Invadindo por falha no Office 2007

E ai pessoal!

Segue ai um tuto muuuito antigo meu que achei aqui pelas minhas anotações.

E o primeiro deles é o exploit conhecido oficialmente como MS12-005 Microsoft Office ClickOnce Unsafe Object Package Handling Vulnerability

Descrição

Esse exploit serve para criar uma conexão reversa entre o PC da vítima e o PC do atacante. Explorando uma falha presente no Microsoft Word 2007 e posteriores. Basicamente é um arquivo do Word com um exploit em Python ou Ruby dentro.

Prós

* Exploit roda em qualquer versão do Windows
* Exploit roda em todas as versões anteriores do Office 2007
* Fácil utilização
* Antivirus não detecta (testado com Avast, AVG e Kaspersky) Prova aqui!

Contras

* Existe patch disponível
* A vitima precisa receber e abrir o arquivo do word, caso o word seja fechado a conexão é finalizada em boa parte das vezes
* A vitima precisa ter instalado o active python/active ruby
* Word 2010 detecta como possível ameaça

Utilização

Vamos lá!
Esse exploit pode ser encontrado no framework Metasploit. Para encontra-lo, digite no terminal do Backtrack ou qualquer outra distro para pentest o comando a seguir:

msfconsole

E para procurar o exploit no banco de dados:

search ms12

Pronto! Já temos o caminho do exploit, então vamos usá-lo:

use exploit/windows/fileformat/ms12_005

Agora vamos ver as informações que precisamos passar para o exploit com o seguinte comando:

show options

Podemos mudar o FILENAME (nome do arquivo final), SRVHOST (ip do atacante), SRVPORT (porta de conexão) e PAYLOAD_TYPE (especificar se quer ruby ou python).

Vamos usar o comando exploit para gerar o arquivo e iniciar o server:

Agora só precisamos mandar esse arquivo para a vitima e esperar que ela abra...

Na máquina windows com antivirus e Office instalado vamos tentar executar nosso exploit:



Como vimos o antivirus não tentou impedir nem a cópia para o PC e nem a abertura, o único alerta é uma mensagem do word dizendo que os macros foram desativados. Só depois dos macros serem ativados que o exploit roda...

 

Assim que os macros forem liberados, surge uma janela de confirmação pedindo se o python/ruby pode ser executado, caso não tenha instalado nada acontece e você perdeu um tempão :P

 

Assim que for dada a confirmação para o python uma janela do prompt aparece, quando for fechada a conexão é encerrada então seja rápido.

Agora que foi aberto o arquivo e em quanto tudo está aberto vamos de volta ao pc atacante ver o que está acontecendo por lá...

Pronto! Usei os comandos sessions -l para listar as sessões abertas, sessions -i 1 para acessar a primeira (e unica) sessão e o comando sysinfo para ver as infos da maquina invadida...

E era isso por em quanto!

Caso gostaram da idéia posto mais uns tutos/reviews de alguns tools e exploits...

Se quiserem indicar uma tool ou exploit também é bem vindo xD

Valeu

Read More

Como esconder um arquivo num computador atacado

Olá!

Hoje vai uma dica de como esconder arquivos em uma máquina previamente atacada. Uma dica interessante: a vítima não consegue ver o arquivo nem habilitando a opção "Mostrar arquivos e pastas ocultas".

Assim que tiver uma sessão do meterpreter aberta use o comando shell para receber a shell da máquina alvo.

Localize o arquivo que deseja ocultar, no meu caso , o arquivos senhas.txt no desktop do usuário.

Com o comando attrib +h +r +s <nome_do_arquivo> podemos esconder um arquivo, pasta ou até mesmo unidade (C:/, D:/, etc).

E ai está! O arquivo sumiu!

Caso queira o arquivo de volta basta usar o comando attrib -h -r -s <nome_do_arquivo>.

OBS: Estes comandos também funcionam direto no "cmd" caso tenha acesso físico a máquina.

Eu fico por aqui! Bons estudos!

Read More

Lista completa dos scripts do Meterpreter do Metasploit

E ai galera!

Acredito que todo o pentester, hacker e aprendiz já tenha passado pelo menos alguma vez pelo Metasploit. O Meterpreter tem diversos scripts que foram escritos por diversos hackers no decorrer de sua existência e boa parte deles se não todos é de extrema importância que você conheça, pode quebrar um galho.

A idéia é que o Metasploit e o Meterpreter continuem em desenvolvimento, então pode ser que se você ver isso daqui a alguns anos vai estar incompleto.

Comandos e suas descrições

• arp_scanner.rb - Script para fazer um scan ARP.
• autoroute.rb - Sessão do Meterpreter sem ter que colocar a sessão atual em background.
• chechvm.rb - Script que detecta se o alvo é uma máquina virtual.
• credcollect.rb - Script para roubar credenciais do host e salvar em um banco.
• domain_list_gen.rb - Script para extrair lista de contas domain admin.
• dumplinks.rb - Recolhe informações de arquivos .lnk, como documentos recentes, time stamps, localização, nomes de compartilhamentos e mais.
• duplicate.rb - Usa a sessão do Meterpreter para criar uma nova em um processo diferente, dando liberdade a ações diferentes e mais arriscadas como desabilitar antivirus, iniciar keylogger e etc.
• enum_chrome.rb - Script que extrai dados do Chrome
• enum_firefox.rb - Script que extrai dados do Firefox
• enum_logged_on_users.rb - Script para enumerar usuários logados no sistemas e usuários que já logaram neste sistema.
• enum_powershell-env.rb - Enumera configurações de PowerShell e WSH
• enum_putty.rb - Enumera as conexões do Putty.
• enum_shares.rb - Script para enumerar compartilhamentos atuais e antigos montados.
• enum_vmware.rb - Enumera configurações de produtos VMware.
• event_manager.rb - Mostra informações sobre Logs de Eventos  e suas configurações.
• file_collector.rb - Script para procurar e baixar arquivos que batam com um específico padrão.
• get_application_list.rb - Script que extrai uma lista de todos os programas instalados na máquina e suas versões.
• getcontermeasure.rb - Script para detectar antivirus, firewall, configurações de segurança, com opção de remover e desinstalar essas ferramentas.
• get_env.rb - Script para extrair uma lista de variáveis de ambiente.
• getfilezillacreds.rb - Script para extrair servidores e credenciais do Filezilla.
• getgui.rb - Script para habilitar o Windows RDP.
• get_local_subnets.rb - Receber uma lista de subnets de acordo com os roteamentos.
• get_pidgen_creds.rb - Script para obter serviços configurados, seus usuários e senhas.
• gettelnet.rb - Verificar telnet instalado.
• get_valid_communitu.rb - Receber uma community string válida do SNMP.
• getvncpw.rb - Recever a senha do VNC.
• hashdump.rb - Pega os hashs de senha do SAM.
• hostedit.rb - Script para adicionar entradas no arquivo Hosts do Windows.
• keylogrecorder.rb - Script para rodar keylogger e salvar teclas.
• killav.rb - Desabilita quase todos os softwares antivirus.
• metsvc.rb - Deleta um serviço do meterpreter e inicia outro.
• migrate - Migrar o Meterpreter para outro processo.
• multicommand.rb - Script para rodar múltiplos comandos no Windows 2003, Vista, XP e 2008.
• multi_console_command.rb - Script para rodar múltiplos comandos em uma sessão do Meterpreter.
• multi_meter_inject.rb - Script que injeta um payload meterpreter reverse tcp na memória em diversos processos, se nenhum destes processos for iniciado, a sessão será iniciada pelo processo notepad.
• multiscript.rb - Script para rodar múltiplos scripts em uma sessão do Meterpreter.
• netenum.rb - Script para realizar ping sweeps no Windows 2003, 2008, XP e Vista usando comandos nativos.
• packetrecorder.rb - Script para capturar pacotes e salvar em um arquivos PCAP.
• panda2007pavsrv51.rb - Esse módulo explora uma vulnerabilidade no Panda Antivirus 2007, utilizado para elevar os privilégios do atacante.
• persistence.rb - Script para criação de um backdoor no host.
• pml_driver_config.rb - Explora uma vulnerabilidade no driver PML da HPZ12, para elevar privilégios.
• powerdump.rb - Meterpreter usa apenas PowerShell para extrair usuários e hashes de senhas das chaves de registro. Esse script necessita estar rodando como System para que funcione. Testado em Windows 2008 e 7.
• prefetchtool.rb - Script para extrair informações da pasta prefetch do Windows.
• process_memdump.rb - Script baseado no paper Neurosurgery With Meterpreter.
• remotewinenum.rb - Esse script vai enumerar hosts Windows passando como parametro um usuário e senha, usando ferramentas nativas do Windows.
• scheduleme.rb - Script para automatizar diversas tarefas durante um pentest. Funciona em Windows XP, 2003, 2008 e Vista.
• schelevator.rb - Explora uma vulnerabilidade para elevação de privilégios através do Windows Vista/7/2008 Task Scheduler 2.0.
• schtasksabuse.rb - Similar ao schelevator.rb, mas possibilitando ataques múltiplos a outras máquinas.
• scraper.rb - Obter informações do sistema.
• screenspy.rb - Este script abre uma visualização interativa da tela do alvo. Necessário Firefox instalado.
• screen_unlock.rb - Script para habilitar compartilhamento de tela. Necessita privilégios de System.
• screen_dwld.rb - Script que busca recursivamente e baixa arquivos que batam com padrão especificado.
• service_manager.rb - Script para gerenciar serviços Windows.
• service_permissions_escalate.rb - Script que varre a máquina alvo em busca de serviços mal configurados onde possa injetar um payload para quando reiniciado o serviço eleve os privilégios do atacante.
• sound_recorder.rb - Script para gravar o som através de um microfone na máquina obviamente.
• srt_webdrive_priv.rb - Explora uma vulnerabilidade para elevar seus privilégios no  South River Technologies WebDrive.
• uploadexec.rb - Script para mandar executáveis para o host.
• virtualbox_sysenter_dos.rb - Script para ataque DoS no Virtual Box.
• virusscan_bypass.rb - Script que "mata" o Mcaffe VirusScan Enterprise v8.7.0i+.
• vnc.rb - Meterpreter para obter a versão do VNC.
• webcam.rb - Script para obter imagens da webcam, obviamente.
• win32-sshclient.rb - Script para rodar o comando "plink" para cliente ssh. Suportado apenas no Windows 2000,XP e Vista.
• win32-sshserver.rb - Script para instalar e rodar o OpenSSH no alvo.
• winbf.rb - Script para verificar a politica de senhas do host.
• winenum.rb - Enumerar informações do Windows, incluindo variáveis de ambiente, interfaces de rede, roteamento, contas e etc.
• wmic.rb - Script para rodar comandos WMIC no Windows 2003, Vista, XP e 2008.

Fonte: Wonder How To

Read More

Limpando rastros

Ultimamente venho postando alguns conteúdos de pós exploração aqui no site. Hoje então resolvi falar sobre uma faze muito importante de um pentest, a limpeza de rastros.

Como vocês já podem imaginar, o meterpreter tem um comando que resolve nosso problemas caso nosso alvo seja um Windows.

Basicamente, a única coisa que você precisa fazer é após executar todo o ataque e todas as ações que você pretendia no computador infectado basta rodar o comando clearev para apagar todos os logs. Claro que isso não é tudo, mas vai te dar uma bela vantagem.

E era isso! Simples assim! :)

Read More

Habilitando RDP em windows infectado

Olá!

Tenho aqui mais um post interessante de pós exploração. Desta vez vamos facilitar nosso acesso ao alvo habilitando e acessando por RDP (Remote Desktop Protocol) e obviamente temos um módulo para isso no Metasploit.

Como em toda pós exploração, você já precisa de uma sessão aberta com o alvo, como já temos alguns posts sobre isso vou pular essa parte.

Aqui podemos ver que já tenho a sessão aberta, então vamos ao módulo:

O exploit e suas opções você pode ver abaixo:

A única coisa obrigatória que precisamos informar é a sessão, mas temos algumas outras como porta, usuário e senha para passar mais despercebido ainda. Neste caso vou apenas com a sessão:

Pronto! Se você ver uma saída como está está tudo certo, agora é só logar por RDP. Já tenho preparado aqui um cliente RDP no meu mac, uma máquina que nem fez parte do ataque, e mesmo assim vou ter acesso, se esse exploit deu certo ele habilitou no alvo o RDP para qualquer conexão.

E ai está! Consegui liberar o acesso remoto. Agora, para que isso é útil? Simples, acessar por RDP mesmo que deixe rastros, obviamente são mais simples e passam despercebidos do que uma sessão do Meterpreter. Com isso pode levar tempo até o alvo perceber que está sendo acessado, ou até mesmo nunca perceber.

Read More

Como desabilitar antivirus de um alvo

Hoje vamos ver como podemos usar o meterpreter para desativar o antivirus do alvo. Primeiramente já precisamos ter acesso a máquina alvo, não vou mostrar isso aqui porque já temos dois post sobre isso, um deles atacando por um arquivo infectado e outro por infecção pelo browser pelo java.

Então vamos lá, já estou aqui com uma sessão do Meterpreter aberta:

Acessando essa sessão, podemos ver que tenho um windows controlado por esse meterpreter, agora só precisamos rodar dois comandos para matar o antivirus dessa máquina, o primeiro deles é o getuid que vamos ver em que máquina e com que usuário estamos logado, e o segundo que é de fato o que vai desabilitar o antivirus que é o run killav.rb:

Pronto! Antivirus desativado. Lembre-se de sempre fazer isso, para evitar que o antivirus pegue alguma ação sua e acabe com seus planos.

Eu fico por aqui, bons estudos!

Read More

Instalar keylogger remotamente pelo meterpreter

Olá! Neste post vamos ver mais uma função do Meterpreter, dessa vez vamos ver como capturar o que o alvo digitar.

Antes de mais nada você precisa ter uma sessão aberta com o alvo, temos dois exemplos de como conseguir isso aqui e aqui.

Assim que conseguirmos uma sessão com o alvo, vamos usar 3 comandos, o keyscan_start, o keyscan_dump e o keyscan_stop.

As funções dos comandos são bem óbvias por seus nomes, mas se você ainda não pegou, o start inicia, o dump mostra os resultados na tela e o stop para.

O uso é bem simples, você usa o start para iniciar a captura, o dump para mostrar o que você capturou e o stop para parar quando quiser parar. A única coisa que temos que tomar cuidado é que precisamos estar no mesmo usuário que está logado e sendo usado no alvo, e mais um detalhezinho do keyscan_dump. A informação do que é digitado fica armazenado em memória então não vai adiantar você iniciar de manhã e fazer o dump a noite, você vai pegar apenas as últimas coisas que foi digitado, sempre fique acompanhando.

Vamos a um exemplo, já com o meterpreter aberto vou iniciar a captura com o keyscan_start e alguns minutos depois vou fazer o dump para ver o que eu pego:

Podemos ver que o alvo entrou no facebook. Temos o que ele digitou tanto no endereço quanto nos campos de email e senha, nenhum SSL vai salvá-lo nesse caso.

Uma dica, se você não estiver recebendo nada, provavelmente seu meterpreter não está no usuário atual. Você pode usar o comando getuid para ver em qual usuário você está, o comando ps para listar todos os processos rodando no alvo e o comando migrate pid para migrar para o processo explorer.exe do alvo. Lembre-se no comando migrate pid, o pid é um valor numérico de cada processo, que você encontrou com o comando ps.

E era isso! Simples assim! :)

Bons estudos!

Read More