Penetration Testing mit Metasploit - mitp.de · 11 Kapitel 1 Einleitung 1.1 Ziel und Inhalt des...

5

Inhaltsverzeichnis

1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.1 Ziel und Inhalt des Buches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.2 Rechtliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141.3 Die Einverständniserklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151.4 Begrifflichkeiten und Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2 Metasploit-Framework: Hintergrund, Historie . . . . . . . . . . . . . . . . . 172.1 Die Geschichte des Metasploit-Frameworks . . . . . . . . . . . . . . . . . . . . 172.2 Die Editionen von Metasploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.3 Die Wahl der Open-Source-Framework-Edition . . . . . . . . . . . . . . . . . 19

3 Kali-Linux-Umgebung aufsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.1 Die richtige Plattform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.2 Hintergründe zu Kali Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.1 Offensive Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223.2.2 Kali-Versionen – Rollierende Releases . . . . . . . . . . . . . . . . . . 24

3.3 Muss es unbedingt Kali Linux sein?. . . . . . . . . . . . . . . . . . . . . . . . . . . 243.4 Fluch und Segen zugleich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.5 Nativ oder als VM?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.5.1 Kali als native Installation – volle Performance . . . . . . . . . . . 253.5.2 Kali als VM – immer dabei . . . . . . . . . . . . . . . . . . . . . . . . . . . 263.5.3 32 Bit oder 64 Bit? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.6 Erste Schritte nach der Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 283.6.1 Root-Password setzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283.6.2 Zurechtfinden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293.6.3 Aktualisieren des Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

3.7 Ein erstes Zielsystem: Metasploitable2 . . . . . . . . . . . . . . . . . . . . . . . . 383.7.1 Speziell für Metasploit geeignet . . . . . . . . . . . . . . . . . . . . . . . 38

4 Pentesting-Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.1 Begriffsdefinition. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.2 Der Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404.3 Schwarz, Weiß, Grau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414.4 Häufigkeit und Zeitpunkt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

© des Titels »Penetration Testing mit Metasploit« (ISBN 9783958455955) 2018 by mitp Verlags GmbH & Co. KG, Frechen. Nähere Informationen unter: http://www.mitp.de/595

Inhaltsverzeichnis

6

4.5 Verschiedene Arten von Pentests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.5.1 Infrastruktur-Pentests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.5.2 Webapplication-Pentests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424.5.3 Application-Pentests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434.5.4 Wireless-, Physical-Pentests … and so much more . . . . . . . . 43

4.5.5 All-In!. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.6 Pentesting-Phasen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.6.1 Phase 1: Reconnaissance/Information Gathering . . . . . . . . 444.6.2 Phase 2: Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444.6.3 Phase 3: Privilege Escalation & Post Exploitation. . . . . . . . . . 454.6.4 Phase 4: Go back to 1 / Pivot and Escalate . . . . . . . . . . . . . . . 46

4.7 Unterschied zwischen Schwachstellenscans, Pentests und Schwachstellenmanagement . . . . . . . . . . . . . . . . . . . . . 464.7.1 Penetrationstest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464.7.2 Schwachstellenscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464.7.3 Schwachstellenmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . 474.7.4 Der Mix macht’s!. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5 Schwachstellen und Exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495.1 Softwareschwachstellen/Schwachstellen im Quelltext . . . . . . . . . . . . 495.2 Konfigurationsschwachstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505.3 Standard-, keine und unsichere Passwörter. . . . . . . . . . . . . . . . . . . . . 51

5.3.1 Standard-Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.3.2 Keine Passwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.3.3 Unsichere Passwörter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525.3.4 Eine Lösung für das Passwort-Problem?. . . . . . . . . . . . . . . . . 53

5.4 Exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545.4.1 Remote Buffer Overflow in SLmail 5.5 . . . . . . . . . . . . . . . . . . 545.4.2 Der passende Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565.4.3 Verschiedene Kategorien von Exploits . . . . . . . . . . . . . . . . . . 60

6 Nmap-Exkurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.1 Wie funktionieren Portscanner? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.1.1 Ein wenig TCP/IP-Theorie. . . . . . . . . . . . . . . . . . . . . . . . . . . . 646.1.2 Wie erhebt ein Portscanner offene Ports? . . . . . . . . . . . . . . . 66

6.2 Keine Angst vor der Nmap-Hilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716.3 Erste Gehversuche mit Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

6.3.1 Spezifizieren der zu scannenden Ports. . . . . . . . . . . . . . . . . . 736.3.2 Offene Ports vs. lauschende Dienste . . . . . . . . . . . . . . . . . . . . 76


Inhaltsverzeichnis

7

6.3.3 Nmap-Script-Scanning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776.3.4 Schwachstellenscanning mit Nmap . . . . . . . . . . . . . . . . . . . . 80

6.4 Intensität und Datenmengen von Portscans verstehen . . . . . . . . . . . 826.5 Die wichtigsten Nmap-Parameter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

7 Metasploit-Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857.1 Der erste Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

7.1.1 Die Datenbankanbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857.1.2 Initialisierung der Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . 86

7.2 Erste Gehversuche im Framework . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897.2.1 Tab Autocomplete und Befehlshilfen . . . . . . . . . . . . . . . . . . . 917.2.2 Module-Workflow – Arbeitsschritte . . . . . . . . . . . . . . . . . . . . 91

7.3 Metasploit-Module. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 957.3.1 Die Modulfamilien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

7.4 Eine Ablaufkette am Beispiel von Metasploitable2 . . . . . . . . . . . . . . . 1057.4.1 Portscan mit Nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1057.4.2 Validierung mit Metasploit-Auxiliary-Modul . . . . . . . . . . . . . 1067.4.3 Eindringen mittels Metasploit-Exploit und Payload . . . . . . . 1077.4.4 Post-Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1147.4.5 Übungsaufgabe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

8 Metasploit in der Verteidigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1198.1 Von der Heise-Meldung über das Patchen bis zur Validierung. . . . . 119

8.1.1 Transparenz und Awareness schaffen mit Metasploit . . . . . 1228.1.2 Auffinden und Ausnutzen von Heartbleed mit

Metasploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1238.1.3 Schließen von Schwachstellen validieren . . . . . . . . . . . . . . . . 127

8.2 Andere Einsatzmöglichkeiten in der Verteidigung. . . . . . . . . . . . . . . 128

9 Praxisbeispiele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1299.1 Vom Word-Dokument zum Domänen-Administrator . . . . . . . . . . . . 130

9.1.1 Die Laborumgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1309.2 Initialvektor: Word-Makro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

9.2.1 Der soziale Aspekt – Social Engineering . . . . . . . . . . . . . . . . 1349.2.2 Research, Research, Research . . . . . . . . . . . . . . . . . . . . . . . . . 1359.2.3 Erstellung der Word-Datei mit Metasploit . . . . . . . . . . . . . . . 1369.2.4 Reverse Listener starten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1379.2.5 Übertragen und Ausführen der Word-Datei . . . . . . . . . . . . . 1399.2.6 Local Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1439.2.7 Situational Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150


Inhaltsverzeichnis

8

9.3 Eskalation in der Windows-Domäne . . . . . . . . . . . . . . . . . . . . . . . . . . 1559.3.1 Pivoting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1559.3.2 Pass-The-Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1649.3.3 Clientside-Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1739.3.4 Letzte Hürde: Domänen-Administrator . . . . . . . . . . . . . . . . . 176

9.4 Erkenntnisse für die Verteidigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1819.4.1 User-Awareness-Maßnahmen als erste

Verteidigungslinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1829.4.2 Antiviren- und Endpoint-Security-Software . . . . . . . . . . . . . . 1829.4.3 Office-Makros und Sicherheit allgemein . . . . . . . . . . . . . . . . 1839.4.4 Keinerlei Ports aus dem LAN ins Internet öffnen . . . . . . . . . 1849.4.5 Berechtigungshygiene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1869.4.6 Privilege Escalation mittels UAC unterbinden. . . . . . . . . . . . 1899.4.7 Auffinden von Schwachstellen durch aktive

Schwachstellenscanner. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1909.4.8 Alarmierung mittels Microsofts Advanced Threat Analytics 1909.4.9 Office-Angriffsfläche mit Windows Defender Exploit

Guard verringern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1919.5 Das IT-Security-Wettrüsten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

10 Anti-Virus-Evasion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19510.1 Grundlagen der Anti-Virus-Evasion . . . . . . . . . . . . . . . . . . . . . . . . . . . 195

10.1.1 Wann kann man von einem Virenscanner erkannt werden? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

10.1.2 Pattern-Matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19710.1.3 Wenn Virenscanner selbst zur Schwachstelle werden. . . . . . 19810.1.4 Network-, Filetype-, Clientside- und Post-Exploitation. . . . . . 200

10.2 Generierung von Stand-alone-Payloads mit Metasploit . . . . . . . . . . . 20010.2.1 msfvenom generiert Payloads . . . . . . . . . . . . . . . . . . . . . . . . . 20110.2.2 Standardtechniken: Packer und Encoder . . . . . . . . . . . . . . . . 205

10.3 AV-Evasion mit PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20610.3.1 Gar nicht erst in Berührung mit dem Virenscanner

kommen: PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20610.3.2 Invoke-Shellcode.ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20610.3.3 Base64-All-The-Things by Hand . . . . . . . . . . . . . . . . . . . . . . . 21010.3.4 Klickbare Payload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21110.3.5 Verteidigung: PowerShell sperren. . . . . . . . . . . . . . . . . . . . . . 213

10.4 Katz-und-Maus-Spiel – Neue Techniken und Tricks nutzen . . . . . . . 214


Inhaltsverzeichnis

9

11 Nessus-Schwachstellenscanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21511.1 Schwachstellen scannen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21611.2 Vergleich Schwachstellenscanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

11.2.1 Unterschied Schwachstellenscanner zu Virenscanner . . . . . 21711.2.2 Funktionsweise von Schwachstellenscannern . . . . . . . . . . . . 218

11.3 Nessus-Versionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22311.4 Nessus-Anwendung in der Praxis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

11.4.1 Installation und Start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22411.4.2 Erstellen einer passenden Policy . . . . . . . . . . . . . . . . . . . . . . . 23011.4.3 Scan der bekannten Labor-Umgebung . . . . . . . . . . . . . . . . . . 24511.4.4 Schwachstellen-Bewertungssysteme. . . . . . . . . . . . . . . . . . . . 25211.4.5 Auswertung der Nessus-Scan-Ergebnisse . . . . . . . . . . . . . . . 25611.4.6 Effiziente Filtermöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . 263

11.5 Schwachstellenmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27111.5.1 Tenable SecurityCenter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

12 Schlusswort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

A Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281


11

Kapitel 1

Einleitung

1.1 Ziel und Inhalt des Buches

Ziel dieses Buches soll nicht sein, dem erfahrenen Metasploit-Nutzer die letztenTricks und Kniffe des Metasploit-Frameworks beizubringen. Vielmehr soll derunbedarfte (Security-)Administrator gezeigt bekommen, dass Metasploit einmächtiges Werkzeug ist, das zum Verstehen und Nachstellen von gängigenAngriffsmethoden genutzt werden kann.

Die Veröffentlichung von Schwachstellen und Patches, die wiederum selbige schlie-ßen, ist heutzutage an der Tagesordnung. So vergeht kein Monat, in dem nichteine kritische Schwachstelle im Internet bekannt gemacht wird und HerstellerHals über Kopf als »kritisch« deklarierte Patches herausbringen.

Wie allerdings kann der normalsterbliche Administrator sicher sein, dass eineLücke in erster Linie überhaupt vorhanden war? Und wie kann er dafür geradeste-hen, dass nach dem Einspielen von Patches und/oder begleitenden Konfigura-tionsänderungen diese Sicherheitslücken auch tatsächlich geschlossen sind?

Inhaltlich sind moderne Schwachstellen mittlerweile so komplex geworden, dasses ein eigener Karrierepfad ist, Schwachstellen aufzufinden und auszunutzen(sogenannte Exploits dafür zu entwickeln). Gerade abseits der Programmier-Berufe fehlt der Einblick und Tiefgang in die Funktionsweise moderner Technolo-gien und Programmiersprachen, um die technischen Hintergründe von Schwach-stellen zu verstehen. Selbst Programmierer mit jahrelanger Erfahrung sind nichtautomatisch befähigt, Schwachstellen zu verstehen, geschweige denn, sie zu ver-meiden. Dies stellt unter anderem auch einen Grund dar, weshalb immer wiederneue Schwachstellen in Software auftauchen.

Wie also soll der Administrator hiermit umgehen und sich sicher sein, dassLücken existieren und geschlossen werden? Ein Weg ist es, die veröffentlichtenSchwachstellen und Angriffstechniken unter sicheren Rahmenbedingungenselbst anzuwenden; Schwachstellen selbst auszunutzen und Exploits selbst einzu-setzen, um mit eigenen Augen zu sehen, dass diese vor dem Patchen noch undnach dem Patchen nicht mehr funktionieren.

Genau hier kommt Metasploit ins Spiel.


Kapitel 1Einleitung

12

Hinweis: Was ist ein Exploit?

Ein Exploit kann ein beliebig komplexes Stück Software (oft auch nur ein kleinesScript) sein, das es ermöglicht, eine Schwachstelle gezielt auf Knopfdruck auszu-nutzen.

Bemerkenswert ist hierbei, dass der Anwender eines Exploits die genaue Funkti-onsweise nicht unbedingt verstehen muss. Oft sind Exploits »schlüsselfertig«und müssen nur noch in die richtige »Richtung« (IP-Adresse und Port) gezieltwerden.

Es gibt viele Kategorien von Exploits, zwei der wichtigsten sollen hier kurzerwähnt werden:

Remote-Code-Execution-(RCE-)Exploits:

RCE-Exploits ermöglichen das Ausführen von Code auf Ziel-Systemen über dasNetzwerk, ohne einen autorisierten Zugang zum Zielsystem zu besitzen.

Local Exploits:

Lokale Exploits dienen dazu, eingeschränkte Rechte auf einem Zielsystem zuerweitern: So bekommt man über einen RCE Exploit für eine Webapplikationgegebenenfalls eine eingeschränkte Kommandozeile auf einem Linux-Webser-ver unter dem niedrig privilegierten Apache-User. Ein Local Exploit kann nunhelfen, die eingeschränkten Rechte z.B. auf Root-Berechtigungen zu erweitern.

Mehr dazu in Kapitel 5 »Schwachstellen und Exploits«.

Metasploit ist ein mächtiges Framework mit vielschichtigem Einsatzgebiet. Sobringt das Metasploit-Framework z.B. Tools mit, die dabei helfen können,Schwachstellen zu finden und Exploits dafür zu entwickeln. Spannender für die-ses Buch ist aber die Tatsache, dass mithilfe von Metasploit das Ausnutzen (Exploi-ten) von Schwachstellen von den technischen Hintergründen der Schwachstellenabstrahiert wird.

Gemeint ist damit, dass das Metasploit eine Vielzahl (1731 zum Zeitpunkt der Fer-tigstellung dieses Buches – Anfang 2018) von Exploits für die unterschiedlichstenBetriebssysteme und Programmiersprachen mitbringt. Sie als Anwender müssenaber nur einmal die grundlegende Funktionsweise des Frameworks verstehen undkönnen danach z.B. Linux- sowie Windows-Ziele angreifen, ohne eingefleischterExperte auf der Zielplattform zu sein.

Sie müssen also kein PHP-Guru oder Linux-Kernel-Entwickler sein, um einePHP-Webapplikationsschwachstelle auszunutzen und danach mittels einer loka-len Linux-Kernel-Schwachstelle vom Apache-Nutzer zum Root-Benutzer zu eska-lieren.


1.1Ziel und Inhalt des Buches

13

Bei all dem kann Metasploit Sie unter den richtigen Voraussetzungen mit ein paareinfachen, wenigen Befehlen unterstützen.

Wichtig: Voraussetzungen zum Verständnis des Buches

Ich möchte niemandem vorschreiben, ob und wann er dieses Buch lesen sollte.Allerdings wurde es mit der Zielgruppe Administratoren und IT-Security-Verant-wortlichen im Hinterkopf geschrieben und setzt ein gewisses Vorwissen voraus:

Erfahrungen in der Systemadministration, Netzwerkgrundlagen und dem Pro-grammieren werden an vielen Stellen vorausgesetzt. Es wird jedoch versucht, dietechnischen Begebenheiten möglichst einfach darzulegen und auf unnötige Ver-komplizierungen zu verzichten.

Sollten Sie trotzdem irgendwo nicht folgen können, so kann ich nur dazu ermu-tigen, einfach die Suchmaschine Ihrer Wahl anzuwerfen und die unklarenBegriffe oder Zusammenhänge zu kombinieren.

Mittlerweile gibt es einen riesigen Schatz an völlig frei zugänglichen Informatio-nen zu diesem Themengebiet, der aber zum größten Teil in der englischen Spra-che zu finden ist.

Metasploit kommt mittlerweile in verschiedenen Formen. So wurde das Open-Source-Projekt durch die Firma Rapid7 übernommen und parallel zu einem kom-merziellen Produkt weiterentwickelt und vertrieben. Welche Version Sie einsetzenkönnen und wie Sie diese am einfachsten verwenden, wird in Kapitel 2 themati-siert.

Wie zu Beginn schon erwähnt, ist es Ziel dieses Buches, Metasploit nicht nur alsreines Angriffswerkzeug (z.B. für Penetration Testing) darzustellen, sondern esauch Systemadministratoren und IT-Security-Verantwortlichen für die Verteidi-gung zugänglich zu machen.

An dieser Stelle verzichte ich auf das in anderen Werken obligatorische Sun-Tzu-Zitat, da es meiner Meinung nach relativ logisch ist, Angriffstechniken zu verste-hen und zu erlernen, um sich effektiv gegen selbige verteidigen zu können.

Kapitel 9 wird hierfür einige gängige Angriffspfade und Techniken erläutern undmithilfe von Metasploit nachstellbar machen.

Bevor dieses Buch entstand, habe ich bereits einige freie Community-Metasploit-Workshops sowie kommerzielle Metasploit-Trainings abgehalten. Für diesenZweck entstand über die Jahre eine Laborumgebung, anhand der die Teilnehmerder Workshops Metasploit in der Praxis anwenden und testen können.

Da gewisse Angriffstechniken, wie z.B. clientseitige Angriffe sowie die Eskalationin modernen Windows-Domänen-Umgebungen, voraussetzen, dass man auchentsprechende Systeme zur Verfügung hat, ist diese Laborumgebung deutlich


Kapitel 1Einleitung

14

komplexer geworden, als einfach nur ein bis zwei ungepatchte Windows-Installati-onen zur Verfügung zu haben.

Im Verlaufe dieses Buches werde ich in Kapitel 3 diese Laborumgebung zumin-dest teilweise erläutern und als Grundlage zur Demonstration von Metasploit ver-wenden. Das Kapitel wird außerdem Anregungen und Tipps zum Aufbau eineseigenen Labors geben.

Trotz Fokussierung auf Metasploit wird dieses Buch jedoch an vielen Stellen überden Tellerrand blicken und weitere Tools erwähnen und erklären, die sich mitMetasploit ergänzen. Auch möchte ich am Ende des Buches in Kapitel 11 kurzmoderne Neuerungen im Metasploit-Framework vorstellen, die zwar vom Kerndes Buchthemas abweichen, aber Erwähnung verdienen und gegebenenfalls dasInteresse an Metasploit und dem IT-Security-Feld weiter entfachen könnten.

1.2 Rechtliches

Wahrscheinlich kommt kein Buch, das sich um IT-Security dreht, ohne einen ent-sprechenden Warnhinweis aus:

Das unbedarfte und unkontrollierte Anwenden von Werkzeugen wie Metasploitund anderen Programmen, die sich in Kali Linux befinden, kann (gegebenenfallsversehentlich) zu Straftaten führen.

Es verstößt gegen deutsches Gesetz, ohne Erlaubnis der Eigentümer von IT-Syste-men diese auf Schwachstellen zu überprüfen oder gar Schwachstellen in diesenSystemen auszunutzen.

Doch selbst mit Erlaubnis und Einverständniserklärung der Eigentümer von IT-Systemen kann es durchaus nicht rechtens sein, IT-Systeme zu auditieren. Neh-men wir einmal das Beispiel eines Mailservers in der eigenen Firma. Auf diesemMailserver liegen gegebenenfalls vertrauliche oder private E-Mails, die nach demdeutschen Postgeheimnis zu betrachten sind.

Auch Shared-Hosting-Umgebungen, wie sie z.B. bei jeglichen Cloud-Providernvorliegen, stellen ein Problem dar: Decken oder nutzen Sie gar eine Schwachstellein der unterliegenden Infrastruktur des Cloud-Providers auf, so kommen Sie gege-benenfalls an Daten anderer Nutzer dieser Infrastruktur.

Dies gilt es unbedingt zu vermeiden und bedarf ganz klarer vertraglicher Regelun-gen mit dem jeweiligen Provider.

Lassen Sie sich hiervon aber auch nicht einschüchtern. Sicherheitsaudits sindauch in diesen Umgebungen sehr nützlich und wichtig. Sicherheitsaudits lassenalle guten Cloud-Provider unter abgesteckten Bedingungen zu.


1.3Die Einverständniserklärung

15

Auch könnte wiederum der Internet-Service-Provider, über dessen Infrastrukturein einfacher Portscan läuft, ein Problem damit haben. Viele Internet-Service-Pro-vider haben hierzu Klauseln in den Verträgen. Gerade bei privaten Anschlüssenwird das Portscanning gern pauschal verboten. Selbst habe ich zwar noch keineFälle davon erlebt, dass Internet-Provider deshalb Anschlüsse gekündigt oder Kun-den abgemahnt haben, aber auf Nummer sicher geht, wer sich auch hier expliziteine Freigabe einholt.

Zu guter Letzt sollte klar sein, dass es schon ein Kündigungsgrund sein kann,wenn Sie unbedarft mit Metasploit bei Ihrem Arbeitgeber experimentieren. Selbstwenn Sie dabei nichts zerstören und nur gute Beweggründe haben.

1.3 Die Einverständniserklärung

Zu jedem Penetrationstest und Schwachstellenaudit gehört also immer eineschriftlich und vertraglich festgehaltene Einverständniserklärung des Eigentü-mers der Infrastruktur und aller beteiligten Provider.

Vorlagen hierfür bekommen Sie beim Beauftragen von Schwachstellenscans undPenetrationstests bei professionellen Anbietern oder sicherlich auch frei verfügbarim Internet.

Vorsichtshalber lassen Sie eine solche Vorlage aber lieber durch Anwälte prüfen,bevor Sie größere Audits unternehmen.

Wichtig: IANAL – I am not a Lawyer

Dieses Buch stellt keine fundierte Rechtsberatung dar.

Es soll lediglich an dieser Stelle davor warnen, dass die rechtlichen Rahmenbe-dingungen der IT-Security sehr ernst genommen werden sollten.

Im Notfall bleiben Sie beim Lesen und Nachverfolgen dieses Buches komplettauf virtuellen Maschinen auf Ihrem privaten Computer oder besuchen entspre-chend vorbereitete Workshops oder Weiterbildungen, die abgeschottete Demo-Umgebungen bereitstellen.

1.4 Begrifflichkeiten und Glossar

Zu guter Letzt möchte ich drauf hinweisen, dass es bei tiefgehenden Themen wieMetasploit und IT-Security immer mal wieder vorkommen kann, dass Ihnen ein-zelne Begriffe oder Hintergründe unklar sind.


Kapitel 1Einleitung

16

Ich habe daher versucht, entsprechende Begriffe im Glossar am Ende des Bucheszu beschreiben.

Sollte Ihnen trotzdem beim Lesen noch etwas unklar sein, scheuen Sie sich nichtdavor, den Begriff einfach in der Suchmaschine Ihrer Wahl einzugeben. Ich versi-chere Ihnen, dass Sie zu all dem Geschriebenen in diesem Buch eine Vielzahl vonWebseiten finden werden, die Ihnen die Hintergründe weiter erläutern.


281

Stichwortverzeichnis

0-Day-Exploit 612-Faktor-Authentifizierung 543-Wege-Handshake 67

AACK 275Administratorrechte 145Adobe Flash-Player 250Advanced Threat Analytics 190agentenbasierter Scan 220Alive Check 218Antivirensoftware 182Antivirus Evasion 135Anti-Virus-Evasion Siehe AV-EvasionApplikationspentest 43AppLocker 214ARP-Protokoll 153ASR 191Assembly 275Assembly Code 43ATA 190Attack Surface Reduction 191AV-Evasion 195, 275

Grundlagen 195Awareness 122Awareness-Maßnahmen 128

Bbackground-Befehl 145, 157Baiting 275Banner 275Banner-Grabbing 77, 275Base64 210Bash 275Beeinträchtigung der Zielsysteme 93Befehl

background 145, 157creds 151exit 145getsystem 145, 150, 177hashdump 143, 150, 164ifconfig 141

ipconfig 141jobs 139, 147msfvenom 201net 144, 177net localgroup administratoren 144route 158run 148set target 147shell 144show targets 147

Berechtigungshygiene 186Binary 275Blackbox-Pentest 41Bourne Again Shell 275Browser

umleiten 175Browser Redirect 175Bruteforcing 107, 275Buffer Overflow 49, 275bypass_uac-Trick 178Bypassuac-Exploit 148Bypassuac-Modul 146

CClientside-Exploit 60, 135, 173Clusternodes 275Common Vulnerabilities and Exposures 253Common Vulnerability Scoring System 253Compliance-Scan 243Continuous View 272Credential Guard 188Credentialed Scans 219Credentials 143, 275creds-Befehl 151Cross-Site-Scripting 221CVE 253, 275CVE-ID 253CVSS 253

DDatabreaches 276Debian 276



282

Debugger 276Domain-Administrator-Passwort 179Domänen-Administrator 176Domänen-User 267Dump 276

EEinverständniserklärung 15Encoder 203, 205, 276Endpoint-Security-Lösung 182Endpoint-Security-Suite 196Eskalation 155

horizontaler 46exit-Befehl 145Exploit 12, 49, 54, 276

0-Day- 61alter 173Beispiel 54Bypassuac- 148Clientside- 60, 135, 173, 200Exploit-DB 56Fileformat- 136Filetype- 200Kategorien 60Local Exploit 115lokaler 12MS14-064- 174Network- 60, 200Post- 200PSEXEC- 168RCE- 12Social-Engineering- 135

Exploitation 276Exploit-Chain 51

FFileformat-Exploit 136Filtermöglichkeiten (Nessus) 263Firefox 30, 163Firewall 200Foca 44Foothold 142Fuzzen 98Fuzzer 43

Ggetsystem-Befehl 145, 150, 177Github 276GNOME 29, 276GPO 276Greybox-Pentest 41

HHashcat 153Hashdump 143, 150hashdump-Befehl 143, 150, 164Heartbleed 119

auffinden 123Scanner-Modul 124

Heuristik 197Host-Antivirus-Produkt 200Hostfirewall 182HTTPS Tunnel Opening 276HTTPS-Interception 185, 199, 276

IIANA 276IDS 276ifconfig-Befehl 141IFrame 175Information Gathering 277Infrastruktur-Pentest 42In-House Pentests 128Injection-Lücken 221Invoke-Shellcode.ps 206ipconfig-Befehl 141IPS 276IT-Security-Wettrüsten 194

JJavaScript 175, 211jobs-Befehl 139, 147John-The-Ripper 153

KKali Linux 21, 277

64 Bit 27aktualisieren 36installieren 25Konsole 34native Installation 25Netzwerkeinstellungen 31Repositories 36Root-Password 28Tools von Github installieren 36Versionen 24Verzeichnisstrukturen 34VirtualBox 27VM 26VMware 27

Kali Linux ARM Images 26Kali Linux Nethunter 26Keine Passwörter 52Kill-Chain 51, 277



283

Klartextpasswort 169anzeigen 169

Konfigurationsschwachstelle 50Kritikalität 122

LLabor

aufbauen 130Umgebung 130

LanManager-Hash 151LAPS 186Lauschende Dienste 76LHOST 136Live-Hacking 128LM-Hash 151, 186Local Administrator Password Solution 186Local Privilege Escalation 143Local Security Authority Subsystem Service

143LSASS 143

MMakro 183Metasploit 85

Autocomplete 91Auxiliary-Module 97Basics 85Befehlshilfen 91Core Commands 90Credentials Backend Commands 91CVE-ID 124Database Backend Commands 90Datenbankanbindung 85Datenbankinitialisierung 86Dokumentation 85Exploit 107Exploit-Module 99Geschichte 17Heartbleed 123Hilfe 89Indexierung der Module 85Job Commands 90Module 95Module Commands 90Module-Workflow 91Modulfamilien 97Payload 100, 107, 201Post-Exploitation-Module 102Projekt 17Resource Script Commands 90richtiges finden 124Sessions 111

Validierung 106verfügbare Exploits 269Versionen 18Workspaces 88

Metasploit Community Edition 18Metasploit Express 18Metasploit Pro 18Metasploitable2-VM 38, 72, 105Metasploit-Framework 17Metasploit-Framework-Edition 18Metasploit-Route 157Metasploit-Word-Template 136Meterpreter 102, 115, 141, 143, 200, 277Mimikatz 169

verhindern 187MS14-064 173MS14-064-Exploit 174MS17-010 250msfconsole-Befehl 201msfvenom-Befehl 201Multihandler 277

LHOST 138Multihandler-LHOST 138

NNAT 277Nessus 46, 190, 215

aktivieren 227Anwendung 223Compliance-Scans 243Description 259Download 224Exploitable With 259File-System-Scans 239Filtermöglichkeiten 263installieren 224Nessus Home 223, 235Nessus Manager 223Nessus Professional 223Performance 241Plugin Details 257Plugin-Output 261Plugins 244Risk Information 258Scan Credentials 242Scan-Ergebnisse 256Scan-Policy 230See Also 259Solution 259starten 226Versionen 223Vulnerability Information 258



284

net localgroup administratoren-Befehl 144net-Befehl 144, 177Network-Exploit 60, 200Netzwerkdesign 133Netzwerk-Pentest 42Netzwerk-Port-Scan 219NewTechnology-LanManager-Hash 151Nexpose 215, 277Nmap 63, 105

Ausgabe 64Debug-Ausgabelevel 75Default-Script 79Hilfe 71Ncat 77NSE-Script 79Parameter 84Schwachstellenscanning 80Script 106Script-Scanning 77Scriptsets 79Statuszeile 75TCP-Full-Connect-Scan 68TCP-Stealth-Scan 69TCP-SYN-Scan 69UDP-Portscan 70

NOPs 277NTLM-Hash 151

OOffene Ports 76Offensive Security 22Office-Makro 183OpenSSL 120OSI-Schichtenmodell 65OWASP 221

PPacker 205Pass-The-Hash 107, 164, 165, 187

verhindern 187Password Spraying 277Passwordhash 143Password-Reuse 53Passwort

Passwortmanager 187Passwortsafe 187-Rotation 187sicheres 187

Passwort-Bruteforcing 165Passwortgenerator 53Passworthash 150, 277Passwortmanager 187Passwort-Safe 53

Patch 277vs. Schwachstelle 268

Patch-Verfügbarkeit 267Patch-Zyklus 267Pattern-Matching 197, 200Payload 49, 100, 137, 277

Encoder 203generieren 201Klartext 110klickbar 211Meterpreter 102Reverse-CMD-Payload 109Single-Payload 100Staged-Payload 101verschlüsselt 110

Penetrationstest Siehe PentestPentest 39, 46

Applikations- 43Arten 42Blackbox- 41Exploitation 44Go back to 1 46Greybox- 41Häufigkeit 41Information Gathering 44Infrastruktur- 42Netzwerk- 42Phasen 44Physical- 43Pivot and Escalate 46Post Exploitation 45Privilege Escalation 45professioneller 39Reconnaissance 44Scope 40vs. Schwachstellenscan 47Webapplication- 42Whitebox- 41Wireless- 43Zeitpunkt 41

Pentesting 277Phasen 44, 104

Phishing 278Physical-Pentest 43Pivoting 46, 155, 164, 278Plattform 21Podcast-Adressen 273Policy 278Port 184Portforwarding 133, 155, 278Portscan 105, 278

Datenmengen 82Intensität 82



285

Portscanner 63, 66Nmap 63

Post-Exploitation 114Post-Exploitation-Phase 114Post-Hashdump-Modul 152PowerMeta 44PowerShell 206

sperren 213PowerSploit 206Privilege Escalation 114, 278

verhindern 189verifizieren 150

Proxychains 161PSEXEC 167PSEXEC-Exploit 168PWK/OSCP-Zertifizierung 23

QQualitätssicherung 24

RRansomware 278RCE-Exploit 12RDP 278RDP-Sitzung 171

aufbauen 170Rechtliche Situation 14Reconnaissance 278Recon-NG 44Remote Buffer Overflow 54Request for Comments 65, 131Reverse Engineering 43, 278Reverse Listener 137, 278RFC 65, 131, 278rockyou.txt 35route-Befehl 158run-Befehl 148

SSAM 143SCADA 278Scan

agentenbasiert 220Credentialed 219Netzwerk-Port- 219Webanwendungen 221Webapplication- 221

Scanner-ModulHeartbleed 124

Schadsoftwaregenerieren 200

Schwachstelle 278bewerten 252im Code 49Kategorien 49Passwort 51scannen 216Schließung validieren 127vs. Patch 268

SchwachstellenKonfiguration 50Konfigurations- 190, 220Software- 190

Schwachstellen-Assessment 219Schwachstellenmanagement 46, 47, 271Schwachstellenscan 46

Ergebnisse auswerten 256vs. Pentest 46vs. Schwachstellenmanagement 217

Schwachstellenscanner 46, 190Funktionsweise 218Nessus 46, 190, 215Nexpose 215Nmap 80und Metasploit 123Vergleich 217vs. Virenscanner 217

Scope 278Pentest 40

Script-Scanning 77Security Account Manager 143Server-Management-Webinterface 120Service Detection 219set target-Befehl 147Severity 268shell-Befehl 144, 177Shell-Code 60Shikata Ga Nai 203Shouldersurfing 135show targets-Befehl 147Sicherheitsaudit 279Situational Awareness 150SMB-Dateifreigabe 164SMBv1-Protokoll 220Sniffer 279Social Engineering 43, 134, 279Social-Engineering-Exploit 135Socks4a-Modul 160Socks4a-Proxy 160Softwareschwachstelle 49Spearphishing 45Spoofing 279SSH-Verbindung 185Standard-Passwörter 52



286

Stuxnet 40Subnetz 153SYN 279SYSTEM-Rechte 145

TTCP 66

Ports 65TCP/IP 64Tenable SecurityCenter 271tenable.io 272Transparenz 122Tunneln 185

UUAC 145, 189, 279UAC-Einstellung 149UAC-Stufe 149Ubuntu 123UDP 65, 66UDP-Portscan 70UEFI 188Unsichere Passwörter 52UPD

Ports 65User Account Control 145User-Agent-String 171User-Awareness-Maßnahme 182

VValidierung

Schließung von Schwachstellen 127Verschlüsselungstrojaner 278Verteidigung 128, 181

IT-Systeme 119PowerShell 213

Virenscanner 135als Schwachstelle 198Funktionsweise 196Geschichte 195umgehen 195vs. Schwachstellenscanner 217

Virtuelle Maschine 279Virustotal.com 204VNC-Server 220Vorher-Nachher-Vergleich 128VPN 120Vulnerability Assessment 46, 279

WWannaCry 20Webapplication-Audit 221Webapplication-Pentest 42Webapplication-Scan 221Whitebox-Pentest 41Windows Defender 198Windows Defender Exploit Guard 191Windows Server Update Services 50Wireless-Pentest 43WMI 279Word-Datei

ausführen 139mit Makro 136mit Metasploit erstellen 136

Word-Makro 134Word-Template 140Workspace 88Wörterbuchliste 35Wrapper 211

XXAMPP-Webserver 171

YYara Rules 239, 279

ZZertifikat 274


Penetration Testing mit Metasploit - mitp.de · 11 Kapitel 1 Einleitung 1.1 Ziel und Inhalt des...

Documents

Transcript of Penetration Testing mit Metasploit - mitp.de · 11 Kapitel 1 Einleitung 1.1 Ziel und Inhalt des...