入侵win10（下）-滲透系統

攻擊者在遠程私有伺服器上配置完metasploit，創建了自動化資源腳本和生成了簡單地payload之後，只要能夠物理接觸他人的電腦幾分鐘，他就可以遠程控制別人的電腦了，即使電腦已關機也無濟於事。

如果你還不太明白，請務必參考我的上一篇文章：設置live USB和payload USB。不然，你可能會有些蒙圈，不知道我下面會說到的兩個USB從何而來。

完成上一篇文章中的一系列操作之後，這篇文章將繼續講解如何完成接下來的攻擊環節。兩個U盤都要插入到已關閉的目標系統中，確保關閉了Windows defender和其他安全軟體，並且payload會被保存在正確的位置上。

跟之前一樣，無論你是白帽子，滲透測試者，安全研究者，或者只是一個普通的windows10用戶，在本文的文末，我們將會討論一些防禦性的措施。

Step 1使用live USB啟動目標設備

因為在本次攻擊中，需要用到兩個USB埠，所以如果目標設備只有一個USB口的話，你可能需要帶一個USB hub，這樣就可以連接live USB和payload USB兩個U盤了。

當目標系統完全關機之後，所有連接到電腦的U盤和外設都應該彈出。此時我們會將使用Ethcer工具製作的live USB插入到win10目標電腦中。

在電腦啟動過程中，要進入啟動管理器，需要按F12，F10,或者是Fn F2，也可能是其他鍵組合。由於不同的電腦製造商處理BootLoader的方法不同，因此無法確定的說就是哪兩個鍵來啟動BootLoader，大家根據自己的個人電腦上網查查啟動BootLoader快捷鍵。下圖就是一個典型的啟動管理器界面，顯示了啟動選項，不過目標電腦的啟動管理器可能並不是長這樣。

選擇「USB boot」選項。

然後，kali(或者不管是其他的什麼Linux版本)會彈出一個登陸窗口，默認用戶名root，密碼toor。

大多數電腦的驅動器名(或者是卷名)，可能叫做Windows或Windows10。大多數系統只有一個內部硬碟驅動器，因此不難確定卷名。我們需要記住卷的名字，在教程的後面我們會用到它。

雙擊位於kali桌面上的驅動器來安裝Windows卷。安裝完之後，我們就可以訪問硬碟上的文件和目錄了。kali管理器會自動彈出並顯示硬碟上的內容。在下面的例子中，可以看到「Users」和「Files」目錄是完全可以訪問的。

接下來，將payload USB插入到目標計算機中，桌面上會出現一個新的驅動器，雙擊它來安裝，並記下文件地址欄中的卷名。在下一步中，我們要用到這個卷名。

下一步，關閉Windows Defender，Smartscreen和殺毒軟體，這個是可選項。禁用計算機的防禦系統並不會破壞操作系統，也不會再重啟時造成致命的錯誤。但應用程序托盤中少了殺毒軟體的圖標可能會引起用戶的懷疑。完成這些操作後，去檢查Windows defender設置也可能讓用戶和IT專業人員注意到某些安全問題。

我們也可以選擇一種入侵行為不那麼明顯的方法，比如DNS攻擊，這讓攻擊者能夠進行網路釣魚攻擊，並且只涉及到修改單個的文本文件。在本篇文章中，我將會展示對於關機的電腦會造成多大的損害。

禁用Windows Defender

Windows defender是Windows操作系統自帶的防病毒和清除惡意軟體的組件。該組件包含很多的安全功能，比如實時的安全代理，可以監控操作系統中比較常用的位置，檢測它們是否發生改變，通常這些位置容易被攻擊者篡改。

USB和硬碟會自動掛載在/media/username/目錄下。我們可以使用find命令來查找包含Windows defender文件的目錄。打開終端，輸入以下命令：

find /media/root/ -type d -iname *Windows\ Defender*

-type d參數意思是只查找目錄，-iname參數表示忽略大小寫，所以這條命令會找到名為「Windows Defender」，「windows defender」或者是「WiNdOws dEfEnDeRs」的目錄。前後兩個通配符*表示查找所有包含Windows defender字元的目錄，不管該字元是在目錄的開頭，結尾還是中間。

從上圖中可以看到，命令執行結束後，查找到6個包含Windows defender的目錄。使用下面這條命令可以刪除這些目錄：

find /media/root/ -type d -iname *Windows\ Defender* -exec rm -rf {} \;

這條命令比上一條命令多了-exec rm -fr {}\，意思就是找到目錄後自動刪除。

執行完之後，再運行第一條命令，就應該找不到包含Windows defender目錄了。

禁用Windows smartscreen

smartscreen是微軟開發的安全層。它作為「防惡意軟體服務」進程在後台運行，並掃描應用程序和文件來查找微軟資料庫中標記的惡意軟體。即使禁用了Windows defender，smartscreen還是能夠識別出惡意的payload並進行隔離。

移除smartscreen，使用下列命令：

find /media/root/ -iname *smartscreen.exe* -exec rm -rf {} \;

這樣，所有包含smartscreen.exe的文件和目錄都被刪除了。

禁用第三方安全軟體(殺毒軟體)

avast是一款非常優秀的殺毒軟體，適用於各個平台，被認為是top5的殺毒軟體，所以為了演示，我已經在目標計算機上安裝了這款殺軟。

當然，我們還是要刪除所有包含avast的目錄和文件，使用下面這條命令：

find /media/root/ -iname *avast* -exec rm -rf {} \;

如果不知道目標計算機使用了什麼殺軟，可以手動瀏覽「ProgramData」和「Program Files」目錄，或者使用find命令來遍歷。

find /media/root/ -iname *SearchTermHere*

現在，所有的殺軟程序都已經目標計算機上清除了，此時這個電腦非常不安全，任何的payload都可以攻擊它。

Step5 將payload保存到自啟動文件夾

Windows有一個自啟動文件夾，該文件夾里的程序都會在開機登錄進系統時自啟動，這種做法是為了方便，用戶可以隨時將合法程序的快捷方式(如瀏覽器，Word，播放器等)和腳本等拖入到該文件夾中。

攻擊所有用戶

有兩個自啟動目錄可以用來自動執行payload，要想運行payload攻擊計算機中的所有用戶，payload USB中的這個「security.exe」payload需要存放在下面的這個Windows目錄中：

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

下面的cp命令可以複製payload USB中的msfvenom payload到「All Users」的自啟動目錄中。

cp /media/root/USB#2 VOLUME NAME/Windows\ Security.exe /media/root/WINDOWS VOLUME NAME/ProgramData/Microsoft/Windows/Start\ Menu/Programs/StartUp/

上面命令中的USB2和Windows卷名需要根據你自己的實際情況進行修改。ls命令查看目錄下的文件，以確保security.exe這個payload是否成功複製。

攻擊一個用戶

如果目標是設備上的單個用戶，那麼攻擊者可能會使用下面的啟動文件夾：

C:\Users\TARGET USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

下面的命令用來複制payload到目標用戶的啟動文件夾中，這樣就只會對這個用戶造成影響：

cp /media/root/USB#2 VOLUME NAME/Windows\ Security.exe /media/root/Users\TARGET USERNAME/AppData/Roaming/Microsoft/Windows/Start\ Menu/Programs/Startup/

Step6 卸載Windows卷

上面那些步驟就是關於如何刪除防病毒軟體和插入msfvenom payload。在kali關機之前，手動卸載Windows卷也是非常重要的。在測試這次攻擊過程中，我發現當我沒有卸載Windows卷就強制關機時，有時候會導致卷無法保存對硬碟驅動的修改(也就是關機後，msfvenom沒有正確的保存到卷中)。

要正確的卸載Windows卷，右鍵單擊這個驅動器，在彈出的菜單欄中選擇卸載卷。

Windows卷正常卸載後，關掉live USB，拿走U盤，然後離開計算機，就像什麼都沒發生一樣，此時攻擊已經完成。

Step7 執行後滲透操作

當目標用戶開啟目標計算機後，位於啟動文件夾中的msfvenom payload會自動運行，並且回連到攻擊者的伺服器上(當然了，目標計算機需要聯網)。下圖可以看到已經建立了一個新的連接：

目標計算機只要一起動，它就會嘗試的去連接運行著metasploit的VPS。查看已經建立的連接，在終端中輸入sessions即可：

當被入侵計算機成功連接到metasploit VPS時，會自動分配一個ID號。要連接新創建的會話，只要輸入-i參數即可：

sessions -i 1

可以看到創建了一個新的meterpreter連接，這樣攻擊者就可以直接與被入侵的主機進行交互了。在我們這個入侵win10的後續系列文章中，我會講到一些非常不錯的後滲透技術，所以大家可以持續關注這個系列。

如何防禦硬碟攻擊

當談到防禦此類攻擊時，雖然有時候似乎很難防禦，但有幾點防禦措施還是不錯的。

啟動BitLocker。這是微軟提供的一種硬碟加密技術，啟用了這個之後，本文中所演示的攻擊就很難成功執行了。然而並沒有什麼卵用，之前已經有人寫過文章如何繞過BitLocker加密了。所以它並非萬無一失。

使用veracrypt軟體。veracrypt是一個跨平台的加密軟體，支持全盤加密。想要更加深入了解veracrypt，請訪問Lifehacker。

最後一點，不要使用Windows操作系統。Windows本來就不是一個安全的操作系統。MacOS和基於Debain的操作系統默認提供了更優秀的硬碟加密方法。如果你的電腦物理安全存在問題，那麼你可以考慮換操作系統了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！