カテゴリー: Metasploit

Unreal IRC バックドアへ接続

IRCはチャットなどで使われるサーバー

業務などでの使い方については
業務で使うIRC

を参考に

Metasploitable に

を実行し
ポートスキャンすると

の結果から
IRCが稼働していることがわかる

次にこのUnrealIRC のバージョンを調べる

でIRCクライアント hexchat をインストール

で hexchat を起動

* Running IRC as root is stupid! You should
create a User Account and use that to login.
と root で IRC にログインするのは
望ましくないと警告されるけど　OK　をクリック

ダイアログがでるので Add をクリック

Metasploitable2　を入力し
Edit… をクリック

192.168.1.137/6667
というように
Metasploitable のIP / 6667
となるようにして
Close をクリック

これで Connect をクリック

接続成功するとチャンネルに参加するか聞かれるので
Nothing, I’ll join a chanel later
何もしない、」後でチャンネルに参加する
にしてOKをクリック

これで
irc.Metasploitable.LAN Unreal3.2.8.1
というメッセージから
ver 3.2.8.1 ということが確認できる

バージョンの確認ができたら
hextchat は閉じてOK

次に
Exploit Database
で
unreal irc 3.2.8.1
で検索すると
Metasploit に
Backdoor Command Execution
があることがわかる

でロゴなしでMetasploit を起動

で探すと該当するモジュールがでてくる

で使用するexploit と
対象となる Metasploitable のIPをセット

あとは

とすることで実行

これでセッションが確立され
id コマンドを実行すると
root 権限になっているのが確認できる

次にシェルを奪ったセッションを残して
Meterpreter に切り替える

ctrl + z で
セッションをバックグラウンドにできる

となるので
y のあと Enter

を実行すると現在のセッションを表示できる

これでバックグラウンドにできたので
Meterpreter セッションを確立させる

で
新しいセッションが確立される

を実行すると現在のセッションを表示できる

現在

となっているので
セッション２に切り替える

これで meterpreter に切り替えることができる

なお exit するとセッションが閉じてしまうので
残しておくには
ctrl +z でバックグラウンドにしておく

セッションを閉じるには
sessions コマンドの
-k オプションを使う

Metasploitable への各種攻撃 その4

tomcatの管理画面にログインでき
管理用アカウントの
ユーザ名
パスワード
がわかると
metasploit のモジュールによるシェル奪取が可能となる

で msfコンソールを立ち上げ

でペイロードを調べる

今回使用するのは
exploit/multi/http/tomcat_mgr_upload

でどれを対象にするか表示できる

で対象は Metasploitable なので
２　の Linux x86

で対象をセットし
バインドシェルを tomcat にデブロイ

で
tomcat の
ユーザ名
パスワード
対象IPアドレス
tomcat で使用しているポート番号
をセット

で設定を確認

今回の場合だと

あとは

で実行

これで whoami コマンドを使うと
tomcat55 権限でシェル操作できる

whoami コマンドは
ユーザ名の表示コマンド

詳しくは
【 whoami 】コマンド／【 groups 】コマンド――自分の名前と所属するグループを表示する

を参考に

metasploitable2 vsftpd 攻略
まず、virtualbox で
BT５R３
metasploitable2
の両方を起動
以下は、BT5R3 の操作ログ
root
でログインして
startx
でGUI起動
service nessusd start
でNessus起動
msfconsole
で
MSF起動
load nessus
で　MSFから Nessus 接続機能ロード
nessus_connect hjuser:Nessusのパスワード@127.0.0.1
でNessus 接続
search vsftpd
で検索すると
VSFTPD v2.3.4 Backdoor Command Execution
バックドアの脆弱性と表示される
use コマンドで使用する exploit を指定
use exploit/unix/ftp/vsftpd_234_backdoor
show options
で指定可能なオプションを確認
オプションが確認できたら
RHOST の指定をする
payload の指定は不要
set RHOST 192.168.10.214
書式にすると
set RHOST metasploitable2 のIPアドレス
設定完了後Exploit を実行する
exploit
で実行
この状態になるとカーソルが点滅して何も表示されないけど
id;
とすれば
uid=0(root) gid=0(root)
と表示され、root権限であることが確認できる
また、ifconfig;
で、metasploitable2 のIPであることが確認できる
これにより、侵入成功の確認ができる
バックドアの接続切断には
Ctrl+c で
Abort session 1? [y/N]
と表示されるので
y
とすれば、セッション終了となる
このときのパケットの流れを wireshark で見る事ができる
端末から wireshark とすれば起動できるので
見てみた
書籍だと
Request: USER 4l:)
Request: PASS s
だったけど
私の場合
Request: USER cMwmJ:)
Request: PASS bma52C
でした
FTPの場合
ID、パスワードがまる見えなので
SFTP とか SCP を使わないと
wireshark などで簡単にみれてしまいます
ちなみに、今回の脆弱性は
user ID として
で終わる３文字以上の文字列なら
パスワードは何でもOKというものです
今回の参考書籍は

metasploitable2 で実験につかえそうな脆弱性
Nessus の診断結果から侵入できそうな脆弱性があるのは
high になっている項目で、さらにリモートに侵入できそうな脆弱性になる
vsftpd 21番ポート
これはバックドアが組み込まれているバージョンの
vsfptd
FTPログインユーザに特定の文字列を
入力することで、バックドア用の6200ポートがオープンされる
ssh デフォルトの２２番ポート
OpenSSL の鍵を鍵を作成する乱数のシードとして
プロセスIDのみが使用されているため
鍵の種類が32765しかない
このため、パスワード認証なら
ブルートフォースアタックで簡単に破れてしまう
samba 139/445　番ポート
ヒープオーバーフローの脆弱性がある
このため、任意のコマンドの実行が可能
ingreslock 1524番ポート
シンプルなバックドア
telnet するだけで root シェルが取得可能
これらの脆弱性のうち
MSFで提供されている exploit は
vsftpd と samba
ちなみに
MSFは ver3 以降 ruby で書かれている
Hakcer Japan 2013 年３月号の
７１Pに
Metasplotable2 の脆弱性のうち
exploit 可能なモジュールの一覧の一部が掲載されているので
こちらを参考にセキュリティの勉強をしてみると面白いかもしれない

Nessus による脆弱性の検査
以前、VirtualBox へBT５R３を入れて
Nessus を使えるようにしたので
今回は
VirtualBox と　Metasploit Linux2 を使ってみた
CTF の問題は今の自分のスキルでは足りない為
その前にできそうなものから取り組むことにした
ということで、同時掲載されていた Nessus 超入門をみながら
ローカル環境で実践
Nessus は脆弱性検査ツール
Nessus には２つのライセンスがあり
商用ライセンスは
Professional Feed
個人使用に該当するのが
Home Feed
Home Feed のほうは診断可能なIPアドレスは１５という制限がある
Professional Feed のライセンス料は
年間１５００ドルで
３年単位にするとディスカウントされるようだ
また、Nessus はインストールしただけでは使えず
アクティベーションコードが必要
すでにここまで完了している状態にしてあるので
今回は Nessus の起動からスタート
Application > backtrack > Vulnerability Assessment > Network Assessment >
Vulnerability Assessment >
Vulnerability Scanners > Nessus > nessus start
で起動する
端末から起動するともっと楽で
service nessusd star
とすればOK
起動しているか確認するには
ps -ef | grep nessusd
で確認できる
起動したら、ブラウザで
https://127.0.0.1:8834/
へアクセス
自己証明書なので警告がでるけどそのまま続行
すると
ログイン画面がでるので
Username には　hjuser
Password には 設定した任意のものを入力してログイン
中のメニューで
Reports
レポートの表示
Scans で診断実行
Policies で診断ポリシー管理
Users でユーザ管理
Browse でレポート表示
Compare で診断結果の比較
Upload でレポートのアップロード
Download でレポートのエクスポート
Delete でレポート削除
とりあえず Nessus の起動とログインの確認ができたので
次にターゲットサーバーの準備
これは
Metasploitable2 を使う
Metasploitable2 は
Metasploit チームにより作られた
Ubuntu 8.04 ベースのVMイメージで
脆弱性が存在するサービスが多数動いている
名前の通り、
Metasploit Framework を使って
Exploit を実行することが可能な実験用のサーバー
今回は、付録DVDに収録されているのを使っているけど
SourceForge からもダウンロードできる

http://sourceforge.net/projects/metasploitable/
からダウンロード可能
XSS
SQLインジェクションなどの脆弱性のあるWebアプリも
インストールされているので検証には最適
付録DVDからの場合だと
3/tools/metasploitable
の中に
metasploitable-linux-2.0.0.zip
があるので、これを解凍して使う
unzip metasploitable-linux-2.0.0.zip
で解凍すると
Metasploitable2-Linux
というディレクトリができるので
VirtualBox でこの中にある
Metasploitable.vmdk
から起動する仮想マシンを作成する
ただし、作成直後はネットワークがNATなので
bridge などに変更しないと
マシンにアクセスできないので注意
ネットワークを変更したら、仮想マシンを起動
metasploitable login :
と表示されたら
ユーザ名 msfadmin
パスワード msfadmin
でログイン
IPがわからないと実験できないので
ログイン後に ifconfig で調べるか
もしくは BT5R3 側で
nmap -n -sP 192.168.10.0/24
というように nmap でLAN内部の
IP一覧を表示させることで表示する
今回確認できたのは
nmap -n -sP 192.168.10.0/24
の結果から
192.168.10.214
であることが判明
仮想マシンの metasploitable2 を終了したいときには
sudo init 0
としてmetasploit のパスワード
デフォルトのままなら
msfadmin
を実行すればOK
ちなみに、今回の参考にしたのは

ubuntu へ metasploit framework をインストール
今後のweb アプリのセキュリティ検証に必須です
UbuntuにMetasploit Frameworkをインストールする方法
を参考にインストール
いざというトラブルを考慮して
今回は Vmware Player に新規に ubuntu をインストールし
設定
wget http://updates.metasploit.com/data/releases/framework-4.0.0-linux-full.run
でファイル入手
chmod +x framework-4.*-linux-full.run
sudo ./framework-4.*-linux-full.run
でインストール
途中でGUIインストール画面がでるので、ターミナル操作だとX転送が
必要かも
msfconsole
で起動
sudo msfupdate
でアップデートする
ここまではOK
次に、問題発生
BitTorrent で必要なファイルをダウンロードするらしいけど
これが P2P なので経験がない
そこで、ubuntu bittorrent クライアントで検索
どうもP２Pってダーティなイメージだけど
結構海外では普通に使われています
たぶん、日本では Winny の報道の影響が大きいのかも…
ネガティブな意味で
著作権がらみでないなら
かなり革新的といわれ、海外では好評なツールだったのに
残念なことです
UbuntuでBitTorrent(KTorrent)
を参考に
sudo apt-get install ktorrent
でインストール
また、別の参考サイト
UbuntuマシンでBitTorrentを使ってダウンロードしてみよう
では
kde-i18n-ja
をインストールするとあったけど
実際にインストールしようとしたら
バージョンが古いといわれ
kde-l10n-ja
をインストールするため
sudo apt-get install kde-l10n-ja
でインストール
起動には ktorrent&
でOK
これで、ほぼ準備完了
次は、ktorrent を使い、ファイルをダウンロードしてみます

今回購入した Hacker Japan には、
脆弱性ツールをつかったローカル環境での
セキュリティ関連特集が載っています

今回、実験をするOSは windows xp です
（個人的には ubuntu などでおこなってみたいのですが）
まず、必要なものを揃える必要があります
ある程度のツールは、付録DVDに収録されていますが
Metasploit はダウンロードする必要があります
付録DVDにある index.html にもリンクがありますが
普通にダウンロードすることも可能です
ダウンロード先は
http://www.metasploit.com/download/
（ちなみに英語のページになります）
いくつかフリーだったり。有料だったりしますが
windows で使えるものとなると
Metasploit Communitiy Editionだけになります
OSSなので、ソースコードはフリーで入手できます
ちなみに、ダウンロードそのものはフリーなのですが
Web UI を使うには。ユーザ登録とアクティベーションが必要になります
あと、インストールするときに
アンチウィルスソフトは停止しておいたほうがよいそうです
著者の環境によれば
インストールは正常に終了しないのに各種プロセスが稼働し
コントロールパネルからもアンインストールできないという
悲惨な状況に陥ったそうです
あと、ユーザ登録して、これを使えるようになるのですが
もうひとつ。
脆弱性調査をするのに必要なNexpose Community Edition
これをつかうときもユーザ登録が必要になります
ただし。Metasploit がメルアドだけに対して
こちらは
フリーメール以外のメルアド（Gmail もNGです）
氏名
会社名
役職
電話番号
の登録が必要になります
本格的にやるなら使うかもしれませんが
今回の特集では、こちらのツールはつかわれませんでした
ちなみに、metasploit インストールで検索すれば
ubuntu 関連でのインストールもでてきます
参考サイトとしては
UbuntuにMetasploit Frameworkをインストールする方法
セキュリティ診断ソフト「metasploit」
installed metasplit4 in ubuntu 11.04
また、英語の動画となりますが Youtube にもアップされています
以前、動画でわかるというプログラミングなどの学習教材を買ったことがありますが
動画だと、イメージしやすいので覚えやすいかもしれません
ちなみに、いかがその動画リンク先です
Ubuntu: Metasploit Framework installieren