DIA#32&33-Ethical Hacking Tools (Metasploit- Módulos auxiliares)

-
    Nestes dias continuei no tutorial da Offensive Security, na parte sobre os módulos auxiliares presentes na MSF.

Admin

Módulos Admin HTTP

    Com o módulo "tomcat_administration" faz-se um scan de uma range de IPs e localiza o pained de administração e versão do Tomcat Server

Módulos Admin MSSQL

  • Com o módulo "mssql_enum" faz-se uma query num MSSQL para obter vários settings de configuração.  
  • O módulo "mssql_exec" aproveita-se do procedimento "xp_cmdshell" para executar comandos no sistema remoto. 
    Para ver exemplos de uso destes módulos ir a "https://www.offensive-security.com/metasploit-unleashed/admin-mssql-auxiliary-modules/".

Módulos Admin MySQL

  • Com o módulo "mysql_enum" vai-se conectar a um server de base de dados remoto MySQL, com umas determinados credenciais e faz faz uma enumeração básica deste.
  • Com o módulo "mysql_sql" fazem-se queries SQL num server remoto, desde que se tenham credenciais válidas.
    Para ver exemplos de uso destes módulos ir a "https://www.offensive-security.com/metasploit-unleashed/admin-mysql-auxiliary-modules/".

Módulos Postgres Admin

  • Com o módulo "postgres_readfile" mostra e lê ficheiros de um server PostegreSQL, desde que se tenham credenciais válidas.
  • Com o módulo "postgres_sql" faz as queries que se escolherem e retorna os resultados, desde que se tenham credenciais válidas.
    Para ver exemplos de uso destes módulos ir a "https://www.offensive-security.com/metasploit-unleashed/admin-postgres-auxiliary-modules/".

Módulos VMware Admin

    Com o módulo "poweron_vm" faz login no web API do VMware e tenta ligar uma Máquina Virtual.

Captura de Servers

  • Com o módulo de captura "ftp" actua como um server FTP para capturar credenciais do utilizador.
  • Com o módulo de captura "http_ntlm" tenta-se apanhar Challenge hashes NTLM/LM no HTTP.
  • Com o módulo de captura "imap" finge-se ser um server IMAP para capturar credenciais do mail de users.
  • Com o módulo de captura "pop3" finge-se ser um server de email POP3 para capturar credenciais do mail de users.
  • Com o módulo de captura "smb" finge-se ser um share SMB para capturar hashes da password para serem mais tarde exploited.   

Scanners

DCERPC

  • Com o módulo "endpoint_mapper" faz-se query de um serviço de EndPoint Mapper de um sistema remoto, de modo a determinar que serviços estão disponíveis. Isto pode ser bastante importante na fase de recolha de informação.
  • O scanner "dcerpc/hidden" liga-se a um conjunto de IPs e tenta localizar quaisquer serviços RCP que não estejam listados no EndPoint Mapper e determina se é permitido o acesso anónimo.
  • O scanner "dcerpc/management" faz scan de um conjunto de IPs e obtem informação do interface de gestão remoto do serviço DCERPC.
  • O scanner "dcerpc/tcp_dcerpc_auditor" faz scan de um conjunto de IPs para determinar que serviços DCERPC estão disponíveis através de TCP.
    Para ver exemplos de uso destes módulos ir a "https://www.offensive-security.com/metasploit-unleashed/scanner-dcerpc-auxiliary-modules/".

Discovery

  • Com "arp_sweep" pode-se enumerar os sistemas na mesma network que a máquina onde está a correr o módulo.
  • Com "ipv6_neighbor" sonda a network local por hosts IPv6 que respondam a Solicitações de Vizinho com link-local address.
  • Com "udp_probe
  • Com "udp_sweep"
    Para ver exemplos de uso destes módulos ir a "https://www.offensive-security.com/metasploit-unleashed/scanner-discovery-auxiliary-modules/".

FTP

  • Com "ftp/anonymous" faz-se um scan por um conjunto de IPs à procure da servers FTP que permitam acesso anónimo e determina-se onde existem permissões de read e write. 
  • Com "ftp_login" faz-se um scan de um conjunto de IPs tentando sempre fazer login em servers FTP.
  • Com "ftp_version" faz-se um scan de um conjunto de IPs e determina-se a versão de quaisquer servers FTP a correr.

HTTP

  • O módulo "cert"  é um scanner administrativo útil para observar numa subnet se os certificado estão expirados ou não. 
  • Com "dir_listing" conecta-se a um conjunto de web servers e determina se as directory listings estão activadas.
  • Com "dir_scanner" faz-se um scan de um ou mais servers para descobrir directorias para serem exploradas.
  • Com "dir_webdav_unicode_bypass" faz-se um scan de um conjunto de webservers e tenta ultrapassar a autenticação usando a vulnerabilidade WebDAV IIS6 Unicode
  • Com "enum_wayback" faz-se uma query do site archive.org à procura de quaisquer URLs arquivados no domain dado.
  • Com "files_dir" faz-se uma query um conjunto de hosts usando uma wordlist como input, à procura de ficheiros interessantes no target. 
  • Com "http_login" faz-se bruteforce do login em sistemas que usam autenticação HTTP.
  • Com "open_proxy" faz-se um scan de um conjunto de hosts à procura de proxy servers abertos. 
  • Com "options" conecta-se a um conjunto de IPs e fazem-se queries a quaisquer servers pelas opções existentes neles. 
  • Com "robots_txt" faz-se um scan  num conjunto de servers à procura da presença ou conteúdos do ficheiro "robots.txt", estes ficheiros frequentemente contêm informação valiosa. 
  • Com "ssl" fazem-se queries num conjunto de hosts e tira-se a informação de certificados SSL.
  • Com "http_version" faz-se um scan num conjunto de hosts e determina a versão de servidor web a correr neles.
  • Com "tomcat_mgr_login" tenta-se fazer login a uma aplicação Tomcat Manager usando uma lista de passwors e utilizadores.
  • Com "verb_auth_bypass" faz-se um scan num conjunto de servers e tenta-se ultrapassar a autenticação usando diferentes HTTP verbs
  • Com "webdav_scanner" faz-se um scan de um conjunto de servers e tenta-se determinar se WebDav está activo.
  • Com "webdav_website_content" faz-se um scan um conjunto de hosts por servidores que divulguem os seus conteudos por WebDav. 
  • Com "wordpress_login_enum" faz-se bruteforce uma instalação do WordPress , primeiro tentando determinar usernames válidos e depois tenta fazer um password-guessing attack.    

IMAP

    O módulo "imap_version" é um banner grabber para servers IMAP.

MSSQL

  • Com "mssql_ping" faz-se uma query num conjunto de hosts no port UDP 1434 para determinar o port TCP à escuta de qualquer servidor MSSQL, se disponível. Isto é útil porque MSSQL utiliza ports TCP aleatórios para escutar. Retira também informação como InstanceName e valores ServerName, etc.    
  • Com "mssql_idf" irá-se conectar a um servidor MSSQL remoto usando umas credenciais descobertas anteriormente e procura colunas e linhas com "nomes interessantes".
  • Com "mssql_sql" fazem-se queries SQL numa base de dados usando credenciais que se sabem ser corretas.

MySQL

  • Com "mysql_login" faz-se bruteforce da ferramenta de login de servers MySQL.
  • Com "mysql_version" faz-se um scan num conjunto de hosts para determinar a versão de MySQL a ser usada.

NetBIOS

    Com "nbname" faz-se um scan num conjunto de hosts e determina-se os hostnames via NetBIOS.

POP3

    Com "pop3_version" faz-se um scan num conjunto de hosts por mail servers POP3 e determina a versão a ser corrida.

SMB

  • Com "pipe_auditor" faz-se um scan que determina que named pipes estão disponíveis via SMB. Com credenciais isto funciona muito melhor.
  • Com "pipe_dcerpc_auditor" faz-se um scan que retorna os serviços DCERPC que podem ser acedidos através de um SMB pipe.
  • Com "smb2" faz-se um scan nos remote hosts e determina se suportam o protocolo SMB2. 
  • Com "smb_enumshares" enumeram-se quaisquer SMB shares disponíveis no sistema remoto. Com credenciais isto funciona muito melhor.
  • Com "smb_enumusers" conecta-se a qualquer sistema via serviço SMB RCP e enumera os utilizadores no sistema. Com credenciais isto funciona melhor.
  • Com "smb_login" tenta-se fazer login via SMB num conjunto de IPs. Podem-se adicionar através de ficheiros passwords e users ao grupo de palavras que irão ser tentadas. 
  • Com "smb_lookupsid" faz-se bruteforce em SID lookups num conjunto de targets para deterinar que utilizadores locais existem no sistema. Sabendo os utilizadores locais que existem no sistema faz-se qualquer nova tentativa de bruteforce bem mais rápida no futuro. Com credenciais obtém-se um output bem mais interessante.
  • Com "smb_version" conecta-se a cada workstation num conjunto de hosts e deterina a versão d o serviço SBM a correr.

SMTP

  • Com "smtp_enum" liga-se a um server de email e usa uma wordlist (ficheiro que contem uma lista de users prováveis de existir) para enumerar os users presentes no sistema remoto.
  • Com "smtp_version" faz-se um scan num conjunto de IPs para determinar as versão de quaisquer servidores de email que encontre, pode ser importante para saber que vulnerabilidades utilizar.

SNMP

  • Com "snmp_enum" faz-se uma enumeração detalhada de um ou vários hosts via SNMP, de forma semelhante a snmpenum e snmpcheck. 
  • Com "snmp_enumshares" faz-se uma query de um conjunto de hosts via SNMP para determinar quaisquer shares disponíveis.
  • Com "snmp_enumusers" faz-se uma query de um conjunto de hosts via SNMP para se obter uma lista de usernames no sistema remoto.
  • Com "snmp_login" faz-se um scan num conjunto de IPs para determinar a community string para dispositivos com SNMP activo.

SSH

  • Com "ssh_login" para além de se testar um conjunto de credenciais num conjunto de IPs, pode-se também fazer tentativas login com bruteforce. 
  • Com "ssh_login_pubkey" tenta-se fazer login num conjunto de dispositivos, caso se tenha acesso a uma private SSH key. 

Telnet

  • Com "telnet_login" pega-se numa lista de credenciais já proporcionadas e um conjunto de IPs e tenta-se fazer login a qualquer server Telnet que encontre. 
  • Com "telnet_version" faz-se um scan a uma subnet e encontram-se todos os servidores Telnet a correrem. 

TFTP

    Com "tftpbrute" pega-se numa lista de filenames e fazer um bruteforce a um server TFTP, para ver se os ficheiros estão presentes. Nestes TFTP servers pode-se encontrar muita informação como backup files, router config files, etc. 

VMware

    Com "vmware_enum_users" vai-se fazer login na web API do Vmware e tentar enumerar todas as contas dos utilizadores. Se a instância do VMware estiver ligada a mais que um dominio, o módulo irá tentar enumerar domain users também.

VNC

  • Com "vnc_login" faz-se um scan de um ou vários IPs e tenta fazer login via VNC ou com uma password ou uma wordlist.
  • Com "vnc_none_auth" faz-se scan a um conjunto de hosts de servers VNC que não tenham autenticação.

    Com isto termino a minha visita ao tutorial da Offensive Security, por agora.

Comentários

Enviar um comentário

Mensagens populares deste blogue

DIA#36-OverTheWire-Bandit (LVL 2)

-
Imagem
 Continuo no OverTheWire desta vez para o nível 2, em que é necessário utilizar o comando " cat ./- " em que se coloca "./-" para especificar a localização completa (o ponto especifica a directoria corrente)  para obter a password "CV1DtqXWVFXTvM2F0k09SHz0YwRINYA9".  De seguida repete-se o que se tem feito com o uso de " ssh bandit2@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Pode-se ver o processo em baixo. PS.  Durante a análise deste nível descobri tanto que o "." representa a directoria actual (como foi mencionado em cima), como que o ".." representa a parent directory como se pode ver em baixo.           A partir do exemplo de cima parece que " cd . " não faz nada, mas se o utilizador quiser voltar à directoria onde estava anteriormente através do uso de " cd - ", depois do uso de " cd . " volta-se para a directoria corrente. Isto deve-se à mudança ocor...
Ler mais

DIA#45-OverTheWire-Bandit (LVL 11)

-
Imagem
     Continuo no OverTheWire desta vez para o nível 11. A resolução deste nível é bastante simples sendo apenas necessário descodificar data encoded com base64, para isso usa-se " base64 -d data.txt " em que a flag " -d " faz descodificar o que está no ficheiro " data.txt ". Daqui retira-se a password "IFukwKGsFW8MOq3IRFqrxE1hxTNEbUPR". Seguidamente repete-se o que se tem feito usando de " ssh bandit11@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Pode-se ver o processo em baixo. PS. Com o comando " base64 " faz-se encode/decode para/de base64, para um olhar mais aprofundado recomendo ir a " https://linuxhint.com/bash_base64_encode_decode/ ".
Ler mais

DIA#52-OverTheWire-Bandit (LVL 18)

-
Imagem
     Continuo no OverTheWire desta vez para o nível 18. Que é bastante simples, sendo apenas necessário o uso do comando " diff " para encontrar a diferença entre os ficheiros " password.new " e " password.old ", isto faz-se usando " diff passwords.new passwords.old " que vai dar o seguinte output.      Em que " 42c42 " significa que é necessário mudar o texto da linha 42 do primeiro ficheiro (password.new) para ficar igual à linha 42 do seguindo ficheiro (password.old), mostrando de seguida as linhas que são diferentes, em que " < " significa que é do primeiro ficheiro (o que interessa) e  ">" do segundo ficheiro. Daqui retira-se a password "kfBf3eYk5BPBRzwjqutbbfE887SVc5Yd".      Seguidamente sai-se ambos os hosts bandit e repete-se o que se tem feito usando de " ssh bandit18@bandit.labs.overthewire.org -p2220 " colocando-se posteriormente a password obtida. Onde, neste caso, vai sair com ...
Ler mais