Formation en Sécurité Informatique FreeWays Security Club MAIL: KHALDIMEDAMINE@GMAIL.COM
Contenu 1- Comprendre le terrain 2- Metasploit 3- NeXpose a- Installation du serveur NeXpose b- IHM de la console de sécurité de NeXpose 3- Lancement de la console metasploit 4- Chargement du plugin NeXpose sous metasploit 5- Connexion du plugin au serveur NeXpose 6- Lancement du scan sur la machine victime 7- Exploitation des vulnérabilités 8- Guide d'usage
Introduction Système d information : ensemble des moyens nécessaires pour acquérir, stocker, exploiter... des informations. Système informatique : un des moyens techniques pour faire fonctionner un système d information å Pour assurer la sécurité d un système d information, il faut assurer la sécurité du système informatique. Sécurité informatique : ensemble des moyens mis en œuvre pour minimiser la vulnérabilité d un système informatique contre des menaces.
Introduction Menaces passives : consistent à écouter ou copier des informations de manière illicite Des menaces actives : consistent à altérer des informations ou le bon fonctionnement d un service Menaces dues aux accidents : (<30% des causes) incendies, inondations, pannes d équipements, catastrophes naturelles... Menaces dues à la malveillance : (>60%, en croissance, souvent d origine interne) vols d équipements, copies illicites, sabotage matériel, attaques logiques, intrusion et écoute, actes de vengeance...
La gestion des vulnérabilités, c'est QUOI? "La gestion des vulnérabilités est la pratique cyclique de l'identification, la classification, la restauration, et l'atténuation des vulnérabilités" de «Sabrine Klouj» Cette pratique se réfère généralement à des vulnérabilités logicielles dans les systèmes informatiques. Les outils classiques utilisés pour identifier et classer les vulnérabilités connues sont les scanners de vulnérabilités. Ces outils recherchent des vulnérabilités connues et signalés par la communauté de sécurité, et qui généralement sont déjà fixés par les fournisseurs concernés avec des correctifs et mises à jour de sécurité. Parmi ces scanners de vulnérabilités, nous citons NeXpose.
Metasploit & NeXpose Metasploit était un projet open-source sur la sécurité informatique qui fournit des informations sur des vulnérabilités et l'aide à la pénétration de systèmes informatisés. Le plus connu des sous-projets est le MetaSploit Framework (MSF), un outil pour le développement et l'exécution d'exploits contre une machine distante. Aujourd'hui, nous allons voir comment utiliser Nexpose, un scanner de vulnérabilités open source à travers Metasploit Framework.
La gestion des vulnérabilités, c'est QUOI? Metasploit contient un plugin Nexpose qui nous permet de nous connecter au serveur Nexpose, faire un scan du système cible et importer les résultats d'analyse à Metasploit puis MSF va vérifier les exploits correspondant à ces vulnérabilités et les exécuter automatiquement si le système cible est vulnérable, puis nous proposer un shell interactif.
Le Tutoriel Environnement de test: VirtualBOX 4.2.0/VMWARE WS 8.0.4: préparation de deux machines virtuelles (Pirate et Victime) Lien de download: https://www.virtualbox.org/wiki/downloads Backtrack 5 R3: Le système d'exploitation de la machine Pirate lien de download: http://www.backtrack-linux.org/downloads/ Windows XP SP2: Le système d'exploitation de la machine Victime. Lien de download: VOUS POUVEZ CHERCHER VOUS-MEME SUR LES SITES!!
1- Installation du serveur NeXpose: Note: Il vous sera surement nécessaire d'installer ou de mettre à jour quelques paquets avant: libstdc++, screen, xvfb, xfonts-base Exemple de téléchargement et installation des dépendances: root@bt:~# wget http://ftp.us.debian.org/debian/pool/main/g/gcc-3.3/libstdc++5_3.3.6-20_i386.deb root@bt:~# dpkg -i libstdc++5_3.3.6-20_i386.deb N oubliez pas: apt-get update apt-get upgrade apt-get install Nom_paquet
Téléchargement du serveur Nexpose: Le binaire du serveur NeXpose se trouve au: http://www.rapid7.com/vulnerability-scanner.jsp (version community edition) j'ai téléchargé le binaire pour l'ubuntu en 32 bit. ATTENTION: NeXpose sevrer est exigent en ressources: -- 4 Go de Mémoire et 10 Go d'espace disque minimum.
Suite au téléchargement de l'outil, vous recevrez un email contenant la clé d'activation de NeXpose.
Lancement du serveur:
2- IHM de la console de sécurité de NeXpose: NeXpose propose une interface web qui permet à son tour de scanner une ou plusieurs machines distantes et de détecter les failles. Elle permet aussi et essentiellement de générer un rapport sur la liste des vulnérabilités, leurs criticités ainsi que les correctifs pour remédier à ces faiblesses. Configuration du site à auditer: 1) Au niveau de l'onglet "Home", cliquez sur "New Static Site". 2) Saisissez les IPs des machines à scanner.
3) Sélectionnez le type du scan à appliquer. ("Full audit" dans notre cas)
* Scan du site distant: 1) Cliquez sur la petite flèche blanche (au milieu du cadre vert). Cliquez sur "Start Now" pour lancer le scan.
2) A la fin du scan, cliquez sue le nom de la machine audité pour explorer ses vulnérabilités.
Génération du rapport d'audit: Dans la même page des vulnérabilités, vous trouverez le bouton "Create assest report". Ce dernier vous permettra de générer un rapport d'audit regroupant l'ensemble des vulnérabilités et les correctifs correspondants.
3- Lancement de la console metasploit:
4- Chargement du plugin NeXpose sous metasploit: Commençons par vérifier que la console est bien connectée à une base de données de collecte. En cas ou les msf console n est pas connecte, Taper la commande: db_connect Tout est OK? Passons au chargement du plugin
5- Connexion du plugin au serveur NeXpose:
6- Lancement du scan sur la machine victime: (IP: 192.168.56.103)
7- Exploitation des vulnérabilités: A la fin du scan, une liste des vulnérabilités s'affiche sous forme de sessions meterpreter numérotées. Un meterpreter est un composant de metasploit sous forme de code qui s'injecte dans les fichiers dll du poste de la victime. Il permet d'établir une connexion inverse (reverse tcp) depuis la machine victime vers le pirate et donc ouvrir un accès shell. Pour exploiter une vulnérabilité, il faut choisir le numéro de la session puis utiliser la commande:
Commandes d'exploitation: Tapez {?} pour voir l'ensemble des commandes que nous pouvons utiliser.
Pour consulter les informations système de la machine victime:
Pour afficher l'arborescence dans laquelle nous nous positionnons:
Exploration d'un fichier sur la machine victime:
Nous avons créé un répertoire «projets» sous C:\ de la machine distante contenant un fichier texte ID.txt avec quelques informations dedans.
En utilisant certaines commandes unix comme cd (change directory), ls (list) ou cat (concat), on a réussi à accèder au fichier ID.txt et lire son contenu à depuis le poste Pirate.
Récupérer une capture d'écran de la machine Victime:
8- Guide d'usage:
Questions? Nous espérons avoir réussi à vous faire découvrir NeXpose et à vous apporter les connaissances nécessaires pour une première prise en main de ce puissant outil. Pour toutes vos questions, n'hésitez pas à nous contacter sur: www.freewaysclub.org Merci pour votre attention