system to the experiments of this course is investigated， which is accompanied with an example of vulnerability attack to show the utilization of Metasploit tool for this purpose.

Key words： kali linux； metasploit； ms08-067 vulnerability

1 概述

近年來，隨著互聯(lián)網(wǎng)的蓬勃發(fā)展和網(wǎng)絡(luò)支付的廣泛應(yīng)用，網(wǎng)絡(luò)安全的問題日益嚴(yán)峻。2017年5月12日，基于Windows操作系統(tǒng)SMB服務(wù)漏洞的“永恒之藍(lán)”勒索病毒在全球爆發(fā)，短短數(shù)小時(shí)攻擊了150多個(gè)國家，被攻擊用戶硬盤中的重要數(shù)據(jù)被加密鎖定，并索要價(jià)值300美元比特幣的贖金。該病毒感染全球30萬名用戶，造成損失達(dá)80億美元，影響到金融、能源、醫(yī)療、教育等行業(yè)，造成嚴(yán)重的危機(jī)管理問題。為應(yīng)對社會(huì)對網(wǎng)絡(luò)安全人才的需求，高職的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)和信息安全專業(yè)都逐漸把《網(wǎng)絡(luò)攻防技術(shù)》設(shè)為專業(yè)必修課。

《網(wǎng)絡(luò)攻防技術(shù)》作為一門近幾年才開設(shè)新課程，市面上可選的教材還不多，而且多數(shù)教材存在重理論輕實(shí)踐的現(xiàn)象。而《網(wǎng)絡(luò)攻防技術(shù)》課程本身是基于多門專業(yè)課程之上綜合應(yīng)用性很強(qiáng)的課程，涵蓋的知識(shí)面廣，對動(dòng)手操作能力要求尤其高。所以，在當(dāng)前難以找到一本同時(shí)兼顧理論實(shí)踐教材的情況下，可以從行業(yè)中選擇一款成熟主流的攻防系統(tǒng)作實(shí)驗(yàn)之用。這里推薦全球著名的Kali Linux，它是一個(gè)設(shè)計(jì)用于數(shù)字取證、滲透測試和黑客攻防的Linux系統(tǒng)。

2 Kali Linux

Kali Linux 的前身是BackTrack Linux發(fā)行版。BackTrack是一個(gè)基于Ubuntu的Linux發(fā)行版，Kali Linux是一個(gè)基于Debian的Linux發(fā)行版。Kali Linux內(nèi)含很多信息收集和滲透攻擊相關(guān)工具。

一名黑客對目標(biāo)進(jìn)行一次完整滲透測試，都會(huì)包含這5個(gè)步驟：信息收集——漏洞掃描——漏洞利用——權(quán)限提升——保持訪問。Kali Linux內(nèi)置了300多個(gè)滲透測試工具，以上5個(gè)步驟都有相應(yīng)的代表工具實(shí)現(xiàn)。

（1） 信息收集：在發(fā)起攻擊之前，應(yīng)該盡可能了解被攻擊目標(biāo)主機(jī)的信息。用戶得到的信息越多，攻擊成功的概率也就越高。發(fā)起一次滲透攻擊收集的信息包括研究目標(biāo)在互聯(lián)網(wǎng)的蹤跡，監(jiān)測資源、人和過程，掃描網(wǎng)絡(luò)信息。例如DNS枚舉可以幫助用戶收集目標(biāo)組織的關(guān)鍵信息，如IP地址、用戶名、計(jì)算機(jī)名等，代表工具有DNSenum、fierce；SNMP枚舉可以查詢SNMP協(xié)議中對象標(biāo)識(shí)樹信息、主機(jī)信息等，代表工具有Snmpwalk；SMTP枚舉可以探測服務(wù)器存在的郵箱賬戶，代表工具有smtp-user-enum；通過Dmitry工具可以用來查詢IP或域名WHOIS信息；通過Scapy工具可以掃描網(wǎng)絡(luò)和嗅探數(shù)據(jù)包。做信息收集有一個(gè)功能強(qiáng)大的工具Nmap，它有三個(gè)基本功能：一是探測一組主機(jī)是否在線；其次是掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)；三是可以推斷所用的操作系統(tǒng)。

（2） 漏洞掃描：在信息收集階段已經(jīng)獲取到被攻擊主機(jī)的信息，如IP地址、存活情況，在此基礎(chǔ)上，使用漏洞掃描器能夠自動(dòng)在計(jì)算機(jī)、信息系統(tǒng)、網(wǎng)絡(luò)及應(yīng)用軟件中尋找和發(fā)現(xiàn)安全弱點(diǎn)。它通過網(wǎng)絡(luò)探測目標(biāo)系統(tǒng)，向目標(biāo)系統(tǒng)發(fā)送數(shù)據(jù)，將反饋數(shù)據(jù)與自帶已知的漏洞特征庫進(jìn)行匹配，進(jìn)而獲取目標(biāo)系統(tǒng)上存在的安全漏洞。漏洞掃描的代表工具有Nessus和OpenVAS。

（3） 漏洞利用：在第二步漏洞掃描階段獲取到被攻擊主機(jī)存在的安全漏洞信息，利用這些信息竊取非授權(quán)數(shù)據(jù)或一定的訪問權(quán)限。漏洞利用是滲透測試服務(wù)和其他被動(dòng)服務(wù)如漏洞評估和安全審計(jì)的主要區(qū)別。如果沒有獲得目標(biāo)的資產(chǎn)所有者授權(quán)，漏洞利用和后續(xù)步驟都會(huì)帶來法律后果。漏洞利用的代表工具有Metasploit。

（4） 權(quán)限提升：在第三步利用漏洞獲取到目標(biāo)主機(jī)一定的訪問權(quán)限，這個(gè)權(quán)限往往是有限的或最低的權(quán)限，并不能保證能完成滲透測試任務(wù)的目標(biāo)。如果需要做進(jìn)一步的滲透攻擊，可能需要管理員賬號(hào)的權(quán)限，所以要做權(quán)限提升。權(quán)限提升通常通過漏洞利用工具集或密碼攻擊來實(shí)現(xiàn)。

（5） 保持訪問：為了保持對目標(biāo)系統(tǒng)的訪問，首先要做到不被發(fā)現(xiàn)。所以用戶盡量隱藏滲透攻擊留下的痕跡，這個(gè)主要通過刪除用戶日志、掩蓋現(xiàn)有的訪問通道和刪除篡改的痕跡；另外要建立其他到系統(tǒng)的入口來保持訪問，如建立后門、創(chuàng)建管理員賬戶、加密過的隧道和新的網(wǎng)絡(luò)訪問通道。這步主要通過權(quán)限維持工具來實(shí)現(xiàn)。

3 Metasploit

在Kali Linux內(nèi)置的數(shù)百個(gè)滲透測試工具中，Metasploit是功能最強(qiáng)大的安全工具之一。在2011年SecTools網(wǎng)站公布最受歡迎Top125安全工具，Metasploit僅次于Wireshark軟件名列第2。Metasploit是一款開源的安全漏洞檢測工具，它可以幫助用戶識(shí)別安全問題，驗(yàn)證漏洞的緩解措施，并對某些軟件進(jìn)行安全性評估，提供真正的安全風(fēng)險(xiǎn)情報(bào)。以下以Metasploit v4.13.10-dev版本為例作相關(guān)介紹。endprint

目前使用的Metasploit版本有1610個(gè)攻擊模塊、914個(gè)輔助模塊、279個(gè)后滲透模塊、471個(gè)攻擊載荷模塊、39個(gè)編碼器模塊、9個(gè)空指令模塊。

攻擊模塊（exploits）是利用發(fā)現(xiàn)的安全漏洞或配置弱點(diǎn)對遠(yuǎn)程目標(biāo)系統(tǒng)進(jìn)行攻擊，以植入和運(yùn)行攻擊載荷，從而獲得對遠(yuǎn)程目標(biāo)系統(tǒng)訪問權(quán)的代碼組件。Metasploit攻擊模塊可以按照所利用的安全漏洞所在的位置分為主動(dòng)滲透攻擊與被動(dòng)滲透攻擊兩大類。主動(dòng)滲透攻擊利用位于網(wǎng)絡(luò)服務(wù)端軟件與服務(wù)承載的上層應(yīng)用程序之中的安全漏洞，通過連接目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)，注入一些特殊構(gòu)造的攻擊代碼，觸發(fā)安全漏洞，并使得遠(yuǎn)程服務(wù)進(jìn)程執(zhí)行攻擊代碼中包含的攻擊載荷，從而獲取目標(biāo)系統(tǒng)的控制會(huì)話。被動(dòng)滲透攻擊利用的安全漏洞位于客戶端軟件中，如電子郵件客戶端、瀏覽器、瀏覽器插件、Office與Adobe等各種文檔閱讀與編輯軟件。對于這類存在于客戶端軟件的安全漏洞，我們通過設(shè)計(jì)針對性的網(wǎng)頁、電子郵件或文檔文件，并架設(shè)包含此類惡意文檔的服務(wù)端或發(fā)送郵件附件，結(jié)合社會(huì)工程學(xué)攻擊、網(wǎng)絡(luò)欺騙和劫持技術(shù)等方式分發(fā)誘騙目標(biāo)用戶打開精心設(shè)計(jì)的鏈接，等目標(biāo)用戶點(diǎn)擊這些鏈接，從而觸發(fā)客戶端軟件中的安全漏洞，給出控制目標(biāo)用戶系統(tǒng)的Shell會(huì)話。瀏覽器軟件漏洞攻擊和文件格式類漏洞攻擊是最常見的兩類被動(dòng)滲透攻擊。

輔助模塊（Auxiliary）能夠幫助滲透測試者在進(jìn)行滲透攻擊之前得到目標(biāo)系統(tǒng)豐富的情報(bào)信息，從而發(fā)起更精準(zhǔn)的攻擊。輔助模塊包括針對各種網(wǎng)絡(luò)服務(wù)的掃描與查點(diǎn)、構(gòu)建虛假服務(wù)收集登錄密碼、口令猜測破解、敏感信息嗅探、探查敏感信息泄露、Fuzz測試發(fā)掘漏洞、實(shí)施網(wǎng)絡(luò)協(xié)議欺騙等模塊。

后滲透模塊（Post）主要支持在滲透攻擊取得目標(biāo)系統(tǒng)遠(yuǎn)程控制權(quán)之后，在受控系統(tǒng)中進(jìn)行多種的后滲透攻擊動(dòng)作，比如收集敏感信息、提升權(quán)限、實(shí)施跳板攻擊等。

攻擊載荷模塊（Payloads）是攻擊成功后，滲透攻擊者為了打開與目標(biāo)系統(tǒng)會(huì)話連接，促使目標(biāo)系統(tǒng)運(yùn)行的一段特定代碼。

編碼器模塊（Encoders）對攻擊代碼重新進(jìn)行編碼。這樣做的目的有兩個(gè)。一是確保攻擊載荷避免出現(xiàn)特定字符，這些特定字符的存在會(huì)導(dǎo)致攻擊目標(biāo)不能正常執(zhí)行攻擊載荷。二是修改攻擊載荷的特征碼，以逃避殺毒軟件、IDS入侵檢測系統(tǒng)和IPS入侵防御系統(tǒng)的檢測。

空指令模塊（Nops）是一些對程序運(yùn)行狀態(tài)不會(huì)造成任何實(shí)質(zhì)影響的空操作或無關(guān)操作指令，最典型的空指令就是空操作，在x86 CPU體系架構(gòu)平臺(tái)上的操作碼是0x90。Metasploit中的空指令模塊就是用來在攻擊載荷中添加空指令區(qū)，以提高攻擊可靠性的組件。

Metasploit通過以上模塊或模塊組合，針對不同的系統(tǒng)漏洞，實(shí)現(xiàn)各種滲透攻擊。

4 案例

下面以針對ms08-067漏洞的攻擊為例，介紹使用Metasploit做一次滲透攻擊的典型操作過程。

ms08-067漏洞是一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞，攻擊者利用此漏洞可以完全遠(yuǎn)程控制受影響的系統(tǒng)。在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系統(tǒng)上，攻擊者可能未經(jīng)身份驗(yàn)證通過 RPC 利用此漏洞運(yùn)行任意代碼。 此漏洞可能用于進(jìn)行蠕蟲攻擊。 如被利用攻擊成功將導(dǎo)致嚴(yán)重后果，攻擊者可隨后安裝程序；查看、更改或刪除數(shù)據(jù)；或者創(chuàng)建擁有完全用戶權(quán)限的新賬戶。

第一步，搭建攻防平臺(tái)。為了方便學(xué)習(xí)和演示，我們使用Vmware Workstation 12 Pro虛擬機(jī)軟件安裝2個(gè)操作系統(tǒng)，一個(gè)作為攻擊機(jī)安裝Kali Linux（IP地址是192.168.1.4/24），一個(gè)作為受害機(jī)安裝Windows XP Professional。兩臺(tái)虛擬機(jī)配置在同一個(gè)網(wǎng)絡(luò)，分配好同一個(gè)網(wǎng)段的IP地址，用ping命令測試兩者的連通性。

第二步，探測存在的攻擊對象。在攻擊機(jī)使用命令nmap -PR 192.168.1.0/24，發(fā)現(xiàn)同一網(wǎng)絡(luò)存活主機(jī)192.168.1.5，見圖1。

第三步，探測主機(jī)漏洞。在攻擊機(jī)使用命令nmap —script=vuln 192.168.1.5，探測到受害機(jī)有多個(gè)漏洞，包括ms08-067漏洞，見圖2。

第四步，發(fā)起攻擊。操作次序如下：

（1） 在攻擊機(jī)輸入命令msfconsole運(yùn)行Metasploit，進(jìn)入Metasploit操作界面；

（2） 執(zhí)行命令search ms08_067，可以查到有一個(gè)針對ms08_067漏洞的攻擊模塊；

（3） 執(zhí)行命令use exploit/windows/smb/ms08_067_netapi，使用該攻擊模塊；

（4） 執(zhí)行命令set payload windows/meterpreter/reverse_tcp，設(shè)置攻擊載荷模塊；

（5） 執(zhí)行命令show options，查看需要設(shè)置的參數(shù)，見圖3，可以看到攻擊模塊有3個(gè)參數(shù)，攻擊載荷模塊也有3個(gè)參數(shù)，攻擊目標(biāo)1個(gè)參數(shù)，其中5個(gè)參數(shù)已有默認(rèn)設(shè)置，我們可以不必修改，還有2個(gè)參數(shù)“RHOST”和“LHOST”是空的，需要設(shè)置；

（6） 執(zhí)行命令set RHOST 192.168.1.5，設(shè)置受害機(jī)IP；

（7） 執(zhí)行命令set LHOST 192.168.1.4，設(shè)置攻擊機(jī)IP；

（8） 執(zhí)行命令show targets，查看支持的攻擊目標(biāo)的操作系統(tǒng)類型；

（9） 在不清楚被攻擊機(jī)器的操作系統(tǒng)類型時(shí)，可以設(shè)置攻擊目標(biāo)Id是0，如果已知被攻擊機(jī)器的操作系統(tǒng)，可以設(shè)置相應(yīng)的Id，在這里選擇前者，執(zhí)行命令set target 0（默認(rèn)已設(shè)置）；

（10） 執(zhí)行命令show options，檢查設(shè)置的參數(shù)是否正確；

（11） 執(zhí)行命令info，查看該漏洞的介紹；

（12） 執(zhí)行命令run，啟動(dòng)攻擊，攻擊結(jié)果見圖4，看到“Meterpreter session 1 opened”表示攻擊成功，與受害機(jī)建立了一個(gè)連接；

（13） 執(zhí)行命令ipconfig，可以看到受害機(jī)的機(jī)器信息；

（14） 執(zhí)行命令shell，可以進(jìn)入受害機(jī)的命令行界面；在此可以做一些提權(quán)操作，如使用net user 命令創(chuàng)建用戶，然后把用戶加入到管理員組等。

（15） 執(zhí)行命令exit，退出shell；

（16） 執(zhí)行命令quit，關(guān)閉與受害機(jī)的連接。

以上的攻擊案例已經(jīng)包含了一個(gè)完整的滲透攻擊的5個(gè)步驟：信息收集——漏洞掃描——漏洞利用——權(quán)限提升——保持訪問。

5 結(jié)束語

《網(wǎng)絡(luò)攻防技術(shù)》作為一門綜合性強(qiáng)涉及面廣難度高的課程，需要學(xué)生掌握多方面的知識(shí)，包括數(shù)據(jù)庫、密碼學(xué)、操作系統(tǒng)、PHP、Python等。本文對該門課程的實(shí)驗(yàn)內(nèi)容做了初步的探討，給出了一個(gè)基于Kali Linux系統(tǒng)上的實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)，將來根據(jù)網(wǎng)絡(luò)攻防技術(shù)的發(fā)展變化和學(xué)校實(shí)驗(yàn)條件的改變而不斷完善課程實(shí)驗(yàn)內(nèi)容。

參考文獻(xiàn)：

[1] 楊波. Kali Linux滲透測試技術(shù)詳解[M]. 北京：清華大學(xué)出版社，2015：3-4.

[2] Joseph Muniz，Aamir Lakhani. Web滲透測試使用Kali Linux[M]. 北京：人民郵電出版社，2014：8-11.

[3] David Kennedy，Jim O'Gorman，Devon Kearns，et al. Metasploit滲透測試指南[M]. 北京：電子工業(yè)出版社，2012：8.

[4] Microsoft. Microsoft 安全公告 MS08-067 - 嚴(yán)重：服務(wù)器服務(wù)中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼 （958644） [EB/OL]. https：//technet.microsoft.com/zh-cn/library/security/ms08-067.aspx，2008-10-23endprint