凭证Domino MetaModule

凭据Domino MetaModule使您能够确定攻击者能够在网络中到达多远(如果他们能够获得特定凭据的话)。它执行基于凭据的迭代攻击，以识别可能的攻击路由，如果从特定主机获得会话或捕获凭据。它的目的是帮助您评估基于凭据的攻击的影响，方法是报告可能被攻击的主机数量，以及利用特定凭据可以捕获的惟一凭据数量。

为了运行凭据Domino MetaModule，项目必须至少有一个有效的登录或一个可以用作起点的开放会话。如前所述，Credentials Domino MetaModule执行迭代攻击，这意味着它重复地在网络中循环，并尝试使用特定凭据对每个主机进行身份验证。每次迭代都表示通过具有不同凭据的网络的单个循环。Credentials Domino MetaModule将继续运行，直到它在每个目标主机上打开会话或达到终止条件为止。

在第一次迭代期间，如果您选择从一个有效的登录开始，那么Credentials Domino MetaModule会立即尝试使用它对每个目标主机进行身份验证并打开会话。如果Credentials Domino MetaModule能够成功地进行身份验证并打开会话，那么它将从主机捕获凭据并将它们存储在项目中。一旦MetaModule成功地在主机上打开了会话，它将不再尝试该主机。但是，如果您选择从一个开放的会话开始，MetaModule将从会话收集凭证开始。然后，它会尝试每个被掠夺的凭证，直到它能够找到一个成功的登录。MetaModule使用成功凭证来开始下一个迭代。

为了帮助您了解网络是如何受到影响的，MetaModule包含了一个专门的报告，其中记录了来自攻击的技术发现和结果。它还通过发现窗口显示被攻击主机和捕获的凭证的实时结果，并显示它能够从目标网络建立的攻击模式的可视化。

控件可以访问Credentials Domino MetaModuleMetaModules页面。要访问MetaModules页面，请选择模块> MetaModules从项目选项卡栏。找到Credentials Domino MetaModule并单击发射按钮。

将出现凭据Domino MetaModule配置窗口选择初始主机配置形式显示出来。每个配置步骤被划分为不同的选项卡，因此您可以单击任何选项卡在不同的配置表单之间进行切换。

在配置凭据Domino MetaModule时，需要做的第一件事是选择具有要使用的登录或会话的主机。从选择初始主机选项卡中，您可以看到项目中具有有效登录或打开会话的所有主机的列表。

选择MetaModule要使用的主机。选择主机后，将显示主机的登录和会话详细信息。

选择您希望MetaModule用来启动攻击的登录名或会话。

范围标识了在攻击期间希望MetaModule瞄准的主机。要定义范围，可以使用目标地址和排除地址字段。

如果有需要攻击的特定主机，可以在“目标地址字段。可以输入单个地址(192.168.1.1)、范围(192.168.1.1-192.168.1.100)、CIDR符号(192.168.1.0/24)或通配符(192.168.1.*)。必须使用换行符分隔每个条目。如果要在项目中包含所有主机，可以将此字段保留为空。

如果需要将特定的主机排除在攻击之外，可以将其输入排除地址字段。同样，您可以指定地址范围、CIDR符号、用逗号分隔的主机地址列表或单个主机地址。

高值主机是指定给希望在凭据Domino发现窗口和凭据Domino MetaModule报告中突出显示的主机。高值主机名称可以帮助您快速识别特定窃取的凭据对对关键主机的影响。高值主机指示该主机对组织非常重要，任何针对该主机的攻击都可能对业务操作产生负面影响。例如，包含敏感财务信息的域控制器和服务器可能被认为是高值主机。

所有高值主机将在调查结果窗口中以橙色高亮显示，如下图所示:

有几种方法可以指定一个主机为高值主机:

• 您可以应用主机标记—可以对组织中重要的主机进行标签管理，根据主机对组织的影响程度对主机进行跟踪、分组和报告。标签使您能够在项目级别查看和筛选主机。

例如，您可能希望用如下标签标记所有会计服务器会计．您可能还希望创建并应用临界性标记，例如高，媒介,低，根据主机的危险级别隔离主机。

• 您可以从凭据Domino MetaModule中指定高值主机—也可以通过地址指定高值主机。您可以输入地址范围、单个地址或以行分隔的地址列表。

例如，如果您知道您特别感兴趣的特定主机的IP地址，那么您可以在为凭据Domino MetaModule配置范围时指定它。如果您想手动定义要指定为高值主机且不想使用标记，请使用此方法。

您可以指定在攻击期间希望凭据Domino MetaModule交付的有效负载。要配置有效负载设置，可以使用以下选项，它们位于设置标签:

有效负载类型

此选项确定MetaModule交付给目标的有效负载的类型。您可以选择以下选项之一:

• Meterpreter-这个有效载荷提供了一个高级的交互式shell，提供了广泛的开发后功能，使您能够做一些事情，如升级特权，转储密码哈希，截图，启动和迁移进程，并上传文件到目标。Meterpreter还包括用于基本任务的命令shell功能，如添加用户帐户或运行脚本。

• 命令-这个有效负载提供了一个命令shell，您可以使用它在主机上运行单个命令来执行简单的任务，如添加用户帐户或更改密码。命令shell提供有限的功能，但是可以稍后升级到Meterpreter shell以获得更多选项。

连接

此选项决定Metasploit实例如何连接到主机。您可以选择以下选项之一:

• 汽车-当检测到NAT或防火墙时，该连接类型使用反向连接;否则，它使用绑定连接。
• 绑定—该连接类型使用绑定连接。如果与目标主机存在直接的、无限制的连接，则应该使用这种连接类型。
• 反向—该连接类型使用反向连接。如果主机位于防火墙或NAT网关后，会阻止Metasploit实例向目标的请求，则应该选择此连接类型。

侦听器端口

此选项定义侦听器用于等待传入连接的端口。可以指定特定端口、以逗号分隔的端口列表或端口范围。如果输入端口范围，则从范围中选择第一个可用的开放端口。

侦听器主机

此选项定义目标主机连接回的IP地址。这通常是本地机器的外部IP地址。如果不指定侦听器主机，MetaModule将自动使用本地机器的外部IP地址。

清理会话

此选项允许您在MetaModule完成后关闭所有打开的会话。默认情况下，该选项是启用的。如果您希望会话保持打开状态，请取消选择此选项。

您可以通过设置迭代和超时控件来控制凭据Domino MetaModule通过目标网络的循环次数。如果不设置迭代或超时条件，则Credentials Domino MetaModule将运行到耗尽所有凭据和主机组合为止。根据攻击的范围和捕获的凭据的数量，攻击可能会经历大量的迭代。

要设置终止条件，可以使用位于设置标签:

• 的迭代次数-该选项设置MetaModule尝试迭代次数的限制。如果您想让MetaModule继续运行，直到耗尽凭证才能尝试，可以将字段留空。
• 整体超时-该选项设置MetaModule可以完整运行多长时间的超时限制。可以使用如下格式指定超时时间:HH: MM: SS．您可以将字段留空以设置不超时限制。
• 服务超时-该选项为每个目标设置一个超时，以秒为单位。您可以将字段留空以设置不超时限制。

凭据Domino MetaModule报告记录了基于凭据攻击的结果和技术发现。您可以查看报告，以确定经过验证的登录或打开的会话如何影响目标网络。

要包含凭据Domino MetaModule报告，只需要启用报告选项。

如果您选择自动生成报表，您可以使用以下任一选项自定义报表:

• 格式—报表支持HTML、PDF和RTF三种格式。您必须为报告选择至少一种格式。
• 的名字—报告有一个基于MetaModule和当前日期的默认名称。您可以使用默认名称或提供自定义报表名称。
• 部分-报告包括以下部分:封面页、项目摘要、调查结果摘要、认证服务和主机摘要图表、认证服务和主机详细信息和附录。默认情况下，报告包含所有部分。可以取消选择不希望包含在报表中的任何部分。
• 面具发现凭证—报告以明文形式显示所有捕获的凭据。如果要从报告中屏蔽凭据，必须启用此选项。
• 包括图表—该报告包含多个图表和图形，可视化的攻击结果。如果不希望在报表中包含可视化，则必须启用此选项。
• 排除地址—该报告包含范围中包含的所有主机的数据。如果不希望在报表中包含特定主机的数据，可以在该字段中列出。
• 电子邮件报告—报表生成后，您可以通过邮件发送报表。要用电子邮件发送报告，必须在该字段中输入以逗号分隔的电子邮件地址列表。

请注意，您必须已经为Metasploit Pro设置了本地邮件服务器或电子邮件中继服务才能使用。要定义邮件服务器设置，请转到管理>全局设置> SMTP设置．

当您准备运行凭据Domino MetaModule时，您可以单击发射按钮。