SECURIDAY 2012 Pro Edition

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Information Gathering via Metasploit] Chef Atelier : Nihel AKREMI (RT 3) Baha Eddine BOUKHZAR(RT 2) Sana GADDOUMI (RT 4) Safa KLICH (RT 3) Nour SOLTANI (RT 4) 28/04/2012

Table des matières I. Introduction à «Information Gathering via Metasploit» :... 3 1. Définition :... 3 2. Objectif principal :... 3 3. Exemples :... 3 4. Conseil :... 4 II. Les méthodes de réalisation de la collecte de l information :... 4 1. Téléphone :... 4 2. Site de réseautage social : Social Networking sites... 4 3. Phishing :... 5 4. Dumpster Diving :... 5 III. Metasploit framwork :... 6 IV. Passive Information Gathering :... 7 1. Whois Lookup... 7 2. Netcraft... 8 3. NSLookup... 8 V. Active Information Gathering :... 9 1. AutoScan... 9 2. Zenmap... 10 3. Travail réalisé en utilisant une base de données (Dradis) :... 10 4. Scan des ports avec Metasploit (Nesus et Nmap) :... 12 2.1. Nmap :... 12 4.2. Nessus :... 14 VI. Targeted scanning :... 17 1. Server Message Block Scanning :... 17 2. FTP scanning :... 18 3. RDP (Remote Desktop Protocol) :... 19 2

I. Introduction à «Information Gathering via Metasploit» : 1. Définition : Information Gathering ou encore collecte d informations, une étape primordiale dans les tests de pénétrations, qui consiste à obtenir des informations d une cible, à partir desquelles, l attaquant peut établir tout un système de vulnérabilité qui lui facilitera l attaque et ceci quelque soit le niveau d importance de l information gagnée. Ca peut être des ports ouverts, des services et des hôtes connectés sur chaque port ou encore le réseau cible Ainsi, il y aura l utilisation d une partie utile de l intégralité de ces informations, mais les posséder toutes permettra une meilleure visibilité de la cible. 2. Objectif principal : Faciliter et automatiser les attaques presque toujours à l aide de la bêtise humaine. Des attaques poursuivies par les agresseurs dont l objectif est d ordre économique généralement et idéologique 3. Exemples : On note que l utilisation d internet est le moyen le plus déployé afin d accéder aux données d une cible. On cite comme exemples d actualité : La demande de changement des couleurs de l accueil du Facebook. L envoi d un mail pour recommander la sécurité pour les internautes ce qui permettra l obtention de leurs coordonnées ainsi que leurs mots de passe. Ou encore, les appels aléatoires réalisés par l attaquant prétendant être du support technique. 3

4. Conseil : Il faut toujours être attentif et avoir des informations sur votre interlocuteur pour ne pas tomber dans le piège, en effet, c est plus qu un mensonge! II. Les méthodes de réalisation de la collecte de l information : La collecte d informations comme mentionné précédemment est une phase très importante pour réaliser une attaque, ca doit avoir un objet clair pour relever les informations utiles, élargir les possibilités d attaque et s offrir ainsi plus de flexibilité sur le choix des méthodes d attaques. Le point de départ de cette phase est de bien connaitre la cible, en effet, il faut s informer sur cette cible si elle utilise son poste à elle, un système d exploitation ou bien une machine virtuelle, l identification du processus lancé, de l antivirus, la topologie du réseau, les programmes les plus souvent utilisés et bien d autres détails. Il existe plusieurs moyens pouvant assurer l «Information Gathering» on cite alors les plus importants : 1. Téléphone : C est une méthode très facile utilisée par les hackers leur permettant de gagner du temps tout en collectant divers renseignements. La réussite du scénario dépend bien sur des techniques déployées par l attaquant tel que le timbre de la voix, la préparation à l avance du personnage et du discours, ainsi que le matériel déployé pour faire croire à la cible qu il s agit bien d un environnement réel. 2. Site de réseautage social : Social Networking sites C est le moyen le plus utilisé par les attaquants où l information gagne en disponibilité. Le prédateur se passera pour un responsable informatique, technique, un ingénieur système ou encore un opérateur système. Il peut même prétendre être un ami, une connaissance, un co-travailleur en tapant simplement le nom de ce dernier. D où il récupéra des informations de grandes importances comme les coordonnées personnelles de la cible, des informations et des données concernant le domaine de sa profession même. Il faut noter que le simple fait de partager une photo ou bien une vidéo 4

dans ces réseaux sociaux même à partir d un Smartphone peut révéler : L adresse du domicile, les lieux fréquentés le plus souvent, l adresse mail, et plusieurs d autres détails. 3. Phishing : C est une technique exploitant une faille humaine en envoyant un mail à la cible comme étant un destinataire de confiance (banque, site de commerce,..). L identité sera alors révélée par le simple clique sur le lien dans le mail, où il y aura par exemple un formulaire à remplir. La victime aura du mal à distinguer le vrai site de la copie conforme du site d origine, ainsi elle tombera facilement dans le piège. 4. Dumpster Diving : Les pirates peuvent trouver des données et des coordonnées de leurs cibles dans les déchets papier ou encore les supports techniques qui ne sont plus utiles pour l individu ou l entreprise. Les informations récupérées sont de grandes importance tel que : numéro de compte, l identificateur des utilisateurs, listes téléphoniques, des photos, des mails, des chartes d entreprise, Ils peuvent même grâce à ces chartes se faire passer par un personnel vu la quantité d informations qu ils connaissent. On rappelle que le fait de prendre des déchets jetés n est pas considéré comme illégal sauf si on est sur une propriété privée. C est une méthode facile par rapport aux d autres et permet de gagner du temps pour les pirates, entretemps les cibles ne font pas attention à ce détail en ne pensant même pas qu il peu y avoir des personnes intéressées par ces informations la pour réaliser leurs attaques, en allant les chercher dans les déchets. On peut citer l exemple le plus populaire dans ce domaine la : le vol d identité. 5

III. Metasploit Framwork : Metasploit était un projet open-source sur la sécurité informatique qui fournit des informations sur des vulnérabilités, aide à la pénétration de systèmes informatisés et au développement de signatures pour les IDS Metasploit Framework, le plus connu des sous-projets de Metasploit,est un outil pour le développement et l'exécution d'exploits contre une machine distante 6

IV. Passive Information Gathering : En utilisant la collecte d'informations passive et indirecte, vous pouvez découvrir des informations sur les cibles sans toucher leurs systèmes. Par exemple, vous pouvez utiliser ces techniques pour identifier les limites du réseau, d'identifier ses responsables, et même de déterminer le système d'exploitation et logiciel de serveur Web.Plusieurs outils font la collecte d'informations passive presque indolore, y compris des outils complexes tels que Yeti et les humbles whois. Dans cette partie on veut bien réaliser une attaque contre http://www.secmaniac.net/. Notre objectif est de déterminer, dans le cadre d'un pentest, ce que l'entreprise possède comme systèmes ainsi que les systèmes qu on peut attaquer. 1. Whois Lookup Whois Lookup permet de trouver le nom de domaine de serveur. On applique Whois à secmaniac.net, on obtient le résultat suivant : 7

2. Netcraft Netcraft est un service web qu on peut utiliser pour déterminer l adresse IP de serveur qui héberge un site web bien déterminé (dans notre cas c est secmaniac.net) 3. NSLookup Nslookup permet de recherche d'information dans le Domain Name System (DNS).Elle permet donc d'interroger les serveurs DNS pour obtenir les informations définies pour un domaine déterminé. On applique nslookup à www.wikipedia.org pour savoir quels serveurs reçoivent les emails d'un domaine : 8

V. Active Information Gathering : Dans la collecte d'information active, nous interagissons directement avec un système afin d apprendre plus. Nous pourrions, par exemple, effectuer des scans de ports pour les ports ouverts sur la cible ou d'effectuer des analyses pour déterminer quels services sont en cours d'exécution. Chaque système ou service en cours d éxecution que nous découvrons nous donne une autre opportunité pour l'exploitation. Mais attention: Si vous n êtes pas prudent pendant la collecte d'information active, vous pourrait être attrapé par un système de prévention IDS ou d'intrusion (IPS)-pas un bon résultat pour le testeur de pénétration clandestine. 1. AutoScan Il permet d avoir la topologie du réseau et sniffer ainsi les adresses réseaux des machines existantes sur le même réseau On lance un auto scan de la manière suivante : On remarque que ce scanner affiche les machines existantes sur le réseau ainsi 9

que leur adresse MAC. 2. Zenmap On lance Zenmap,il nous permet de visualiser la topologie de réseau 3. Travail réalisé en utilisant une base de données (Dradis) : Dradis est un framework open source permettant le partage d informations efficaces, spécialement au cours des évaluations de sécurité. Dradis Framework a gagné dans les meilleurs outils de rapport en 2011. 10

Pour démarrer Dradis : Se connecter maintenant à dradis workspace comme mentionné ci-dessus en tapant dans le navigateur https://localhost:3004/ =>On remarque que Dradis est en https. La fenêtre suivante s affiche. On crée un utilisateur et on lui associe un mot de passe. 11

On accède ensuite à l interface de Dradis : 4. Scan des ports avec Metasploit (Nesus et Nmap) : 2.1. Nmap : Nmap permet de pouvoir prévoir les futures attaques, et aussi de pouvoir connaître quels services tournent sur une machine. Une installation faite un peu trop vite peut laisser des services en écoute (donc des ports ouverts sans que cela ne soit nécessaire) et donc vulnérables à une attaque. N'hésitez pas à utiliser Nmap contre vos serveurs pour savoir quels ports sont en écoute Démarrer le scanneur de vulnérabilité nmap pour connaitre les ports ouverts sur la machine cible et on redirige le résultat de sortie dans un fichier dans l extension est.xml pour pouvoir ensuite l exploiter dans Dradis. 12

Si on désire en plus connaitre l OS de la machine victime Pour importer le résultat du scan nmap dans la base Dradis. On sélectionne importer from file à partir de l interface puis on sélectionne le upload file coreespondant à nmap. 13

Le résultat est donc importé dans le framework sous forme d arborescence : 4.2. Nessus : Nessus est un scanner réseau qui essaie de détecter des failles de sécurité potentielles dans les machines d'un réseau en se basant sur une liste de failles connues. 14

Afin de démarrer le scanneur nessus, il faudrait l installer et l enregistrer. Après avoir installer nessus, on ajoute un compte client grâce à nessus user add Démarrer le serveur : Lancer le client nessus en tapant : https://localhost :8834/ 15

Lancer un scan : Une fois le scan terminé, on remarque l existence de vulnérabilités dans la machine victime qui vont nous permettre d exploiter cette machine. Il y a 33 vulnérabilités dont l une est classé comme high ce qui représente un danger pour la victime. nessus génére un rapport détaillant la faille et comment la corriger 16

Pour une autre exploitation des résultats obtenus, on les stocke dans dardis : VI. Targeted scanning : 1. Server Message Block Scanning : Le protocole SMB (Server Message Block) est un protocole permettant le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows. Dans Vista et Seven, il est appelé SMB 2. Metasploit peut déterminer la version de Microsoft Windows en utilisant son smb_version module. 17

Nous avons découvert un système exécutant Windows XP sans avoir à faire une analyse complète du réseau. C'est un excellent moyen de cibler les hôtes rapidement et silencieusement lorsque notre but est d'éviter d'être remarqué. 2. FTP scanning : FTP (File Transfert Protocol, en écoute par défaut sur les ports 20 et 21) est le service utilisé pour assurer le transfert de fichiers. Il y a deux types de serveurs FTP : les serveurs FTP avec authentification par mots de passe et les serveurs anonymes. Avec Metasploit on va utiliser le ftp_version module pour scanner la machine xp qui dispose d un serveur FTP. 18

Le scan identifie un serveur ftp. Maintenant nous allons voir si ce serveur accepte les connexions anonymes en utilisant la framework scanner/ftp/anonymous. Le scan montre que l accès anonyme est autorisé et que l utilisateur anonyme a les droits de lecture et d écriture. Dans d autres termes nous avons accès total au système distant. 3. RDP (Remote Desktop Protocol) : Remote Desktop Protocol (RDP) est un protocole qui permet à un utilisateur de se connecter sur un serveur faisant tourner Microsoft Terminal Services. Après avoir ouvert une session Meterpreter, on va utiliser le script de getgui Meterpreter et ajouter un nouvel administrateur. 19

Ensuite on va télécharger nmap.exe à la cible. L objectif est d'installer nmap sur la machine victime et d utiliser le système comme une base pour de nouvelles attaques. On peut accéder à la machine victime à travers RDP : 20

Résultat : 21