Metasploit – exploitace zranitelností Windows

Hacking Code [Ne]umění exploitace – nebo-li: Jak ovládnout počítač s operačním systémem Windows. Testováno na Slackware based Linuxové distribuci Backtrack 2 Final, s WiFi kartou: CM9 osazenou v PCI redukci, a profi anténou Yagi 17dB, Ovladáč wifi karty opatchovaný madwifi, použité aplikace balík aircrack-ng, Kismet, Nmap, Ettercap, Metasploit Framework. Železo starší PC PI, 233MHz, 160MB RAM. Může se hodit: 1 ks milovníka p2p sítí na druhém konci. Internet je plný nabídek Wi-Fi hardware, norem a regulací. Ale informace o chipsetu, regulaci výkonu a problematice zabezpečení jsou nejspíš zbytečné :)

Komerčníni poskytovatelé bezdrátu (je jich většina) prodávají připojení k internetu které lze bez obtíží zvenčí monitorovat. Koho zajíma, že lze manipulovat nebo odposlechnout i vaši komunikaci? Tento text popisuje jak k takové situaci dochází. Hledani informace „co kupuju a „co riskuju“ = 1/2+0. Když je Access Point bránou do internetu, není rozdíl mezi venkovem a centrem města. Koncoví uživatel se obvykle zajíma pouze o kvalitní signál a rychlost přípojky. Bezdrát jako poslední míle je první míle pro nezvané hosty.

diskuze metasploit

1. Inventarizace

Okno iwconfig SSH

1.1 Skenování a průzkum. Kismet je nedekovatelný a jeho možnosti limitovány pouze chápaním aplikace. Pro nelinuxove uzivatele s chuti otestovat si vlastni zranitelnost muze byt resenim staricky PI osazen bezdratovou a ethernetovou kartou. Distribuce Backtrack pobezi na CPU 233MHz a 128MB RAM. Navi

box s Kismet a Airodump lze ovladat i z windows pomoci SSH konzole která existuje pod jmenem SSH Secure Shell Client. [Odpada nutnost vlastnit dalsi monitor, klavesnci a mys] Prihlaseni je primocare stejne jako ovladani. Login user@10.150.20.14 a heslo.

Instalovat a konfigurovat Linux Box vyzaduje alespon zakladni znalost. Backtrack obsahuje řadu aplikaci a poslouzi i jako vzdelavaci linux server. Co neobsahuje lze doinstalovat.

1.2 Analyza logu. Každý log lze ukladat pro pozdejsi zkoumani. Když není v planu tydenni tazeni zbezne prohledani logu poskytne alespon zakladni informace.

1.3 Sifra vs. open. Zalezi na mnozstvi kafe a psychickem rozpolozeni. Parta stahovacu resi situaci.

1.4 Ovladat svoji distribuci. Ucit se z manualu lze. Delat věci s prstem v stosu papiru stezi.

2. Detekce Par pohybu a Kismet detekoval nic nerikajici nazev a znacny trafik. V databaze lze zjistil vyrobce, v manualu pak maximalni silu sifrovani nebo maximalni delku hesla do administrace.

Okno Kismet

Na siti kde je provoz radove v mbps, Airdump zachyti dostatek paketu bez pouziti Aireplay (injekce paketu) S WEP klicem si Aircrack poradil během 20 minut. Dalsi podrobnosti v obsahlem cteni (pouzivani Aircarck, Kismet atd) ktere je v clanku Hacking Wifi

3. V siti. Na siti je aktivni DHCP servr. Reset karty. Adresa se prideli automaticky.

Ping

Po ziskani IP staci spustit sniffer. Ettercap na siti detekuje 3 aktivni PC.

Zachyceny provoz se sklada z: Nesifrovana icq komunikace, opakujici se ping na AP (watchodog?) a nekoho kdo se vrta v AP, p2p sit (87.236.197.192:411 – Best of All Hub)

Pro spusteni MITM (man in the middle attack) staci jeden scan. Kazde heslo na siti se zobrazi v logovacim okinku. Když nezafunguje „nahoda“ lze spomalenim site nebo presmerovanim a zahazovanim paketu donutit uzivatele navstivit WEB management AP kvuli restartu. Zalezi jenom na fantazii. Ping smrti v bezdratove siti (zevnitr site) vytizi AP na 100%. „Uspech“ je kontraproduktivni v pripade, ze AP nikdo v dohledne době nerestartuje.

Defaultni pass u AP Compex je „password“. Seznam defaultnich loginu a hesel je napr. zde. V pripade, ze je AP ovladatelne telnetem lze pouzit stejne heslo.

Od pouziteho adresniho rozsahu lze dedukovat skillz spravce [10.0.120.5 není to same jako 192.168.0.20]. Vynechani urcitych IP adres DHCP servrem znamena rezervaci – mozna casta protomnost administratora nebo bezici sluzby (HTTP, FTP) které z duvodu dostupnosti (port forwardu) nelze menit. Zminena sit je mala (domaci?).

S restartem AP je vhodne restartovat i sniffer. Takto lze ziskat vsechny nesifrovane hesla na WWW, FTP, ICQ, telnet, pop3.

4. Zkoumani site a sluzeb
nmap -sS -P0 -f -n -O -T 3 192…….

Firewall s „vygenerovanym“ serialem „funguje“ jako by tam vubec nebyl, staci znat spravny postup a #… Prijemne uzivatelske rozhrani vyvolava iluzi snadne obsluhy, nenuti uzivatele znat pravidla nebo pouzivat paketovy filtr. Aby toho nebylo malo kdyz nastanou komplikace (napr. nefunkcni sluzby) na 99% prichazi reseni v podobe vypnuti firewalu.
Nmap detekuje porty 135, 139, 445 a 44434. Posledni port je firewall Kerio instalovany v learning modu? na kterem uzivatel odklikl každý learn dotaz jako OK :) Mozna prvni druha nebo treti? Neni nijak dulezite, jedna se o software firewall a drtiva vetsina uzivatelu bezi na konte administrator.

V sítí je minimálne jedno PC které kominikuje na kritickych portech. V pripade, ze operacni systém nebude zaplatovan, lze otestovat proflakle exploity.

4. Hledání zranitelností Na síti kde je pritomna databaze nebo server lze pouzit nekterou z nepreberneho mnozstvi utilit v distribuci backtrack.

4.1 Automatizacni utilita „Ninja“ [kombinace nmap a metasploit console framework] oskenuje cely adresni rozsah a v pripade, ze nalezne zajimave porty pouzije každý exploit který ma k dispozici ve vlastní lokalni databaze. (databáze backtrack millw0rm lze updatovat jednoduchym prikazem)

4.3 Backtrack 2 Final obsahuje i poslední verzi frameworku Metasploit 3 se shellem i webovym rozhranim.

5. 0wn th3 b0x Udaje z predchoziho skenovani jsou k exploitaci dostatecne. Po zvoleni vhodneho exploitu je potreba pouze nakonfigurovat IP adresu PC v siti a portu kam ma exploit smerovat.

Po exploitaci se na PC které obsluhuje Metasploit odesle virtualni okno. [ziskani pristupu]

Zranitelnosti lze před spustenim otestovat. Kdyz vsechno dobre dopadne vrati se okno VNC v kterem bude mozne ovladat vzdalene PC. Moznosti je vice ale na demostraci se tato metoda hodi nejlepe. Uspesne spusteni exploitu.

Exploitace byla uspesne. Ve virtualnim okne je pracovni plocha ovládnuteho PC. Na PC bezi („firewall“ Kerio, ICQ klient, antivir NOD32 a dc++ klient.

Když se kod na vzdalenem PC uspesne spustil utocnik ziska mimo „prohlizeni“ vzdalene plochy by VNC take kompletni Administracni pristup a PC muze plne ovladat. Kuprikladu na vzdalenem PC instalovat další aplikace pomoci kterych muze anonymne pristupovat do site internet.

Počítač který funguje pod kontem Administrator je exploitaci možné neomezene ovládat.

Výsledek penetračního testu: Skenování a hledání šifrované sítě, vygenerování trafiku, prolomení WEP klíče a exploitace operačního systému Windows XP nepresáhl hodinu.

Prečtete si Hack WiFi a crackování WEP klíče v Linux distribuci Ubuntu. Momentálně nejefektivnější útok a platfroma.

Kam dál?