SECURIDAY 2012 Pro Edition - securinets.com · BackTrack est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier 2010

SECURINETS

CLUB DE LA SECURITE INFORMATIQUE INSAT

SECURIDAY 2012 Pro Edition

Exploitation des failles via METASPLOIT

Chef Atelier : Med Taher BEN SALEM (RT3) Slim BOUGHENIA(Esprit)

Karim BENZINA(RT4) MounaFELAH(RT3) SarraGUIZANI (RT3)

28/04/2012

SecurinetsSecuriday 2012 pro Edition Exploitation des Failles via METASPLOIT

2

Table des matières

I. Présentation de l’atelier : ...................................................................................................3

II. Présentation des outils utilisés : .........................................................................................3

1. Metasploit : ................................................................................................................3

2. BackTrack : ..................................................................................................................9

3. Les machines virtuelle : ........................................................................................... 10

III. Topologie du réseau : .................................................................................................. 11

IV. Configuration des outils : ............................................................................................ 12

1. Installation d’une machine virtuelle ........................................................................ 12

2. Création d’un team : ................................................................................................ 15

V. Scénario de test : ............................................................................................................. 19

1. Attaque réalisé en ligne de commande « msfconsole » ........................................ 19

2. Attaque réalisé avec Armitage ................................................................................ 36

3. Le maintien d’accès ................................................................................................. 49

VI. Conclusion: .................................................................................................................. 52


3

I. Présentation de l’atelier :

L’atelier exploitation de la faille via Metasploit illustre des d’attaques en

local et à distance utilisant METASPLOIT, exploitant les faille existantes dans

les différents systèmes exploitation existant de nos jours, les effets et le

résultat de ces attaque peuvent être multiple et varier comme vous allez le

constater plus tard

II. Présentation des outils utilisés :

Comme vous vous en douter notre outil principal pour cet atelier est le

Framework METASPLOIT.

1. Metasploit :

Description de l’outil :

Metasploit est un projet open-source sur la sécurité informatique qui fournit

des informations sur des vulnérabilités, aide à la pénétration de systèmes

informatisés et au développement de signatures pour les IDS. Le plus connu

des sous-projets est le Metasploit Framework, un outil pour le

développement et l'exécution d'exploits contre une machine distante. Les

autres sous-projets importants sont la base de données d'Opcode, l'archive

des shellcodes, et la recherche dans la sécurité.

Créé à l'origine en langage de programmation Perl, Metasploit Framework a

été complètement ré-écrit en langage Ruby. Le plus notable est la publication

de certains des exploits les plus techniquement sophistiqués auprès du

public.De plus, il est un puissant outil pour les chercheurs en sécurité

étudiant des vulnérabilités potentielles.

Développeur Rapid7 LLC

Dernière version V4.3.0 (17 avril 2012)

Environnements Multiplate-forme

Type Sécurité du système d'information

Licences Metasploit Framework License

site www.metasploit.com

http://fr.wikipedia.org/wiki/D%C3%A9veloppeur

http://fr.wikipedia.org/wiki/Version_d%27un_logiciel

http://fr.wikipedia.org/wiki/Multiplate-forme

http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information

http://fr.wikipedia.org/wiki/Licence_de_logiciel

http://metasploit.com/svn/framework3/trunk/documentation/LICENSE

http://www.metasploit.com/

http://www.metasploit.com/


4

Metasploit peut être utilisé par les administrateurs pour tester la vulnérabilité des

systèmes informatiques afin de les protéger, ou par les pirates et les Script kiddies a

des fins de piratage

Immunity's CANVAS et Core Impact sont deux plateforme comparable àMetasploit

mais contrairement à celui-ci ils ne sont pas open-source

Architecture:

Les Libraires :

Rex : La bibliothèque de base pour la plupart des tâches géré les sockets, protocoles,

les transformations de texte, et d'autres.

Msfcore : Fournit un API basique Interface de Programmation d'application

Msf base: Provides the 'friendly' API


5

Modules

Encoders : veiller à ce que les payloads se rendre à leur destination permet une

sorte d’encodage de info utile afin qu’elle ne soit pas détecter par la cible

Auxiliaires : qui peuvent être utilisés afin d'exécuter des actions arbitraires telles

que le scan de ports, le déni de services entre autres «dos ».

Nops : Les modules NOP sont utilisés pour les instructions de type "no-operation"

pour exploiter les débordements de buffers. Il est très utilise pour tromper

l’antivirus, améliorer la précision de exploit

INTERFACES

Metasploit met à disposition les fronts ends suivants :

Msfconsole : L'interface du framework en lignes de commandes

Msfcli : Permet de programmer un exploit sur une seule ligne

MsfWeb :Mode Web du framework

Msfgui : Interface graphique de msfconsole

Exploitation d’un system

Les étapes basiques pour l'exploitation d'un système sont :

1. Choisir et configurer un exploit (code permettant de pénétrer un système

cible en profitant de l'un de ses bogues ; environs 200 exploits sont

disponibles pour les systèmes Windows,Unix/Linux/Mac OS X/BSD/Solaris, et

d'autres...) ;

2. Vérifier si le système cible visée est sensible à l'exploit choisi ;

3. Choisir et configurer un payload (code qui s'exécutera après s'être introduit

dans la machine cible, par exemple pour avoir accès à un shell distant ou un

serveur VNC) ;

4. Choisir la technique d'encodage pour encoder le payload de sorte que les

systèmes de préventions IDS ne le détectent pas ;

5. Exécuter l'exploit.

http://fr.wikipedia.org/wiki/Windows

http://fr.wikipedia.org/wiki/Unix

http://fr.wikipedia.org/wiki/Linux

http://fr.wikipedia.org/wiki/Mac_OS_X

http://fr.wikipedia.org/wiki/Berkeley_Software_Distribution

http://fr.wikipedia.org/wiki/Solaris_(syst%C3%A8me_d%27exploitation)

http://fr.wikipedia.org/wiki/Charge_utile#Informatique

http://fr.wikipedia.org/wiki/Virtual_Network_Computing


6

Pour choisir l'exploit et le payload, quelques informations sur le système cible sont

nécessaires, tel que la version du système d'exploitation, et les services réseaux

installés, Nmap,NESSUS par exemple permette de faire ceci .

Les types de playload :

Le tableau ci-dessous montre quels types de payload sont compatibles

avec les différents systèmes et environnements d'exploitation.

Description des diffèrent payload :

Adduser :

- Il ajoute simplement un nouvel utilisateur au système ciblé. Une fois

le nouvel utilisateur est créé, l'attaquant peut simplement se connecter

au système à distance en utilisant n'importe lequel des services de

connexion à distance en cours d'exécution sur le système cible. Sur un

système Linux, le nouvel utilisateur est donné les privilèges

root. L'utilisateur a ajouté sur un système Windows sera mis dans

le groupe Administrateurs.

Command execution :

- Exécutera une commande sur le système cible. Cela permet à un

attaquant d'exécuter n'importe quelle commande sur le système

d'attaque qui ne nécessite pas d'interaction utilisateur. Cette charge

utile serait la plus bénéfique sur les systèmes *nix, où la ligne de

commande est puissante. Un certain nombre de commandes peuvent

être enchaînés pour produire de multiples actions.


7

L'injection de DLL

- Ajoute une DLL personnalisée dans la mémoire de l'application

exploitée sur le système cible. Cela permet à un attaquant d'ajouter

leur propre code pour le code ils ont juste exploité. La méthode

d'injection de DLL est utilisée dans une payload d'injection VNC décrit ci-

dessous.

The interactive shell :

- Fournit de l'attaquant avec un shell sur le système cible. L'attaquant

peut envoyer des commandes à la cible, comme s'ils étaient assis en

face du système. Pour les systèmes *nix, cette charge utile est

extrêmement utile car il fournit un accès complet au système.

The file execution :

- Tout simplement c’est télécharger « injecter pour être plus précis » un

fichier puis l’exécuter, backdoor ou rootkit peut être envoyé au

système cible donnant a attaquant un accéder sans restrictions au

système.

Meterpreter :

- C’est notre couteau suisse. Il peut changer les ID de processus, ce mètre

en redémarrage permanant, prendre des captures d’écrans, d’obtenir des

informations d'identification, le log key et un certain nombre d'autres

fonctionnalités

D’injection VNC :

- Envoie un petit serveur VNC pour le système Windows, puis se connecte à

ce serveur VNC. Ceci offre une complète interaction avec l'interface

graphique du système cible. L'inconvénient de cette charge utile est que

tout ce que vous faites sur le système peut être vu par un utilisateur si

elle est utilisée


8

Msfconsole&Armitage:

Au cours de ce tuto nous allons utiliser deux utilitaires de metasploit :

Msfconsole

Armitage

Msfconsole :

- Comme décrit plus haut Msfconsole est l'interface du framework en

lignes de commandes.

- Les commandes suivantes vont nous être primordiale par la suite pour

manipuler ce mode vous allez voir :

Commande Description

use <chemin/vers/exploit> Sélection d'un exploit, d'un auxiliaire

show options Affiche la liste des options et valeurs courantes (celles

spécifiées avec la commande set)

show exploits Affiche la liste des exploits

show targets Affiche la liste des cibles

show payloads Affiche la liste des payloads disponibles

show advanced Affiche les options avancées

search<ChaineDeRecherche> Permet de rechercher un exploit dans la base de données

set <variable><valeur>

Permet d'attribuer une valeur à une variable. Par exemple :

set RHOST 192.168.1.29

set RPORT 81


9

Armitage :

- Armitage est une interface en Java et donc multiplateforme qui sert

d'interface graphique à Metasploit.

- Armitage est assez pratique car son interface graphique est très intuitive et

permet ainsi de mieux comprendre les méandres du pentesting si on n'utilise

pas Metasploit tous les jours. Si vous voulez apprendre à vous servir de

Metasploit alors Armitage est fait pour vous.

Plus tard on vous apprendra ses bases

Installation de metasploit sous WINDOWS, LINUX et MAC OS :

Window:http://www.01net.com/telecharger/windows/Programmation/creation/fic

hes/102738.html

Linux:http://www.tux-planet.fr/installation-et-utilisation-de-metasploit-sous-linux/

Mac OS:https://community.rapid7.com/docs/DOC-1037

2. BackTrack :

BackTrack est une distribution Linux, basée sur Slackware jusqu'à la version 3

et Ubuntu depuis la version 4, apparue en janvier 2010. Elle est née de la

fusion de Whax et Auditor. Son objectif est de fournir une distribution

regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un

réseau.

http://www.01net.com/telecharger/windows/Programmation/creation/fiches/102738.html

http://www.01net.com/telecharger/windows/Programmation/creation/fiches/102738.html

http://www.tux-planet.fr/installation-et-utilisation-de-metasploit-sous-linux/

https://community.rapid7.com/docs/DOC-1037


10

Metasploit est installer par défaut sur Backtrak en plus il présente d’autre utilitaire

bien intéressant pour les plus curieux.

3. Les machines virtuelle :

Comme autre outil conseiller pour faciliter le travail et limiter les ressources

en peut utiliser VMware Workstation, Virtual-Box, Virtual-Machine…

Se sont en fait des applications qui vont vous permettre de cree un PC

pleinement fonctionnel dans une fenêtre. Chaque PC est vraiment une

machine virtuelle, s'exécutant directement sur votre ordinateur hôte. Un

support complet de la gestion du réseau signifie que chaque machine

virtuelle peut avoir son propre réseau d'adresses tout comme une machine

réelle. De nombreuses machines virtuelles peuvent être mises en marche

l'une après l'autre. Par exemple, les utilisateurs peuvent exécuter

simultanément Windows 98, Windows NT, Windows 2000, et Linux.Du coup

on peut toute une topologie réseau sur notre petit PC .

Famille

Distribution GNU/Linux

État du projet

En développement

Entreprise /Développeur

Remote Exploit / Mati Aharoni, Max Moser

États des sources

Logiciel libre et Open Source

Dernière version stable

5.0 R2 (1er

mars 2012)

Site web

www.backtrack-linux.org


11

III. Topologie du réseau :

Deux topologies vont être présentées on utilisera l’une ou l’autre suivant le besoin

et le type d’attaque « Distante ou En Local » qu’on va présenter plus tard :

Topo1 : Attaque sur une cible distante

Topo2 : Attaque en locale


12

IV. Configuration des outils :

Dans cette partie nous allons vous monter comment configurer VMware

Workstation7 pour avoir une topologie proche de celle proposé plus haut sur une

même machine et pouvoir réaliser tous les manipes au cours de ce tuto

1. Installation d’une machine virtuelle


13

On va sélectionner le chemin de ISO ou du CD que l’on veut installer


14

Si l’iso ou le CD de l’OS entrer dans la partie présidant n’est pas reconnue par le

système il faut le déclarer manuellement

On donne un nom à notre machine virtuelle


15

On spécifie la taille de son disque dur virtuelle

En cliquant sur « customize Hardware » vous aller pouvoir configurer votre

machine virtuelle comme vous le voulez « attention à ne pas la rendre trop

gourmande en ressource ça peut créer des bugs »

Il ne reste plus cas cliquer sur terminer

2. Créationd’un team :

Cette fonctionalietr vas permetre une communication inter machine virtuelle

« apartir de VMware Workstation 8 cette fonctionnalité n’existe plus, toutes les

machine virtuelle crée appartiennent au même LAN par défaut »


16


17

Vous pouvez à ce stade soit créé une nouvelle machine virtuelle, soit ajouter

une machine déjà existante


18


19

On va sélectionner une connexion de type NAT, car on veut que chaque

machine de cette team aient aussi accès à internet et donc à un réseau

éloigner comme décrit dans la topologie du réseau plus haut

V. Scénario de test :

Dans cette partie en vas vous présenter diffèrent type d’attaque réaliser

avec METASPLOIT sous Backtrack5R2 utilisant msfconsole et armitage

1. Attaque réalisé en ligne de commande « msfconsole »

Voilà comment lancer« msfconsole » sous Backtrack5R2.


20


21

Attaque SYN flood

Principe :

Le SYN flood est une attaque informatique visant à atteindre un déni de

service. Elle s'applique dans le cadre du protocole TCP et consiste à envoyer

une succession de requêtes SYN vers la cible.

Schéma d'une connexion normale entre un client et le serveur.

Un client malveillant peut supprimer la dernière étape et ne pas répondre

avec le message ACK. Le serveur attend un certain temps avant de libérer les

ressources qui ont été réservées pour le client, car le retard du message ACK

pourrait être causé par la latence du réseau. Cette période d'attente par le

serveur était d'environ 75 secondes lors des premières attaques SYN flood.

Schéma du SYN flood


22

Après l'étape 2, la connexion est semi-ouverte et consomme un certain nombre de

ressources du côté du serveur (mémoire, temps processeur, etc.). En générant

suffisamment de connexions incomplètes de ce type, il est possible de surcharger les

ressources du serveur et ainsi d'empêcher le serveur d'accepter de nouvelles

requêtes, avec pour résultat un déni de service. Dans certains cas, le serveur peut

même planter par manque de ressources.

Schéma d'une connexion normale entre un client et le serveur après une attaque SYN flood

Réalisation :

Choisir la cible « un site web vulnérable » : dans notre cas c’est le site « vetements-

vente.com »


23

Déterminerl’adresse IPderrière son URL,il y’a plusieurs méthodes pour le faire (ping,

nslookup, dig…)

Démarrer « msfconsole »

Pour réaliser cette attaque on va utiliser l’auxiliaire synflood, pour le sélectionner on

utilise la commande suivante : (use auxiliary/dos/tcp/synflood)


24

Il est possible de voir les différentes options et configuration par défaut de

l’auxiliaire,

Indiquer l’adresse IP prélevé précédemment ainsi que le Timeout (les nombre de

seconds à attendre pour une nouvelle donnée).

On vérifie la configuration avec la commande (show options)


25

Déclanchement de l’attaque avec la commande (run)

Pour les curieux vous prouver lancer Wireshark pour visualiser le trafic massif des

paquets SYN.


26

Vérification du fonctionnement du site victime

Attaque réussie

Exploitation de la faille du protocole RDP

RDP (Remote Desktop Protocol)est un protocole de communication réseau sécurisé

pour des applications Windows s'exécutant sur un serveur. RDP permet aux

administrateurs réseau de diagnostiquer à distance et de résoudre les problèmes

rencontrés par les abonnés. RDP est disponible pour la plupart des versions du

système d'exploitation Windows ainsi que Mac OS X. Une version open source est

également disponible.

Le 13/03/2012 Des vulnérabilités dans le protocole RDP de niveau critique ont été

découverte. Ces failles touchent toutes les plateformesWindows (XP, VISTA, 7,

2003,2008 ….) permettant d’utiliser RDP


27

Réalisation de l’attaque :

Avant toute chose il faut savoir que pour que cette attaque fonctionne il faut

que RDP soit activé sur la cible sinon ça n’aurait aucun effet

Soit notre cible Win XP SP3 PRO, comme explique tout à leur la cible peut

être n’importe quel système Windows du moins qu’il possède le service RDP

et qu’il est actif :

Voilà comment activer RDP


28

Mise en place de l’attaque :

On commence par sélectionner l’exploit qui va exploiter cette fameuse faille.


29

On désigne l’adresse de la cible, et c’est partit

Comme vous prouver le voir la cible est hors service attaque réussi !!


30

Attaque par Trajan créé

Dans ce tuto le Système cible Window7 mais il faut savoir que cette attaque est

réalisable sur toutes les plateformes Windows


On vas donc commencer par creation de notre trojan sous forme d’executable qui

vas nous etre utile plus tard pour l’intrusion dans le système cible


31

Grâce à une technique de social engineering par exemple, la cible doit télécharger

exécutable qu’on crée et bien sur exécuter par la suite

Exemple de technique de social engineering :

- Le hacker se fait passer pour un opérateur système, un responsable

informatique ou un ingénieur système et demande à la cible de télécharger

et exécuter le malware c’est facile et efficace ‘’

De plus il existe de nos jours plusieurs méthodes pour modifier la signature de

malware et donc les rendre indétectable

Supposant que cette partie a été accomplie avec brio ;)

Lancer msfconsole

Préparer et lancer l’attaque

Exploit multi/handler vas créer une sorte de serveur d’écoute qui vas attendre la

requête de connexion de la cible via notre exécutable


32

Comme vous pouvait remarque ici on a un payload de type meterpreter

La commande show options nous permet de Affiche la liste des options et

valeurs courantes et donc de remarquer les variable manquante a l’équation

Il ne reste plus qu’à les saisir et lancer l’exploit et attendre que la cible

exécute le malware que vous lui avait passé d’une façon ou d’une autre


33

La cible piéger, on remarque sur notre écran l’apparition de deux nouvelles lignes

indiquant que la connexion avec la victime est établie et qu’une session est ouverte

Voilà, sa machine est sous ton entier contrôle, on pourra faire tout ce que l’on veut

et désire :

- Par exemple on pourrait afficher des informations sur son système

« sysinfo» ou encore lancer un shell « entrer sous DOS » et faire selon votre

bon vouloir


34

Mais ça ne s’arrête pas là, on peut aussi afficher le bureau tout en contrôlant notre

victime avec cet exploit, pour cela Il suffit de changer simplement le payload


35


36

2. Attaque réalisé avec Armitage

Voilà comment lancer Armitagesous Backtrack5R2 :


37


38

Exploitation de la faille du protocole RDP

C’est le même exploit que tout leur sauf que cette fois la cible est équiper de

window7 Ultimate et que cette fois l’attaque sera réaliser avec Armitage

Il ne faut pas oublier d’activer RDP si vous voulez que cette attaque fonctionne sinon

ça n’aurait aucun sens


On lance Armitage

On procède à l’ajout de la machine victime


39

On applique un scan sur la victime : Hosts->Nmap Scan->Intense Scan pour

determier sa nature (os utiliser , version , ports ouverts,nembre de hops …)


40

On choisit le script à appliquer :

- Pour notre cas on a choisi : auxiliary-->dos-->windows-->rdp--

>ms12_020_maxchannelids

On configure l’auxiliaire avec l’adresse de la machine victime, puis on lance l’attaque


41


42

Un écran bleu s’affiche sur la machine victime, la machine est hors service

Exploitation de la faille internet explorer 8

L’exploit qu’on va utiliser exploite une vulnérabilité de type corruption de

mémoire dans Microsoft \ 'sHTML moteur (mshtml). Lors de l'analyse d'une

page HTML contenant une importationrécursive CSS, un objet C + + est

supprimé puis réutilisés plus tard. Cela conduit à l'exécution de

code arbitraire.


Comme tout à leur après avoir lancé « Armitage » nous allons commencer

par designer l’adresse de la cible


43

On applique un scan sur la victime : Hosts->Nmap Scan->Intense Scan pour

determier sa nature (os utiliser , version , ports ouverts,nembre de hops …)


44


45

On sélectionne le script à utiliser :

- Pour notre cas on a choisi : exploitwindowsbrowser

ms11_003_ie_css_impor


46

On ajoute l’adresse de notre, ainsi que l’url-path pour brouiller la victime en la

faisant croire que c’est un url d’un site de jeux par exemple

Comme vous pouvez le voir un serveur d’écoute est lancer sur la machinede

l’attaquant

Il ne reste plus qu’à attendre que la cible entre ce méchant URL sous IE8


47

Comme vous le voyer si dessous une fois que la victime entre l’URL généré un peu

plus haut sa machine est infectée, une session Meterpriter est ouverte ce qui nous

donne un contrôle total de la machine victime


48

De làOn peut facilement accéder au Command Shell de la machine victime

uploader des fichiers


49

Ou encore prendre des captures d’écran de la victime

3. Le maintien d’accès

Certain type d’attaque donne un accès totale a la cible comme vue précédemment

avec « Attaque par Trajan créé » ou « Exploitation de la faille internet explorer 8 .La

question est maintenant est comment maintenir cet accès et donc de s’introduire

chez la victime a notre bon vouloir ?

La méthode que nous allons utiliser ici c’est le backdooring « ou porte dérobée en

français » .En fait une porte dérobée dans un système informatique est

une méthode permettant de contourner l'authentification normale, tout en

essayant de passer inaperçues. La porte dérobée peut prendre la forme d'un

programme installé (comme vous aller le voir dans notre exemple) ou peut subvertir

le système par le biais d'un rootkit.


50


Donc supposant que vous avez réussi à ouvrir une session et donc à vous introduire

chez la cible :

Sous « meterpriter> » on tape « run persistance –h »


51

Comme expliquer dans son help ce script vas nous permettre de crée une porte dérobe

sur notre cible

Explication :

-U : Démarrer automatiquement porte dérobé l'utilisateur se connecter au

système

-i : recharger porte dérobé tous les 10s

-p : sera en cours d'exécution sur le port 8080

-r : Adresse IP de l’attaquant

-A: Démarre automatiquement une correspondance multi/handler avec la

porte dérobée

–X: Démarre automatiquement la porte dérobée lorsque le système démarre

Est voilà, le backdoor crée, vous pouvez vous connecter sur votre cible quand

vous voulez


52

Pour vous reconnecter il suffit d’utiliser l’exploit multi/handler est c’est tout

Maintenant je n’ai qu’un seul conseil a vous donnez « Laisser cour à votre imagination »

VI. Conclusion:

Le but de ce tutoriel n’est pas de vous apprendre à pirater mais vous

sensibiliser et tenir votre attention sur le monde de la sécurité informatique,

comme vous l’avait remarqué les risques et l’effet encouru par une faible

sécurité de votre système peut engendrer des calamités. Pensez par exemple

aux pertes que peut encourir une société si ces serveur venait à être

endommager, ça lui serais catastrophique et même critique des foies.

Donc pensez à sécuriser vos systèmes et à installer les dernières mises à jour

de sécurité.

Documents

SECURIDAY 2012 Pro Edition - securinets.com · BackTrack est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier 2010