在过去的几章中，我们已经介绍了很多内容。现在是时候测试我们在本书中介绍的所有方法，以及各种其他著名的测试工具，并了解我们如何使用 Metasploit 中业界领先的工具在目标网络、网站或其他服务上高效执行渗透测试和漏洞评估。

在本章中，我们将介绍各种测试方法，并将涵盖以下主题：

• 使用 Metasploit 以及业界的多种其他渗透测试工具
• 将从各种工具和不同格式生成的报告导入 Metasploit 框架
• 创建渗透测试报告

本章的主要重点是介绍与 Metasploit 一起使用其他行业领先工具进行的渗透测试；但是，在执行基于 web 的测试和其他测试技术时，测试的阶段可能会有所不同，但原则保持不变。

我们可以使用三种不同的方法进行渗透测试。这些方法是白盒、黑盒和灰盒测试技术。白盒测试是一个测试程序，测试人员对系统有完整的了解，客户愿意提供有关环境的凭证、源代码和其他必要信息。黑盒测试是测试人员对目标几乎一无所知的程序。灰盒测试技术是白盒和黑盒技术的结合，测试人员对测试环境只有很少或部分信息。我们将在本章接下来的章节中执行灰盒测试，因为它结合了这两种技术的优点。灰盒测试可能包括也可能不包括操作系统详细信息、部署的 web 应用、运行的服务器的类型和版本，以及执行渗透测试所需的所有其他技术方面。灰盒测试中的部分信息将要求测试人员执行额外的扫描，该扫描比黑盒测试耗时更少，比白盒测试耗时更多。

考虑一个场景，我们知道目标服务器在 Windows 操作系统上运行；但是，我们不知道运行的是哪个版本的 Windows。在本例中，我们将消除 Linux 和 UNIX 系统的指纹识别技术，主要关注 Windows 操作系统，从而通过考虑单一类型的操作系统而不是扫描所有类型的操作系统来节省时间。

以下是我们在使用灰盒测试技术进行渗透测试时需要涵盖的阶段：

上图说明了在灰盒分析中执行渗透测试时需要涵盖的各个阶段。如图中所示，用虚线标记的阶段定义了可能需要或不需要的阶段。带有双线的说明了关键阶段，最后一个（带有一条连续线）说明了进行试验时应遵循的标准阶段。现在让我们开始渗透测试，并分析灰盒测试的各个方面。

与员工和最终用户的沟通是我们到达客户现场后的第一阶段。该阶段包括无技术黑客，也可称为社会工程。其思想是从最终用户的角度获得有关目标系统的知识。此阶段还回答了组织是否受到保护，不会通过最终用户泄露信息的问题。下面的例子应该使事情更加透明。

去年，我们的团队正在进行白盒测试，我们访问了客户的现场进行现场内部测试。我们一到，就开始与最终用户交谈，询问他们在使用新安装的系统时是否遇到任何问题。出乎意料的是，该公司没有客户允许我们接触他们的系统，但他们很快解释说，他们在登录时遇到了问题，因为每个会话不接受超过 10 个连接。

我们对公司的安全政策感到惊讶，该政策不允许我们访问他们的任何客户系统；但后来，我的一个队友在账户区看到一位 55-60 岁左右的老人在上网。我们问他是否需要帮助，他很快同意了，是的，他需要。我们告诉他，他可以通过连接局域网电缆来使用我们的笔记本电脑，并可以完成他的未决交易。他把局域网电缆插入我们的电脑，开始了他的工作。我的同事就站在他身后，打开笔式摄像机，迅速记录下他所有的打字活动，比如他用来登录内部网络的凭证。

我们发现另一位女士在她的系统中挣扎，她告诉我们她在登录时遇到了问题。我们向这位女士保证，我们会解决这个问题，因为她的帐户需要从后端解锁。我们询问了她的用户名、密码和登录机制的 IP 地址。她同意并向我们传递了凭据，这就结束了我们的示例：如果这些员工遇到一些问题，不管这些环境有多安全，他们都可能意外地泄露他们的凭据。我们后来向该公司报告了这一问题，作为报告的一部分。

对最终用户有意义的其他类型的信息包括：

• 他们正在研究的技术
• 服务器的平台和操作系统详细信息
• 隐藏的登录 IP 地址或管理区域地址
• 系统配置和操作系统详细信息
• web 服务器背后的技术

该信息是必需的，并且将有助于在事先了解可测试系统中使用的技术的情况下确定测试的关键领域。

但是，在进行灰箱渗透试验时，该阶段可能包括，也可能不包括。这类似于一家公司要求您在公司所在地完成测试，如果该公司距离较远，甚至可能在另一个国家。在这些情况下，我们将取消此阶段，并询问公司管理员或其他官员他们正在研究的各种技术以及其他相关信息。

在与最终用户交谈之后，我们需要深入了解网络配置并了解目标网络；然而，从最终用户收集的信息很可能不完整，并且更有可能是错误的。渗透测试人员必须对每个细节进行两次确认，因为误报和伪造信息可能会导致渗透测试期间出现问题。

情报收集包括获取有关目标网络、使用的技术和运行服务的版本等足够深入的细节。

可以使用从最终用户、管理员和网络工程师处收集的信息来收集情报。在远程测试的情况下，或者如果获得的信息部分不完整，我们可以使用各种漏洞扫描器，如 Nessus、GFI Lan Guard、OpenVAS 等，查找任何缺失的信息，如操作系统、服务以及 TCP 和 UDP 端口。

在下一节中，我们将使用业界领先的工具（如 OpenVAS、Mimikatz 等）规划收集情报的需求；但是在进行之前，让我们考虑使用从客户端站点访问、预交互和问卷调查收集的部分信息来测试被测试环境的以下设置。

根据我们通过问卷调查、互动和客户现场访问收集的信息，我们得出以下示例环境，将对其进行测试：

我们获得了 VPN 接入，并被要求对网络进行渗透测试。我们还了解到该公司网络上运行的 OSs，即基于 Windows 的操作系统。我们假设我们已经完成了 NMAP 扫描，发现一个用户系统正在192.168.0.196上运行。我们现在准备使用 Metasploit 和其他业界领先的工具进行全面的渗透测试。我们将使用的主要工具是OpenVAS。OpenVAS 是漏洞扫描程序，是最先进的漏洞管理器工具之一。OpenVAS 最好的地方是完全免费，这使得它成为小型公司和个人的最佳选择；然而，OpenVAS 有时可能存在漏洞，您可能需要投入一些精力手动修复漏洞，但由于它是社区的一个宝贵工具，OpenVAS 将始终是我最喜欢的漏洞扫描器。

要在 Kali Linux 上安装 OpenVAS，请参阅https://www.kali.org/penetration-testing/openvas-vulnerability-scanning/ 。

要在 Metasploit 中集成 OpenVAS 的使用，我们需要按如下方式加载 OpenVAS 插件：

我们还可以看到，还有很多其他模块可用于流行工具，如 SQLMAP、Nexpose 和 Nessus。

要将 OpenVAS 扩展加载到 Metasploit 中，我们需要从 Metasploit 控制台发出load openvas命令。

我们可以在前面的屏幕截图中看到 OpenVAS 插件已成功加载到 Metasploit 框架中。

要在 Metasploit 中使用 OpenVAS 的功能，我们需要将 OpenVAS Metasploit 插件与 OpenVAS 本身连接起来。我们可以通过使用openvas_connect命令，后跟用户凭据、服务器地址、端口号和 SSL 状态来完成此操作，如以下屏幕截图所示：

在开始之前，让我们讨论一下工作区，这是管理渗透测试的一种很好的方式，主要是当您在一家专门从事渗透测试和漏洞评估的公司工作时。通过为不同的项目切换和创建不同的工作区，我们可以高效地处理不同的项目。使用工作区还将确保测试结果不会与其他项目混淆。因此，强烈建议在进行渗透测试时使用工作区。

创建和切换到新工作区非常简单，如以下屏幕截图所示：

在前面的屏幕截图中，我们添加了一个名为AD_Test的新工作区，只需输入workspace和AD_Test（工作区名称）即可切换到该工作区。

要启动漏洞扫描，我们首先需要创建一个目标。我们可以使用openvas_target_create命令创建任意数量的目标，如以下屏幕截图所示：

我们可以看到，我们为192.168.0.196IP 地址创建了一个名为196_System的目标，并将其注释为196_System_in_AD，只是为了方便记忆。此外，最好记下目标的 ID。

接下来，我们需要为正在测试的目标定义一个策略。我们可以通过发出openvas_config_list命令列出示例策略，如下所示：

msf > openvas_config_list 
[+] OpenVAS list of configs

ID                                    Name
--                                    ----
085569ce-73ed-11df-83c3-002264764cea  empty
2d3f051c-55ba-11e3-bf43-406186ea4fc5  Host Discovery
698f691e-7489-11df-9d8c-002264764cea  Full and fast ultimate
708f25c4-7489-11df-8094-002264764cea  Full and very deep
74db13d6-7489-11df-91b9-002264764cea  Full and very deep ultimate
8715c877-47a0-438d-98a3-27c7a6ab2196  Discovery
bbca7412-a950-11e3-9109-406186ea4fc5  System Discovery
daba56c8-73ec-11df-a475-002264764cea  Full and fast

为了学习，我们只使用Full and fast ultimate策略。记下策略 ID，在本例中为698f691e-7489-11df-9d8c-002264764cea。

现在我们有了目标 ID 和策略 ID，我们可以继续使用openvas_task_create命令创建漏洞扫描任务，如下所示：

msf > openvas_task_create 
[*] Usage: openvas_task_create <name> <comment> <config_id> <target_id>

msf > openvas_task_create 196_Scan NA **698f691e-7489-11df-9d8c-002264764cea 5e34d267-af41-4fe2-b729-2890ebf9ce97**
[*] 694e5760-bec4-4f80-984f-7c50105a1e00
[+] OpenVAS list of tasks

ID                                   Name      Comment  Status Progress
--                                  ----      -------  ------  --------
694e5760-bec4-4f80-984f-7c50105a1e00 196_Scan  NA       New     -1

我们可以看到，我们使用openvas_task_create命令创建了一个新任务，后面分别是任务名称、注释、配置 ID 和目标 ID。创建任务后，我们现在准备启动扫描，如以下输出所示：

msf > openvas_task_start 694e5760-bec4-4f80-984f-7c50105a1e00
[*] <X><authenticate_response status='200' status_text='OK'><role>Admin</role><timezone>UTC</timezone><severity>nist</severity></authenticate_response><start_task_response status='202' status_text='OK, request submitted'><report_id>c7886b9c-8958-4168-9781-cea09699bae6</report_id></start_task_response></X>  

在前面的结果中，我们可以看到我们使用openvas_task_start命令和任务 ID 初始化了扫描。我们总是可以使用openvas_task_list命令检查任务的进度，如下面的屏幕截图所示：

关注进度，一旦任务完成，我们可以使用openvas_report_list命令列出扫描报告，如下屏幕截图所示：

我们可以下载此报告，然后使用openvas_report_download命令直接将其导入数据库，后面跟着报告 ID、格式 ID、路径和名称，如下所示：

我们现在可以使用db_import命令在 Metasploit 中简单地导入报告，如以下屏幕截图所示：

使用openvas_format_list命令可以找到格式 ID，如下图所示：

导入成功后，我们可以使用vulns命令检查 MSF 数据库是否存在漏洞，如下图所示：

我们可以看到数据库中存在所有漏洞。我们可以通过端口9392,上可用的浏览器登录 Greenbone Assistant，交叉验证漏洞数量，并找出深入细节，如下图所示：

我们可以看到，我们有多个具有高影响的漏洞。现在是进行威胁建模并只针对特定弱点的绝佳时机。

在进行渗透测试时，对威胁区域进行建模是一个基本问题。这一阶段的重点是网络中关键且需要防止违规的特定区域。网络或系统中漏洞的影响取决于威胁区域。我们可能会在系统或网络中发现一些漏洞。然而，这些可能对关键领域造成任何影响的脆弱性是首要关切的问题。此阶段的重点是过滤可能对资产造成最大影响的漏洞。对威胁区域进行建模将有助于我们针对正确的漏洞集。但是，可以根据客户机的请求跳过此阶段。

影响分析和标记对目标影响系数最高的漏洞也是必要的。此外，当范围内的网络较广且仅需测试关键区域时，此阶段也很关键。

从 OpenVAS 结果中，我们可以看到 DCE/RPC 和 MSRPC 服务枚举报告漏洞，但由于网络是内部的，因此可能不会对基础设施造成任何损害。因此，它被排除在开发视角之外。此外，利用 DOS 等漏洞可能导致蓝屏死亡（BSOD。在大多数基于生产的渗透测试活动中，应避免进行 DOS 测试，并且只有在获得客户事先许可的测试环境中才应考虑 DOS 测试。因此，我们跳过它，转而讨论可靠漏洞，即 HTTP 文件服务器远程命令执行漏洞。浏览 OpenVAS web 界面中漏洞的详细信息，我们可以发现该漏洞对应于 CVE2014-6287，在 Metasploit 中搜索时，该漏洞对应于exploit/windows/http/rejetto_hfs_exec模块，如下图所示：

让我们通过加载模块并设置所需选项来利用该漏洞，如以下屏幕截图所示：

我们可以看到我们已经放置了所有必要的选项，因此让我们使用exploit命令利用系统，如以下屏幕截图所示：

猛敲我们进入了系统。让我们执行一些后期开发，看看我们开发了什么样的系统：

运行一个sysinfo命令告诉我们，该系统是一个 Windows10x64 系统，目前在一个名为 PYSSG 的域中，有七个登录用户，这很有趣。让我们运行arp命令，看看是否可以识别网络上的一些系统：

我们可以看到网络上运行着大量其他系统，但我们知道网络是在 active directory 下配置的。在这一点上，我们可以考虑对 ActiveDirectory 体系结构本身进行测试，并获取关于网络的其他部分的信息，并且可能获得对域控制器本身的访问。

由于我们已经访问了 active directory 网络中的一台机器，因此我们必须找到并记录域控制器，然后利用这些详细信息进入域控制器本身。

我们使用enum_domain模块查找域控制器，如下图所示：

我们可以看到，我们有域、域控制器及其 IP 地址等详细信息。该模块所需的唯一选项是从受损机器获得的流量计的会话标识符。

要在网络中找到共享，我们只需使用enum_shares模块，如下图所示：

我们可以看到，我们在网络上有一个打印共享；然而，这看起来并不乐观。让我们试试其他模块。

我们还可以尝试使用enum_domain_computerspost 模块在广告中查找系统的详细信息，如以下屏幕截图所示：

我们可以看到，我们已经为模块设置了会话标识符。让我们运行模块，并按如下方式分析结果：

我们可以看到，我们已经获得了域详细信息、计算机名、OU，甚至操作系统版本，这是 Windows Server 2016 标准。嗯，Windows Server 2016 是一个过于现代化的系统，查找和利用其中的漏洞将是一项艰巨的任务。尽管如此，让我们继续寻找一些令人兴奋的信息。

有时，我们可能会窃取管理员的令牌，并使用它执行广告中的各种任务。让我们看看哪些用户当前已登录到网络：

我们只能看到一个用户登录到系统中。让我们使用一些高级 Metasploit 功能从这个网络中获取有价值的信息。

让我们看看在受损主机上运行post/windows/gather/enum_domain_tokens模块时得到了哪些域帐户，如以下屏幕截图所示：

有趣的我们可以看到账号deepankar是机器的本地管理员；然而，我们在域组和用户令牌帐户中有一个有趣的条目，即域管理员用户deep。这也可能意味着域管理员可以从此计算机登录。该模块还将列出用户正在运行的流程，如下所示：

美好的我们可以看到本地和域管理员的进程都在运行。让我们继续枚举域，看看是否可以找到更多内容。

Windows MeterMeter 在扩展 API 的帮助下提供了许多新功能。扩展 API 提供了对剪贴板操作、查询服务、Windows 枚举和 ADSI 查询的轻松访问。

要在 Metasploit 中加载扩展 API，只需使用load命令后跟extapi，如下图所示：

运行上述命令可解锁 MeterMeter 控制台中的各种功能，通过在 MeterMeter 控制台中键入?可查看这些功能，如下所示：

扩展 API 中的window_enum功能为我们提供了受损机器上所有打开窗口的列表。这可以让我们了解更多关于目标和在其上运行的应用的信息。让我们看看在目标系统上运行此模块时会发生什么：

正如所建议的，我们有目标上所有打开的窗口及其当前进程 ID 的列表。让我们进一步探讨：

我们可以看到 MicrosoftWord 在目标系统上是打开的，这表示机器上存在人类实体。

既然我们知道有人坐在机器上，并且我们已经拥有扩展 API 的功能，那么让我们利用它来操作目标的剪贴板，如下所示：

好吧，好吧！似乎有人正在将凭据复制到某个应用。但是等等！192.168.0.190域控制器的 IP 地址。让我们注意这些凭据，因为我们将使用它们尝试一些更复杂的攻击。

我们已经获得了访问域控制器的一些重要凭据的权限。但我们永远不应该限制自己寻找更多目标信息的可能性。让我们开始：

我们可以看到，在pyssg.com域上发出adsi_computer_enum会列举网络上许多以前未知的其他系统。大多数系统都运行 Windows 10 Pro Edition 操作系统。让我们看看还能得到什么：

我们还可以使用adsi_dc_enum命令和pyssg.com找到域控制器，这是前面屏幕截图中显示的域名。我们还可以通过adsi_user_enum命令更好地了解广告用户，如下图所示：

最初，我们看到我们只有一个 OU，就像在域中一样；但是，前面的命令显示原始 OU 是 OPS。

我们注意到前面几节中的一些证书。让我们利用它们，并尝试使用 Metasploit 中的psexec模块访问域控制器。根据微软的网站：

“PsExec 是一种轻量级 telnet 替代品，它允许您在其他系统上执行进程，并为控制台应用提供完整的交互功能，而无需手动安装客户端软件。PsExec 最强大的用途包括在远程系统上启动交互式命令提示和远程启用工具，如 IpConfigise 无法显示有关远程系统的信息。”

PsExec 用于 pass-the-hash 攻击，攻击者不需要破解获得的某个系统密码的散列，散列本身可以被传递以登录到机器并执行任意命令。但是，由于我们已经有明文形式的凭据，我们可以直接加载模块并运行它来访问域控制器。让我们按如下方式设置模块：

我们可以看到，我们已经设置了所有必需的选项。让我们执行模块并分析输出：

繁荣我们已成功访问域控制器。让我们执行一些后期开发，看看还能得到什么：

是的！我们破坏了一台 Windows 2016 服务器，该服务器不包含任何严重漏洞，但在权限范围内存在缺陷：

我们可以看到，我们对服务器具有SYSTEM级别的访问权限，并且能够对目标执行几乎任何操作。

Metasploit 提供了Mimikatz和Kiwi扩展来执行各种类型的面向凭证的操作，例如转储密码和散列、转储内存中的密码、生成黄金票证等等。让我们在 Metasploit 中加载kiwi如下：

加载kiwi模块后，我们可以看到我们有一个完整的命令菜单，可以使用，如以下屏幕截图所示：

让我们试着运行lsa_dump_secrets命令，检查是否可以转储某些内容：

答对 了我们可以看到，我们已经成功地将 NTLM 和 SHA1 散列与秘密一起转储。我们有大量的信息为自己买一张金票；不过，我们将在接下来的章节中介绍如何操纵黄金彩票。现在，让我们尝试使用hashdump命令转储散列。要转储散列，我们必须迁移到用户进程中。让我们使用ps命令调出流程列表，如下所示：

让我们迁移到一个在进程 ID576下运行的lsass.exe进程，如下所示：

哇！我们可以看到，成功迁移到lsass.exe进程后，运行hashdump命令会转储所有用户散列，稍后我们可以破解这些散列。

由于我们已经获得了很好的访问级别，所以最好选择cachedump作为凭证，如下所示：

我们已经看到，我们有很多方法可以在目标系统上实现持久性，我们将在接下来的章节中看到更多的方法；然而，在一个有许多用户的大型网络中，可能很容易秘密地将一个域用户添加到控制器上，以巩固我们对广告网络的访问。让我们按如下方式加载post/windows/manage/add_user_domain模块：

我们可以看到，我们已经设置了所有必需的选项，例如USERNAME、PASSWORD、SESSION。让我们运行此模块，看看我们的用户是否已添加到域中：

我们可以看到，我们已经成功地将我们的用户黑客添加到域PYSSG。我们可以随时轻松地与该用户来回登录；然而，我建议将名字与现有用户进行匹配，因为像黑客这样的词会引起一些注意。

此外，我们可以使用loot命令查看所有获取的详细信息，如下所示：

现在，让我们讨论如何创建渗透测试报告，并查看要包含的内容、应包含的位置、应添加/删除的内容、报告的格式、图形的使用等。许多人，如经理、管理员和高管，都会阅读渗透测试报告。因此，有必要对调查结果进行良好的组织，以便目标受众能够传达和理解正确的信息。

良好的渗透测试报告可分为以下格式：

• 页面设计
• 文件控制：
  • 封面
  • 文档属性
• 报告内容清单：
  • 目录
  • 插图清单
• 执行/高级别摘要：
  • 渗透测试的范围
  • 严重性信息
  • 目标
  • 假设
  • 漏洞概述
  • 脆弱性分布图
  • 建议摘要
• 方法/技术报告
  • 测试细节
  • 漏洞列表
  • 可能
  • 建议
• 工具书类
• 术语汇编
• 附录

以下是一些重要部分的简要说明：

• 页面设计：页面设计是指选择报表中使用的字体、页眉、页脚、颜色等
• 文控：这里介绍了报表的一般属性
• 封面：包括报告名称、版本、时间和日期、目标组织、序列号等
• 文档属性：包含报告的标题、测试人员的姓名以及审核该报告的人员的姓名
• 报表内容列表：包含报表内容，并有明确的页码关联
• 目录：包括从报告开始到结束组织的所有材料的列表
• 插图清单：本节将列出报告中使用的所有图表，并附上相应的页码

执行摘要包括对本报告的总体总结和非技术性总结，重点为公司高级员工提供知识。它包含以下信息：

• 渗透测试的范围：本节包括执行的分析类型和测试的系统。本节列出了测试的所有 IP 范围。此外，本节还包含有关测试的严重性信息。
• 目标：本节定义了测试将如何帮助目标组织、测试的好处等。
• 做出的假设：如果在测试过程中做出了任何假设，则将在此处列出。假设在测试网站时在管理面板中发现 XSS 漏洞，但要执行该漏洞，我们需要以管理员权限登录。在这种情况下，我们假设攻击需要管理员权限。
• 漏洞概述：以表格形式提供信息，并根据风险等级（高、中、低）描述发现的漏洞数量。它们是根据影响排序的，从对资产影响最大的弱点到影响最小的弱点。此外，此阶段包含针对多个系统的多个问题的漏洞分布图。下表给出了一个示例：

| 冲击 | 漏洞数量 | | 高的 | 19 | | 中等的 | 15 | | 低的 | 10 |

• 建议摘要：本节中提出的建议仅针对影响因子最高的漏洞，并相应列出。

报告的这一部分包括渗透测试期间要执行的步骤、关于漏洞的深入细节以及建议。以下要点列表详细说明了管理员感兴趣的部分：

• 测试详情：本节报告以图形、图表和表格的形式包含与测试总结相关的信息，包括漏洞、风险因素以及受这些漏洞影响的系统。
• 漏洞清单：本节报告包括漏洞的详细信息、位置和主要原因。
• 可能性：本节解释了这些漏洞被攻击者攻击的可能性。这是通过分析触发特定漏洞的易访问性，并找出针对可攻击漏洞的最简单和最困难的测试来实现的。
• 建议：本节将列出修补漏洞的建议。如果渗透测试不推荐修补，则仅视为完成一半。

• 参考文献：本报告编制过程中引用的所有参考文献均列在此处。参考文献如书籍、网站、文章等应明确列出作者、出版物名称、出版年份或发表文章的日期等。
• 术语表：本报告中使用的所有技术术语均在此处列出，并说明其含义。
• 附录：本节是添加不同脚本、代码和图像的绝佳场所。

在本章中，我们了解了如何使用 OpenVAS 内置连接器和各种 Metasploit 扩展在网络上高效地执行渗透测试，以及如何生成适当的测试报告。我们还有许多其他的连接器可供使用，比如 Nessus、SQLMAP 等，我们将在接下来的章节中介绍它们。

在下一章中，我们将看到如何使用 Metasploit 进行客户端攻击，并通过社会工程和有效负载交付访问无法穿透的目标。