DIA#22-Ethical Hacking Tools (Metasploit- Exploit Development part2)

-
    Continuo hoje, mais uma vez, no tutorial da Offensive Security a apirtir de onde deixei no ultimo dia.

    Formatar o Exploit Module

    Relativamente ao formato de um exploit module em Metasploit, é semelhante à forma de um módulo auxiliar só que tem mais campos, entre os quais, tem-se sempre um Payload Information Block (uma exploit sem payload é um módulo auxiliar), tem-se uma lista de targets delineada e em vez de se definir run(), exploit() e check() são usados.
    Apesar de raramente ser implementado, o método check()deve ser definido nos exploits modules sempre que possível, de modo a, poder verificar todas as opções exceptuando os payloads e determinar se o target é vulnerável. Depois de correr, o check() retorna um check value definido, que pode ser.
  • CheckCode::Safe – not exploitable;
  • CheckCode::Detected – service detected;
  • CheckCode::Appears – vulnerable version;
  • CheckCode::Vulnerable – confirmed;
  • CheckCode::Unsupported – check is not supported for this module.
    Nos exploit modules podem-se também usar mixins, cada um com a sua funcionalidade.
    

Exploit targets

    Os exploits definem também uma lista de targets que incluem um nome, um número e opções. A secção das opções  pode ser feita basicamente como se quiser, apesar de existirem nomes de opções especiais, como por exemplo "payload" que faz overload da exploits info block. A função das options é guardar target data como por exemplo o return address de um target windows 2000. O acesso ao target object dentro da exploit pode ser feito através de um hash, por exemplo target[‘Payload’][‘BadChars’] e
target[‘opnum’]. De vez em quando é preciso de escolher novos targets, porque um language pack muda os endereços, ou a versão disponível do software é diferente ou os endereços mudaram devido a hooks (lugar no código que permite aceder ao módulo ou para estipular um comportamento diferente ou para reagir ao que aconteceu). Para adicionar um novo target são precisos percorrer três passos:
  • Determinar o tipo de return address que é preciso, pode ser um simples "jmp est"(faz jump para o inicio da payload), como fazer jump para um registo especifico ou um ‘pop/pop/ret’. Os comentários nocodigo do exploit podem ajudar a escolher o que é preciso;
  • Obter uma copia dos binários do target;
  • usar "msfpescan" para localizar um return address adequado.

Exploit Payloads

    Quando se está a criar um exploit payload tem que se ter em conta diversos aspectos, como a arquitectura do OS, o anti-virus,etc. Para escapar à detecção dos exploits, quer-se fazer o encode dos payloads para retirar quaisquer badchars, quer-se também usar NOPs para adicionar randomness ao output final.

MSFVenom

    Com MSFVenom combinou-se Msfpayload e Msfencode, que eram duas ferramentas bastante uteis para gerar payloads em diferentes formatos e fazer o encoding desses payloads usando diversos modulos de encoding. Pode-se começar a fazer uso desta ferramenta com "msfvenom -h", um exemplo do uso é "msfvenom -a x86 --platform Windows -p windows/shell/bind_tcp -e x86/shikata_ga_nai -b '\x00' -i 3 -f python" em que se pode ver o significado de cada opção com o uso do comando inicial, mas basicamente esta-se a criar um windows bind shell com três iterações de "shikata_ga_nai" encoder, de onde foram tirados os null bytes, o output virá em formato python.

Usar o Egghunter Mixin

    Egghunting é uma forma de staged shellcode (quando não se pode injetar muita data no processo target, envia-se um shellcode mais pequeno que ao executar faz dowload de de um shellcode maior e executa-o), onde o attacker pode injetar um shellcode maior, mas não sabe onde o processo vai acabar, então vai-se enviar um egg-hunt shellcode mais pequeno num sitio onde é previsivel que o processo esteja, sendo que esse código irá pesquisar o address space do processo para um shellcode maior (o egg) e executa-o.

PS. 

Comentários

Enviar um comentário

Mensagens populares deste blogue

DIA#36-OverTheWire-Bandit (LVL 2)

-
Imagem
 Continuo no OverTheWire desta vez para o nível 2, em que é necessário utilizar o comando " cat ./- " em que se coloca "./-" para especificar a localização completa (o ponto especifica a directoria corrente)  para obter a password "CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9".  De seguida repete-se o que se tem feito com o uso de " ssh bandit2@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Pode-se ver o processo em baixo. PS.  Durante a análise deste nível descobri tanto que o "." representa a directoria actual (como foi mencionado em cima), como que o ".." representa a parent directory como se pode ver em baixo.           A partir do exemplo de cima parece que " cd . " não faz nada, mas se o utilizador quiser voltar à directoria onde estava anteriormente através do uso de " cd - ", depois do uso de " cd . " volta-se para a directoria corrente. Isto deve-se à mudança ocor...
Ler mais

DIA#45-OverTheWire-Bandit (LVL 11)

-
Imagem
     Continuo no OverTheWire desta vez para o nível 11. A resolução deste nível é bastante simples sendo apenas necessário descodificar data encoded com base64, para isso usa-se " base64 -d data.txt " em que a flag " -d " faz descodificar o que está no ficheiro " data.txt ". Daqui retira-se a password "IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR". Seguidamente repete-se o que se tem feito usando de " ssh bandit11@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Pode-se ver o processo em baixo. PS. Com o comando " base64 " faz-se encode/decode para/de base64, para um olhar mais aprofundado recomendo ir a " https://linuxhint.com/bash_base64_encode_decode/ ".
Ler mais

DIA#52-OverTheWire-Bandit (LVL 18)

-
Imagem
     Continuo no OverTheWire desta vez para o nível 18. Que é bastante simples, sendo apenas necessário o uso do comando " diff " para encontrar a diferença entre os ficheiros " password.new " e " password.old ", isto faz-se usando " diff passwords.new passwords.old " que vai dar o seguinte output.      Em que " 42c42 " significa que é necessário mudar o texto da linha 42 do primeiro ficheiro (password.new) para ficar igual à linha 42 do seguindo ficheiro (password.old), mostrando de seguida as linhas que são diferentes, em que " < " significa que é do primeiro ficheiro (o que interessa) e  ">" do segundo ficheiro. Daqui retira-se a password "kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd".      Seguidamente sai-se ambos os hosts bandit e repete-se o que se tem feito usando de " ssh bandit18@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Onde, neste caso, vai sair com ...
Ler mais