Главная » Заметки » День 5. Продолжаю разбираться с анализом целевых машин
День 5. Продолжаю разбираться с анализом целевых машин
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!

Вчера я начал разбираться с анализом целевых машин. Перехожу к разделу «SERVICE IDENTIFICATION» (Идентификация услуг). Помимо Nmap существует множество сканеров, которые могут определить открытые сервисы (в которых может быть уязвимость).

Например, ssh. Предыдущее сканирование показало, что TCP-порт (22) открыт на одной машине. SSH является безопасным протоколом, но все же стоит собрать как можно больше доступной информации.

Будем использовать сканер auxiliary/scanner/ssh/ssh_version, чтобы определить версию протокола SSH.

Для определения версии FTP есть аналогичный сканер: auxiliary/scanner/ftp/ftp_version.

Разумеется, эта информация мало что даст, особенно, если эти протоколы правильно настроены (в смысле используются). Но так, по крупицам, можно собрать много полезной информации, которая поможет создать достаточно полную картину. Чтобы вывести все 485 (в примерах сайта), а на момент написания этих строк 593 анализатора, можно начать писать use auxiliary/scanner/ и нажать Tab.

Раздел «PASSWORD SNIFFING» (Обнаружение пароля)

Макс Мозер выпустил модуль перехвата паролей для Metasploit под названием psnuffle, который может перехватывать пароли по сети. Модуль поддерживает POP3, IMAP, FTP и HTTP GET.

Для начала пришлось устанавливать FTP на Windows 2008 R2 (спасибо за статью: https://tavalik.ru/sozdanie-novogo-polzovatelya-v-windows-server-2008/). Итак, юзаем auxiliary/sniffer/psnuffle с настройками по умолчанию. После команды run, анализатор (сниффер паролей) уходит в фон. Пробуем войти в файловый менеджер с машины, на которой запущен сервер. Сниффер ничего не перехватывает (вполне логично). Пробуем зайти в файловый менеджер с машины на XP. Снова сниффер ничего не перехватывает (то же, вроде бы, логично). Теперь заходим с атакующей машины в этот менеджер. Сниффер перехватил. Спасибо, конечно, но я и сам вел пользователя и пароль. Одним словом, пока не совсем понятно, как сниффер правильно использовать. Возможно, я неправильно представляю его работу.

В разделе «EXTENDING PSNUFFLE» говорится о том, как еще можно расширить модуль psnuffle.

Раздел «SNMP SWEEPING» (Проверка SNMP)

Продолжаем сбор информации. Теперь взглянем на вспомогательный модуль SNMP. Протокол SNMP предназначен для управления устройствами в IP-сетях. В нем можно найти тонну информации о конкретной системе. Например, если мы можем найти устройство Cisco с приватной строкой, мы фактически сможем загрузить всю конфигурацию устройства, изменить ее и загрузить свою вредоносную конфигурацию. Часто пароли кодируются ненадежно, вследствие чего их несложно расшифровать.

В Metasploit встроен вспомогательный модуль для проверки устройств SNMP. Прежде чем выполнить сканирование, необходимо понимать несколько вещей. Права доступа «только для чтения» и «для чтения и записи» играют важную роль в том, какой тип информации можно извлечь и изменить на самих устройствах. Кроме того, если устройства на базе Windows настроены с использованием SNMP, часто со строками RO/RW, мы можем извлечь уровни исправлений, запущенные службы, время последней перезагрузки, имена пользователей в системе, маршруты и различные другие объемы информации, которые могут нам помочь.

По умолчанию, служба Metasploitable прослушивает только локальный хост, поэтому придется отредактировать настройки по умолчанию в файле /etc/default/snmpd. Так приведено на сайте.

Как включить открыть SNMP для внешнего доступа на Metasploitable 3

Чтобы включить SNMP, я зашел в Administrative Tools, далее  Server Manager. В боковом меню кликнул Features, далее Add Features. После выбрал SNMP Services и нажал установить. Далее перехожу в Administrative Tools и на вкладку Services, нахожу SNMP Service. Там нахожу вкладку Security и ставлю галочку Accept SNMP packets from any host.

Переходим к атакующей машине и сканируем порт 161:

msf6 > nmap -sU -p 161-162 192.168.56.104

Как видим, теперь порт SNMP открыт. По всей видимости, пример, представленный на сайте, для Metasploitable 2 (т.е. под Linux).

Теперь будем разбираться с MIB. При запросе через SNMP существует так называемый MIB API. MIB – информационная база управления (Management Information Base). Этот интерфейс позволяет запрашивать устройство и извлекать информацию. Metasploit загружается со списком баз MIB по умолчанию, которые он имеет в своей базе данных, которые он использует для запроса на устройство, в зависимости от того, какой уровень доступа получен.

Предлагается заюзать сканер auxiliary/scanner/snmp/snmp_login. Целевую систему я задал при помощи команды hosts -R. Запускаем (команда run). В результате была добыта новая информация:

192.168.56.104:161 - Login Successful: public (Access level: read-only); Proof (sysDescr.0): Hardware: Intel64 Family 6 Model 167 Stepping 1 AT/AT COMPATIBLE - Software: Windows Version 6.1 (Build 7601 Multiprocessor Free)

На данный момент, я не знаю, что конкретно она мне дает и как ее использовать. Куда более интересную информацию собирает следующий модуль. Заюзаем сканер auxiliary/scanner/snmp/snmp_enum.

Этот сканер раздобыл так много информации, что без понимания можно потеряться в ней. Я потерялся. Во всяком случае понятно, эта информация пригодится в дальнейшем для успешного проникновения в систему. Но сейчас эта информация мало что мне дает. Обязательно нужно вернуться к этому, когда пробегусь по всем разделам на этом сайте.

Следующий раздел «WRITING YOUR OWN SECURITY SCANNER» повествует о написании собственного сканера безопасности. Если кратко, то имеется множество функций, которые могут пригодиться для этой цели, например, доступ ко всем классам и методам эксплойтов, встроенная поддержка прокси, SSL, создание отчетов и многопоточность.

Не вижу смысла что-то изобретать с таким скудным багажом знаний. Вернусь к этому позже.

Раздел «WINDOWS PATCH ENUMERATION» (Перечень исправлений для Windows)

При столкновении с целью Windows стоит определить, как часто ее обновляли. Для этого существует модуль enum_patches. Чтобы получить доступ к целевой машине, использовал снова exploit/windows/smb/psexec, после чего отправил meterpreter в фоновый процесс и заюзал post/windows/gather/enum_patches. Выставил в параметр SESSION номер сессии, в которой открыт meterpreter. Далее ввел команду run. В ответ получил:

Known bug in WMI query, try migrating to another process

Хорошо, команду migrate уже освоил вчера или позавчера. Находим при помощи команды ps какой-нибудь другой процесс, например cmd.exe. Пишем команду:

meterpreter > migrate 3304

Цифры 3304 это PID процесса cmd.exe. Запускаем командой run еще раз enum_patches. В итоге, в базу данных были добавлены две новых строки:

[+] KB3134760 installed on 8/7/2017
[+] KB976902 installed on 11/21/2010

Если я правильно понимаю, это означает, что последние исправления в этой системе применяли в 2017 и 2010 годах. То есть все уязвимости, найденные после крайней даты будут актуальны. В примере на сайте почему-то больше информации по найденным обновлениям.

В целом, на сегодня достаточно. За сегодня узнал, как узнать версию SSH, FTP. Так же успешно перехватил пароль при подключении к файловому менеджеру. Попробовал собрать информацию через порт 161 (SNMP). Получилось собрать информацию о примененных исправлениях Windows при помощи enum_patches.

Ссылки дня: Установка FTP: https://tavalik.ru/sozdanie-novogo-polzovatelya-v-windows-server-2008/

Просмотров: 34
16.03.2022
Автор