SECURIDAY 2012 Pro Edition

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition Exploitation des failles via METASPLOIT Chef Atelier : Med Taher BEN SALEM (RT3) Slim BOUGHENIA(Esprit) Karim BENZINA(RT4) MounaFELAH(RT3) SarraGUIZANI (RT3) 28/04/2012

Table des matières I. Présentation de l atelier :...3 II. Présentation des outils utilisés :...3 1. Metasploit :...3 2. BackTrack :...9 3. Les machines virtuelle :... 10 III. Topologie du réseau :... 11 IV. Configuration des outils :... 12 1. Installation d une machine virtuelle... 12 2. Création d un team :... 15 V. Scénario de test :... 19 1. Attaque réalisé en ligne de commande «msfconsole»... 19 2. Attaque réalisé avec Armitage... 36 3. Le maintien d accès... 49 VI. Conclusion:... 52 2

I. Présentation de l atelier : L atelier exploitation de la faille via Metasploit illustre des d attaques en local et à distance utilisant METASPLOIT, exploitant les faille existantes dans les différents systèmes exploitation existant de nos jours, les effets et le résultat de ces attaque peuvent être multiple et varier comme vous allez le constater plus tard II. Présentation des outils utilisés : Comme vous vous en douter notre outil principal pour cet atelier est le Framework METASPLOIT. 1. Metasploit : Description de l outil : Développeur Rapid7 LLC Dernière version V4.3.0 (17 avril 2012) Environnements Multiplate-forme Type Sécurité du système d'information Licences Metasploit Framework License site www.metasploit.com Metasploit est un projet open-source sur la sécurité informatique qui fournit des informations sur des vulnérabilités, aide à la pénétration de systèmes informatisés et au développement de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour le développement et l'exécution d'exploits contre une machine distante. Les autres sous-projets importants sont la base de données d'opcode, l'archive des shellcodes, et la recherche dans la sécurité. Créé à l'origine en langage de programmation Perl, Metasploit Framework a été complètement ré-écrit en langage Ruby. Le plus notable est la publication de certains des exploits les plus techniquement sophistiqués auprès du public.de plus, il est un puissant outil pour les chercheurs en sécurité étudiant des vulnérabilités potentielles. 3

Metasploit peut être utilisé par les administrateurs pour tester la vulnérabilité des systèmes informatiques afin de les protéger, ou par les pirates et les Script kiddies a des fins de piratage Immunity's CANVAS et Core Impact sont deux plateforme comparable àmetasploit mais contrairement à celui-ci ils ne sont pas open-source Architecture: Les Libraires : Rex : La bibliothèque de base pour la plupart des tâches géré les sockets, protocoles, les transformations de texte, et d'autres. Msfcore : Fournit un API basique Interface de Programmation d'application Msf base: Provides the 'friendly' API 4

Modules Encoders : veiller à ce que les payloads se rendre à leur destination permet une sorte d encodage de info utile afin qu elle ne soit pas détecter par la cible Auxiliaires : qui peuvent être utilisés afin d'exécuter des actions arbitraires telles que le scan de ports, le déni de services entre autres «dos». Nops : Les modules NOP sont utilisés pour les instructions de type "no-operation" pour exploiter les débordements de buffers. Il est très utilise pour tromper l antivirus, améliorer la précision de exploit INTERFACES Metasploit met à disposition les fronts ends suivants : Msfconsole : L'interface du framework en lignes de commandes Msfcli : Permet de programmer un exploit sur une seule ligne MsfWeb :Mode Web du framework Msfgui : Interface graphique de msfconsole Exploitation d un system Les étapes basiques pour l'exploitation d'un système sont : 1. Choisir et configurer un exploit (code permettant de pénétrer un système cible en profitant de l'un de ses bogues ; environs 200 exploits sont disponibles pour les systèmes Windows,Unix/Linux/Mac OS X/BSD/Solaris, et d'autres...) ; 2. Vérifier si le système cible visée est sensible à l'exploit choisi ; 3. Choisir et configurer un payload (code qui s'exécutera après s'être introduit dans la machine cible, par exemple pour avoir accès à un shell distant ou un serveur VNC) ; 4. Choisir la technique d'encodage pour encoder le payload de sorte que les systèmes de préventions IDS ne le détectent pas ; 5. Exécuter l'exploit. 5

Pour choisir l'exploit et le payload, quelques informations sur le système cible sont nécessaires, tel que la version du système d'exploitation, et les services réseaux installés, Nmap,NESSUS par exemple permette de faire ceci. Les types de playload : Le tableau ci-dessous montre quels types de payload sont compatibles avec les différents systèmes et environnements d'exploitation. Description des diffèrent payload : Adduser : - Il ajoute simplement un nouvel utilisateur au système ciblé. Une fois le nouvel utilisateur est créé, l'attaquant peut simplement se connecter au système à distance en utilisant n'importe lequel des services de connexion à distance en cours d'exécution sur le système cible. Sur un système Linux, le nouvel utilisateur est donné les privilèges root. L'utilisateur a ajouté sur un système Windows sera mis dans le groupe Administrateurs. Command execution : - Exécutera une commande sur le système cible. Cela permet à un attaquant d'exécuter n'importe quelle commande sur le système d'attaque qui ne nécessite pas d'interaction utilisateur. Cette charge utile serait la plus bénéfique sur les systèmes *nix, où la ligne de commande est puissante. Un certain nombre de commandes peuvent être enchaînés pour produire de multiples actions. 6

L'injection de DLL - Ajoute une DLL personnalisée dans la mémoire de l'application exploitée sur le système cible. Cela permet à un attaquant d'ajouter leur propre code pour le code ils ont juste exploité. La méthode d'injection de DLL est utilisée dans une payload d'injection VNC décrit cidessous. The interactive shell : - Fournit de l'attaquant avec un shell sur le système cible. L'attaquant peut envoyer des commandes à la cible, comme s'ils étaient assis en face du système. Pour les systèmes *nix, cette charge utile est extrêmement utile car il fournit un accès complet au système. The file execution : - Tout simplement c est télécharger «injecter pour être plus précis» un fichier puis l exécuter, backdoor ou rootkit peut être envoyé au système cible donnant a attaquant un accéder sans restrictions au système. Meterpreter : - C est notre couteau suisse. Il peut changer les ID de processus, ce mètre en redémarrage permanant, prendre des captures d écrans, d obtenir des informations d'identification, le log key et un certain nombre d'autres fonctionnalités D injection VNC : - Envoie un petit serveur VNC pour le système Windows, puis se connecte à ce serveur VNC. Ceci offre une complète interaction avec l'interface graphique du système cible. L'inconvénient de cette charge utile est que tout ce que vous faites sur le système peut être vu par un utilisateur si elle est utilisée 7

Msfconsole&Armitage: Au cours de ce tuto nous allons utiliser deux utilitaires de metasploit : Msfconsole Armitage Msfconsole : - Comme décrit plus haut Msfconsole est l'interface du framework en lignes de commandes. - Les commandes suivantes vont nous être primordiale par la suite pour manipuler ce mode vous allez voir : Commande Description use <chemin/vers/exploit> Sélection d'un exploit, d'un auxiliaire show options Affiche la liste des options et valeurs courantes (celles spécifiées avec la commande set) show exploits Affiche la liste des exploits show targets Affiche la liste des cibles show payloads Affiche la liste des payloads disponibles show advanced Affiche les options avancées search<chainederecherche> Permet de rechercher un exploit dans la base de données set <variable><valeur> Permet d'attribuer une valeur à une variable. Par exemple : set RHOST 192.168.1.29 set RPORT 81 8

Armitage : - Armitage est une interface en Java et donc multiplateforme qui sert d'interface graphique à Metasploit. - Armitage est assez pratique car son interface graphique est très intuitive et permet ainsi de mieux comprendre les méandres du pentesting si on n'utilise pas Metasploit tous les jours. Si vous voulez apprendre à vous servir de Metasploit alors Armitage est fait pour vous. Plus tard on vous apprendra ses bases Installation de metasploit sous WINDOWS, LINUX et MAC OS : Window:http://www.01net.com/telecharger/windows/Programmation/creation/fic hes/102738.html Linux:http://www.tux-planet.fr/installation-et-utilisation-de-metasploit-sous-linux/ Mac OS:https://community.rapid7.com/docs/DOC-1037 2. BackTrack : BackTrack est une distribution Linux, basée sur Slackware jusqu'à la version 3 et Ubuntu depuis la version 4, apparue en janvier 2010. Elle est née de la fusion de Whax et Auditor. Son objectif est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un réseau. 9

Famille Distribution GNU/Linux État du projet En développement Entreprise /Développeur Remote Exploit / Mati Aharoni, Max Moser États des sources Logiciel libre et Open Source Dernière version stable 5.0 R2 (1 er mars 2012) Site web www.backtrack-linux.org Metasploit est installer par défaut sur Backtrak en plus il présente d autre utilitaire bien intéressant pour les plus curieux. 3. Les machines virtuelle : Comme autre outil conseiller pour faciliter le travail et limiter les ressources en peut utiliser VMware Workstation, Virtual-Box, Virtual-Machine Se sont en fait des applications qui vont vous permettre de cree un PC pleinement fonctionnel dans une fenêtre. Chaque PC est vraiment une machine virtuelle, s'exécutant directement sur votre ordinateur hôte. Un support complet de la gestion du réseau signifie que chaque machine virtuelle peut avoir son propre réseau d'adresses tout comme une machine réelle. De nombreuses machines virtuelles peuvent être mises en marche l'une après l'autre. Par exemple, les utilisateurs peuvent exécuter simultanément Windows 98, Windows NT, Windows 2000, et Linux.Du coup on peut toute une topologie réseau sur notre petit PC. 10

III. Topologie du réseau : Deux topologies vont être présentées on utilisera l une ou l autre suivant le besoin et le type d attaque «Distante ou En Local» qu on va présenter plus tard : Topo1 : Attaque sur une cible distante Topo2 : Attaque en locale 11

IV. Configuration des outils : Dans cette partie nous allons vous monter comment configurer VMware Workstation7 pour avoir une topologie proche de celle proposé plus haut sur une même machine et pouvoir réaliser tous les manipes au cours de ce tuto 1. Installation d une machine virtuelle 12

On va sélectionner le chemin de ISO ou du CD que l on veut installer 13

Si l iso ou le CD de l OS entrer dans la partie présidant n est pas reconnue par le système il faut le déclarer manuellement On donne un nom à notre machine virtuelle 14

On spécifie la taille de son disque dur virtuelle En cliquant sur «customize Hardware» vous aller pouvoir configurer votre machine virtuelle comme vous le voulez «attention à ne pas la rendre trop gourmande en ressource ça peut créer des bugs» Il ne reste plus cas cliquer sur terminer 2. Créationd un team : Cette fonctionalietr vas permetre une communication inter machine virtuelle «apartir de VMware Workstation 8 cette fonctionnalité n existe plus, toutes les machine virtuelle crée appartiennent au même LAN par défaut» 15

16

Vous pouvez à ce stade soit créé une nouvelle machine virtuelle, soit ajouter une machine déjà existante 17

18

On va sélectionner une connexion de type NAT, car on veut que chaque machine de cette team aient aussi accès à internet et donc à un réseau éloigner comme décrit dans la topologie du réseau plus haut V. Scénario de test : Dans cette partie en vas vous présenter diffèrent type d attaque réaliser avec METASPLOIT sous Backtrack5R2 utilisant msfconsole et armitage 1. Attaque réalisé en ligne de commande «msfconsole» Voilà comment lancer«msfconsole» sous Backtrack5R2. 19

20

Attaque SYN flood Principe : Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s'applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. Schéma d'une connexion normale entre un client et le serveur. Un client malveillant peut supprimer la dernière étape et ne pas répondre avec le message ACK. Le serveur attend un certain temps avant de libérer les ressources qui ont été réservées pour le client, car le retard du message ACK pourrait être causé par la latence du réseau. Cette période d'attente par le serveur était d'environ 75 secondes lors des premières attaques SYN flood. Schéma du SYN flood 21

Après l'étape 2, la connexion est semi-ouverte et consomme un certain nombre de ressources du côté du serveur (mémoire, temps processeur, etc.). En générant suffisamment de connexions incomplètes de ce type, il est possible de surcharger les ressources du serveur et ainsi d'empêcher le serveur d'accepter de nouvelles requêtes, avec pour résultat un déni de service. Dans certains cas, le serveur peut même planter par manque de ressources. Schéma d'une connexion normale entre un client et le serveur après une attaque SYN flood Réalisation : Choisir la cible «un site web vulnérable» : dans notre cas c est le site «vetementsvente.com» 22

Déterminerl adresse IPderrière son URL,il y a plusieurs méthodes pour le faire (ping, nslookup, dig ) Démarrer «msfconsole» Pour réaliser cette attaque on va utiliser l auxiliaire synflood, pour le sélectionner on utilise la commande suivante : (use auxiliary/dos/tcp/synflood) 23

Il est possible de voir les différentes options et configuration par défaut de l auxiliaire, Indiquer l adresse IP prélevé précédemment ainsi que le Timeout (les nombre de seconds à attendre pour une nouvelle donnée). On vérifie la configuration avec la commande (show options) 24

Déclanchement de l attaque avec la commande (run) Pour les curieux vous prouver lancer Wireshark pour visualiser le trafic massif des paquets SYN. 25

Vérification du fonctionnement du site victime Attaque réussie Exploitation de la faille du protocole RDP RDP (Remote Desktop Protocol)est un protocole de communication réseau sécurisé pour des applications Windows s'exécutant sur un serveur. RDP permet aux administrateurs réseau de diagnostiquer à distance et de résoudre les problèmes rencontrés par les abonnés. RDP est disponible pour la plupart des versions du système d'exploitation Windows ainsi que Mac OS X. Une version open source est également disponible. Le 13/03/2012 Des vulnérabilités dans le protocole RDP de niveau critique ont été découverte. Ces failles touchent toutes les plateformeswindows (XP, VISTA, 7, 2003,2008.) permettant d utiliser RDP 26

Réalisation de l attaque : Avant toute chose il faut savoir que pour que cette attaque fonctionne il faut que RDP soit activé sur la cible sinon ça n aurait aucun effet Soit notre cible Win XP SP3 PRO, comme explique tout à leur la cible peut être n importe quel système Windows du moins qu il possède le service RDP et qu il est actif : Voilà comment activer RDP 27

Mise en place de l attaque : On commence par sélectionner l exploit qui va exploiter cette fameuse faille. 28

On désigne l adresse de la cible, et c est partit Comme vous prouver le voir la cible est hors service attaque réussi!! 29

Attaque par Trajan créé Dans ce tuto le Système cible Window7 mais il faut savoir que cette attaque est réalisable sur toutes les plateformes Windows Réalisation de l attaque : On vas donc commencer par creation de notre trojan sous forme d executable qui vas nous etre utile plus tard pour l intrusion dans le système cible 30

Grâce à une technique de social engineering par exemple, la cible doit télécharger exécutable qu on crée et bien sur exécuter par la suite Exemple de technique de social engineering : - Le hacker se fait passer pour un opérateur système, un responsable informatique ou un ingénieur système et demande à la cible de télécharger et exécuter le malware c est facile et efficace De plus il existe de nos jours plusieurs méthodes pour modifier la signature de malware et donc les rendre indétectable Supposant que cette partie a été accomplie avec brio ;) Lancer msfconsole Préparer et lancer l attaque Exploit multi/handler vas créer une sorte de serveur d écoute qui vas attendre la requête de connexion de la cible via notre exécutable 31

Comme vous pouvait remarque ici on a un payload de type meterpreter La commande show options nous permet de Affiche la liste des options et valeurs courantes et donc de remarquer les variable manquante a l équation Il ne reste plus qu à les saisir et lancer l exploit et attendre que la cible exécute le malware que vous lui avait passé d une façon ou d une autre 32

La cible piéger, on remarque sur notre écran l apparition de deux nouvelles lignes indiquant que la connexion avec la victime est établie et qu une session est ouverte Voilà, sa machine est sous ton entier contrôle, on pourra faire tout ce que l on veut et désire : - Par exemple on pourrait afficher des informations sur son système «sysinfo» ou encore lancer un shell «entrer sous DOS» et faire selon votre bon vouloir 33

Mais ça ne s arrête pas là, on peut aussi afficher le bureau tout en contrôlant notre victime avec cet exploit, pour cela Il suffit de changer simplement le payload 34

35

2. Attaque réalisé avec Armitage Voilà comment lancer Armitagesous Backtrack5R2 : 36

37

Exploitation de la faille du protocole RDP C est le même exploit que tout leur sauf que cette fois la cible est équiper de window7 Ultimate et que cette fois l attaque sera réaliser avec Armitage Il ne faut pas oublier d activer RDP si vous voulez que cette attaque fonctionne sinon ça n aurait aucun sens Réalisation de l attaque : On lance Armitage On procède à l ajout de la machine victime 38

On applique un scan sur la victime : Hosts->Nmap Scan->Intense Scan pour determier sa nature (os utiliser, version, ports ouverts,nembre de hops ) 39

On choisit le script à appliquer : - Pour notre cas on a choisi : auxiliary-->dos-->windows-->rdp-- >ms12_020_maxchannelids On configure l auxiliaire avec l adresse de la machine victime, puis on lance l attaque 40

41

Un écran bleu s affiche sur la machine victime, la machine est hors service Exploitation de la faille internet explorer 8 L exploit qu on va utiliser exploite une vulnérabilité de type corruption de mémoire dans Microsoft \ 'shtml moteur (mshtml). Lors de l'analyse d'une page HTML contenant une importationrécursive CSS, un objet C + + est supprimé puis réutilisés plus tard. Cela conduit à l'exécution de code arbitraire. Réalisation de l attaque : Comme tout à leur après avoir lancé «Armitage» nous allons commencer par designer l adresse de la cible 42

On applique un scan sur la victime : Hosts->Nmap Scan->Intense Scan pour determier sa nature (os utiliser, version, ports ouverts,nembre de hops ) 43

44

On sélectionne le script à utiliser : - Pour notre cas on a choisi : exploitwindowsbrowser ms11_003_ie_css_impor 45

On ajoute l adresse de notre, ainsi que l url-path pour brouiller la victime en la faisant croire que c est un url d un site de jeux par exemple Comme vous pouvez le voir un serveur d écoute est lancer sur la machinede l attaquant Il ne reste plus qu à attendre que la cible entre ce méchant URL sous IE8 46

Comme vous le voyer si dessous une fois que la victime entre l URL généré un peu plus haut sa machine est infectée, une session Meterpriter est ouverte ce qui nous donne un contrôle total de la machine victime 47

De làon peut facilement accéder au Command Shell de la machine victime uploader des fichiers 48

Ou encore prendre des captures d écran de la victime 3. Le maintien d accès Certain type d attaque donne un accès totale a la cible comme vue précédemment avec «Attaque par Trajan créé» ou «Exploitation de la faille internet explorer 8.La question est maintenant est comment maintenir cet accès et donc de s introduire chez la victime a notre bon vouloir? La méthode que nous allons utiliser ici c est le backdooring «ou porte dérobée en français».en fait une porte dérobée dans un système informatique est une méthode permettant de contourner l'authentification normale, tout en essayant de passer inaperçues. La porte dérobée peut prendre la forme d'un programme installé (comme vous aller le voir dans notre exemple) ou peut subvertir le système par le biais d'un rootkit. 49

Réalisation de l attaque : Donc supposant que vous avez réussi à ouvrir une session et donc à vous introduire chez la cible : Sous «meterpriter>» on tape «run persistance h» 50

Comme expliquer dans son help ce script vas nous permettre de crée une porte dérobe sur notre cible Explication : -U : Démarrer automatiquement porte dérobé l'utilisateur se connecter au système -i : recharger porte dérobé tous les 10s -p : sera en cours d'exécution sur le port 8080 -r : Adresse IP de l attaquant -A: Démarre automatiquement une correspondance multi/handler avec la porte dérobée X: Démarre automatiquement la porte dérobée lorsque le système démarre Est voilà, le backdoor crée, vous pouvez vous connecter sur votre cible quand vous voulez 51

Pour vous reconnecter il suffit d utiliser l exploit multi/handler est c est tout Maintenant je n ai qu un seul conseil a vous donnez «Laisser cour à votre imagination» VI. Conclusion: Le but de ce tutoriel n est pas de vous apprendre à pirater mais vous sensibiliser et tenir votre attention sur le monde de la sécurité informatique, comme vous l avait remarqué les risques et l effet encouru par une faible sécurité de votre système peut engendrer des calamités. Pensez par exemple aux pertes que peut encourir une société si ces serveur venait à être endommager, ça lui serais catastrophique et même critique des foies. Donc pensez à sécuriser vos systèmes et à installer les dernières mises à jour de sécurité. 52