Прошло уже довольно много времени с тех пор, как мы последний раз делали руководство по Metasploit, и многие из вас просили меня о продолжении. Я с радостью помогу, ведь это мой любимый инструмент. В течение следующих нескольких недель я буду разбавлять его новыми руководствами, которые помогут вам расширить свои навыки работы с Metasploit и будут держать вас в курсе последних разработок Metasploit, так что ждите их в ближайшем будущем.
Почти каждый эксплойт оставляет след, который можно использовать системному администратору или правоохранительным органам, но главное — оставить как можно меньше следов и затем убрать их, когда вы уходите. В Metasploit есть модуль psexec, который позволяет взломать систему, не оставив практически никаких улик, конечно, если у вас уже есть учётные данные системного администратора.
Мы уже потратили некоторое время на изучение того, как получить учётные данные с помощью pwdump, Cain and Abel, John the Ripper, MitM и скрипта hashdump в meterpreter. Если вы войдете в систему с этими новыми учётными данными, ваш вход и другие действия будут отслеживаться в лог-файлах.
В этом руководстве мы предполагаем, что у вас уже есть учетные данные системного администратора и вы хотите стать владельцем системы, оставив при этом как можно меньше свидетельств своего присутствия в ней.
msf> используйте exploit/windows/smb/psexec
msf > set PAYLOAD windows/meterpreter/bind_tcp
Затем настраиваем наш удаленный хост (RHOST).
msf > установить RHOST 192.168.2.129
Далее нам нужно настроить имя пользователя и пароль SMB. Как вы знаете, SMB расшифровывается как Server Message Block (блок сообщений сервера). Это протокол прикладного уровня, работающий через порт 445 и позволяющий компьютерам в сети совместно использовать ресурсы, такие как файлы, принтеры и т. д. SMB — один из самых распространённых векторов атак при взломе системы безопасности.
Войдите в систему SMBuser прямо сейчас.
msf > установить администратора SMBUser
Затем пароль SMB.
msf > установить пароль SMBPassword
Конечно, вам необходимо использовать имя пользователя и пароль администратора, которые вы получили ранее.
msf > эксплуатировать
Обратите внимание на скриншот выше: у нас есть командная строка meterpreter. Успех!
Windows, как и большинство других операционных систем, использует токены или «билеты» для определения, кто может использовать те или иные ресурсы. Мы входим в систему один раз, и после этого система проверяет, к каким ресурсам у нас есть доступ, а затем выдаёт токен или билет, позволяющий нам получить доступ к этому ресурсу без повторной аутентификации.
Если мы можем получить токен или билет на определённый сервис или ресурс, то мы можем использовать его с теми же привилегиями, что и пользователь, которому выдан токен. Нам не нужно знать токен, просто берём его, предъявляем сервису — и всё!
В данном случае нам нужно попасть в службу SQL Server. Сначала проверим, запущен ли SQL Server в этой системе. Meterpreter использует команду Linux psto list services.
meterpreter > ps
Как вы можете видеть здесь (выделено на этом снимке экрана), SQL Server запущен и ему присвоен идентификатор процесса или PID 1432.
Его синтаксис прост и понятен: просто команда, за которой следует PID службы.
meterpreter> steal_token 1432
Как видите, meterpreter вернулся и сообщил, что наша попытка взлома SQL Server прошла успешно! Теперь у нас должен быть практически неограниченный доступ к SQL Server и его базам данных!
Следует повторить, что psexec полезен только если у вас УЖЕ есть учётные данные системного администратора. В этом случае psexec позволяет вам владеть системой, не оставляя практически никаких следов вашего присутствия в ней.
Не оставляя никаких улик с помощью Metasploit
Одна из ключевых проблем при использовании уязвимости системы — оставаться незамеченным. Если системный администратор или инженер по безопасности обнаружит, что их уязвимость взломана, они, скорее всего, перекроют вам путь к эксплойту или, что ещё хуже, начнут следить за вами!Почти каждый эксплойт оставляет след, который можно использовать системному администратору или правоохранительным органам, но главное — оставить как можно меньше следов и затем убрать их, когда вы уходите. В Metasploit есть модуль psexec, который позволяет взломать систему, не оставив практически никаких улик, конечно, если у вас уже есть учётные данные системного администратора.
Мы уже потратили некоторое время на изучение того, как получить учётные данные с помощью pwdump, Cain and Abel, John the Ripper, MitM и скрипта hashdump в meterpreter. Если вы войдете в систему с этими новыми учётными данными, ваш вход и другие действия будут отслеживаться в лог-файлах.
В этом руководстве мы предполагаем, что у вас уже есть учетные данные системного администратора и вы хотите стать владельцем системы, оставив при этом как можно меньше свидетельств своего присутствия в ней.
Шаг 1: Запустите Metasploit
Начнём с запуска Metasploit. Это можно сделать через меню или просто набрав msfconsole в терминале. После открытия Metasploit можно запустить psexec, набрав:msf> используйте exploit/windows/smb/psexec
Шаг 2: Установите параметры
Для наших возможностей нам нужно указать Metasploit, какую полезную нагрузку использовать в первую очередь.msf > set PAYLOAD windows/meterpreter/bind_tcp
Затем настраиваем наш удаленный хост (RHOST).
msf > установить RHOST 192.168.2.129
Далее нам нужно настроить имя пользователя и пароль SMB. Как вы знаете, SMB расшифровывается как Server Message Block (блок сообщений сервера). Это протокол прикладного уровня, работающий через порт 445 и позволяющий компьютерам в сети совместно использовать ресурсы, такие как файлы, принтеры и т. д. SMB — один из самых распространённых векторов атак при взломе системы безопасности.
Войдите в систему SMBuser прямо сейчас.
msf > установить администратора SMBUser
Затем пароль SMB.
msf > установить пароль SMBPassword
Конечно, вам необходимо использовать имя пользователя и пароль администратора, которые вы получили ранее.
Шаг 3: Эксплуатация
После того как мы правильно ввели всю информацию для каждого из вариантов, мы просто набираем:msf > эксплуатировать
Обратите внимание на скриншот выше: у нас есть командная строка meterpreter. Успех!
Шаг 4: Украдите токен
Как только в системе появляется командная строка meterpreter, мы фактически владеем ею. Наши возможности практически безграничны. Здесь я хочу показать вам, как украсть токены, используемые для аутентификации сервисов и ресурсов.Windows, как и большинство других операционных систем, использует токены или «билеты» для определения, кто может использовать те или иные ресурсы. Мы входим в систему один раз, и после этого система проверяет, к каким ресурсам у нас есть доступ, а затем выдаёт токен или билет, позволяющий нам получить доступ к этому ресурсу без повторной аутентификации.
Если мы можем получить токен или билет на определённый сервис или ресурс, то мы можем использовать его с теми же привилегиями, что и пользователь, которому выдан токен. Нам не нужно знать токен, просто берём его, предъявляем сервису — и всё!
В данном случае нам нужно попасть в службу SQL Server. Сначала проверим, запущен ли SQL Server в этой системе. Meterpreter использует команду Linux psto list services.
meterpreter > ps
Как вы можете видеть здесь (выделено на этом снимке экрана), SQL Server запущен и ему присвоен идентификатор процесса или PID 1432.
Шаг 5: Украдите токен
Теперь, когда мы знаем, что служба запущена, и знаем её PID, мы можем попытаться украсть её токен. В Meterpreter есть команда steal_token, которая, как ни странно, пытается украсть токен у службы. Кто бы мог подумать!Его синтаксис прост и понятен: просто команда, за которой следует PID службы.
meterpreter> steal_token 1432
Как видите, meterpreter вернулся и сообщил, что наша попытка взлома SQL Server прошла успешно! Теперь у нас должен быть практически неограниченный доступ к SQL Server и его базам данных!
Следует повторить, что psexec полезен только если у вас УЖЕ есть учётные данные системного администратора. В этом случае psexec позволяет вам владеть системой, не оставляя практически никаких следов вашего присутствия в ней.
