PORTADA • Metasploit 16 Número 69 WWW.LINUX - MAGAZINE.ES E l framework Metasploit [1] es una popular herramienta para los especialistas en prevención de intrusiones. Metasploit nos permite des- plegar sistemáticamente muchas de las técnicas de ataque usadas por intrusos veteranos. Las pruebas de intrusión de Metasploit son capaces de identificar incontables problemas de seguridad que podrían hacer vulnerables nuestras redes. De acuerdo con el sitio web del pro- yecto, Metasploit es “…tanto un sistema de pruebas de intrusión como una plata- forma de desarrollo para la creación de herramientas de seguridad y exploits.” El framework incluye una serie de módulos. Cada módulo implementa un ataque específico. A medida que van apareciendo nuevos ataques, se van añadiendo los correspondientes módu- los al framework, manteniéndose de este modo el sistema actualizado con los últimos exploits y técnicas de ataque. Según el equipo de Metasploit, “La función básica del framework es un ini- ciador de módulos que permite al usua- rio configurar el módulo de exploit e ini- ciarlo contra un sistema objetivo. Si el exploit tiene éxito, se ejecuta el payload en el objetivo, proporcionando al usua- rio un terminal para que pueda interac- tuar con el payload. Cientos de exploits y docenas de payloads están disponi- bles.” Como veremos en este artículo, la última versión de Metasploit incluye módulos para la comisión de ataques de fuerza bruta sobre SSH, MySQL y Telnet, así como la capacidad de inyectar archi- vos ejecutables en el formato PDF de Adobe de modo que los sistemas Win- dows lo ejecuten secretamente en segundo plano. Genuinamente Inseguro El proyecto Metasploit mantiene una imagen de servidor virtual VMware conocida como Metasploitable. La ima- gen Metasploitable, basada en Ubuntu, contiene más agujeros de seguridad que un queso suizo y supone el candidato perfecto para aquellos administradores que quieran practicar un poco con Metasploit como herramienta de prue- bas de intrusión. Para obtener más infor- mación sobre cómo instalar y configurar Metasploitable consulte el sitio web de Metasploit [2]. El servidor Metasploitable imple- menta deliberadamente servicios con configuraciones inseguras y vulnerabili- dades que lo convierten en el candidato ideal para las sesiones de entre- namiento en segu- ridad TI. Antes de probar Metasploi- table conviene actualizar el fra- mework cliente a la versión 3.4, y hacerlo antes incluso aunque se usen las imágenes del DVD; basta con hacer svn update desde el directorio del pro- yecto. Antes de arran- car Metasploitable, conviene anotar la dirección MAC a fin de identificar más rápidamente el servidor vul- nerable. Con el comando nmap -sP red se obtiene la correspondiente dirección IP, que a partir de ahora será 192.168.0.189 para los ejemplos de este artículo. Una vez configurado y ejecutándose el servidor Metasploitable, se puede usar Nmap para identificar los puertos abier- tos (Listado 1). PRUEBA DE HACK El framework de pruebas de intrusión Metasploit propor- ciona todas las herramientas necesarias para cualquier intruso y nos ayuda a encontrar problemas en las defensas de nuestras redes. POR HANS-PETER MERKEL Y MARKUS FEILNER Pruebas de intrusión y manipulación de PDFs con Metasploit # nmap 192.168.0.189 Starting Nmap 5.00 ( http://nmap.org ) at \ 2010-06-12 11:52 CEST Interesting ports on 192.168.0.189: Not shown: 988 closed ports PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp open smtp 53/tcp open domain 80/tcp open http 139/tcp open netbios-ssn 445/tcp open microsoft-ds 3306/tcp open mysql 5432/tcp open postgresql 8009/tcp open ajp13 8180/tcp open unknown MAC Address: 08:00:27:80:7A:46 (Cadmus Computer Systems) Listado 1: Buscando Puertos Abiertos
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
PORTADA • Metasploit
16 Número 69 W W W . L I N U X - M A G A Z I N E . E S
El framework Metasploit [1] es
una popular herramienta para los
especialistas en prevención de
intrusiones. Metasploit nos permite des-
plegar sistemáticamente muchas de las
técnicas de ataque usadas por intrusos
veteranos. Las pruebas de intrusión de
Metasploit son capaces de identificar
incontables problemas de seguridad que
podrían hacer vulnerables nuestras
redes.
De acuerdo con el sitio web del pro-
yecto, Metasploit es “…tanto un sistema
de pruebas de intrusión como una plata-
forma de desarrollo para la creación de
herramientas de seguridad y exploits.”
El framework incluye una serie de
módulos. Cada módulo implementa un
ataque específico. A medida que van
apareciendo nuevos ataques, se van
añadiendo los correspondientes módu-
los al framework, manteniéndose de
este modo el sistema actualizado con los
últimos exploits y técnicas de ataque.
Según el equipo de Metasploit, “La
función básica del framework es un ini-
ciador de módulos que permite al usua-
rio configurar el módulo de exploit e ini-
ciarlo contra un sistema objetivo. Si el
exploit tiene éxito, se ejecuta el payload
en el objetivo, proporcionando al usua-
rio un terminal para que pueda interac-
tuar con el payload. Cientos de exploits
y docenas de payloads están disponi-
bles.”
Como veremos en este artículo, la
última versión de Metasploit incluye
módulos para la comisión de ataques de
fuerza bruta sobre SSH, MySQL y Telnet,
así como la capacidad de inyectar archi-
vos ejecutables en el formato PDF de
Adobe de modo que los sistemas Win-
dows lo ejecuten secretamente en
segundo plano.
Genuinamente InseguroEl proyecto Metasploit mantiene una
imagen de servidor virtual VMware
conocida como Metasploitable. La ima-
gen Metasploitable, basada en Ubuntu,
contiene más agujeros de seguridad que
un queso suizo y supone el candidato
perfecto para aquellos administradores
que quieran practicar un poco con
Metasploit como herramienta de prue-
bas de intrusión. Para obtener más infor-
mación sobre cómo instalar y configurar
Metasploitable consulte el sitio web de
Metasploit [2].
El servidor Metasploitable imple-
menta deliberadamente servicios con
configuraciones inseguras y vulnerabili-
dades que lo convierten en el candidato
ideal para las
sesiones de entre-
namiento en segu-
ridad TI. Antes de
probar Metasploi-
table conviene
actualizar el fra-
mework cliente a
la versión 3.4, y
hacerlo antes
incluso aunque se
usen las imágenes
del DVD; basta
con hacer svn
update desde el
directorio del pro-
yecto.
Antes de arran-
car Metasploitable,
conviene anotar la
dirección MAC a
fin de identificar más
rápidamente el servidor vul-
nerable. Con el comando nmap -sP red
se obtiene la correspondiente dirección
IP, que a partir de ahora será
192.168.0.189 para los ejemplos de este
artículo.
Una vez configurado y ejecutándose el
servidor Metasploitable, se puede usar
Nmap para identificar los puertos abier-
tos (Listado 1).
PRUEBA DE HACKEl framework de pruebas de intrusión Metasploit propor-
ciona todas las herramientas necesarias para cualquier
intruso y nos ayuda a encontrar problemas en las defensas
de nuestras redes.
POR HANS-PETER MERKEL Y MARKUS FEILNER
Pruebas de intrusión y manipulación de PDFs con Metasploit
# nmap 192.168.0.189
Starting Nmap 5.00 ( http://nmap.org ) at \
2010-06-12 11:52 CEST
Interesting ports on 192.168.0.189:
Not shown: 988 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3306/tcp open mysql
5432/tcp open postgresql
8009/tcp open ajp13
8180/tcp open unknown
MAC Address: 08:00:27:80:7A:46 (Cadmus Computer Systems)
Listado 1: Buscando Puertos Abiertos
Como se puede apreciar en el Listado
1, el scan inicial del servidor Meta -
sploitable muestra varios puertos abier-
tos. El siguiente paso consiste en arran-
car un sistema Metasploit cliente y bus-
car los módulos adecuados para atacar
los puertos abiertos revelados por Nmap.
Metasploit proporciona varias opciones a
través de su interfaz de usuario. La
forma más sencilla de interactuar con
Metasploit es arrancando la interfaz de
usuario msfconsole. Como se puede ver
en el Listado 2, el comando search login
muestra una lista con los módulos que
están relacionados con la cadena login.
El servicio de MySQL es una oportuni-
dad interesante para el primer ejemplo.
En direcciones IP de la LAN no suele
estar abierto el puerto 3306, puesto que
los administradores responsables suelen
asociar el servidor de bases de datos a
localhost solamente. Pero este tipo de
información es el primer signo para un
atacante en busca de una configuración
vulnerable.
El comando use de la consola de
Metasploit arranca un exploit utilizando
un módulo de Metasploit. En el Listado
3, el módulo scanner/mysql/mysql_login
lanza un ataque de diccionario sobre el
host 192.168.0.189 utilizando el archivo
de diccionario /tmp/diccionario. Como
se puede apreciar, el comando tiene
como resultado el acceso al sistema ges-
tor de bases de datos.
Con el comando
mysql -h U
192.168.0.189 U
-u root -p
se comprueba entonces
la información de login
directamente en la base de
datos MySQL. Al introducir la
clave, comienza con MySQL. El
comando
select load_file U
(‘/etc/passwd’)
presenta el contenido del archivo
passwd. En el Listado 4 se muestra
cómo identificar todos los usuarios del
sistema mediante esta técnica
El Listado 4 revela tres cuentas de
usuario: msfadmin, user y service.
msfadmin probablemente la creó el ser-
vidor, según indica su UID, que es 1000.
Esto convierte a la cuenta del usuario
msfadmin en el candidato ideal para un
ataque de fuerza bruta contra SSH:
use scanner/ssh/ssh_login
show options
set RHOSTS 192.168.0.189
set PASS_FILE /tmp/diccionario
set USERNAME msfadmin
exploit
Metasploit • PORTADA
17Número 69W W W . L I N U X - M A G A Z I N E . E S
./msfconsole
search login
(...)
scanner/ftp/ftp_login normal FTP Authentication
Scanner
scanner/mysql/mysql_login normal MySQL Login Utility
scanner/postgres/postgres_login normal PostgreSQL Login Utility
(...)
scanner/smb/smb_login normal SMB Login Check Scanner
scanner/ssh/ssh_login normal SSH Login Check Scanner
scanner/ssh/ssh_login_pubkey normal SSH Public Key Login Scanner
scanner/telnet/telnet_login normal Telnet Login Check Scanner
Listado 2: msfconsole
Figura 1: La salida del exploit devuelve la información que recibe, incluido el nombre del
archivo ejecutable y del PDF en el que se introduce.
PORTADA • Metasploit
18 Número 69 W W W . L I N U X - M A G A Z I N E . E S
La puerta trasera descubierta en este
caso fue la vulnerabilidad launch. Existe
una prueba de concepto (PoC) disponi-
ble en línea [3]; el único remedio ante
este ataque es un laborioso y entrete-
nido paseo por el registro de Windows
para hackear sus valores.
Comenzaremos con un ejemplo que
hace uso de la inocua calculadora de
Windows, calc.exe, para simular el
código malicioso. Un eventual atacante
sólo habrá de sustituir este binario de
Windows por su propio
troyano de Metasploit.
Si no puede identificarse la clave con el
diccionario utilizado, podemos inten-
tar comprometer otras cuentas pri-
mero: el siguiente ataque fija como
objetivo el UID 1001 para la cuenta del
usuario user. En el módulo de exploit,
basta con cambiar msfadmin por user,
mostrándose la clave de user (Listado
5).
Metasploit inicia por sí solo una
sesión, pero también será posible ingre-
sar por SSH manualmente.
ssh user:@192.168.0.189
Este login tiene el UID 1001, no es la
cuenta de root, pero el intruso está
ahora en posición de desplegar varias
estrategias con las que escalar privile-
gios.
Exploits para PDFMetasploit es capaz de hacer mucho
más que simples ataques de fuerza
bruta. Por ejemplo, un exploit reciente
hacía uso de la función util.printf de
Adobe Reader para depositar código
Javascript malicioso en los PCs con
Windows. En la versión 9 de Adobe Rea-
der se ha parcheado el fallo, pero los
atacantes no han estado de brazos cru-
zados durante todo ese tiempo. Como
suele ocurrir, Metasploit es más rápido
que el parche del fabricante. Por ejem-
plo, el reciente exploit
adobe_pdf_embedded_exe muestra
cómo la comunidad de software libre
responde más rápidamente que los ven-
dedores de software privativo.
Para ello, basta con extraer el payload
reverse_tcp del framework en forma de
ejecutable de Windows, añadir la direc-
ción IP del sistema atacante y enviar a la
víctima lo que parece ser un archivo
PDF legítimo.
La idea no es nueva; otros exploits
más antiguos hicieron uso de tácticas
similares para hackear la red del Dalai
Lama o para atacar máquinas guberna-
mentales con el conocido troyano Ghos-
tnet. El troyano Zeus también utiliza
este método, y no nos estamos refi-
riendo al rey de los dioses, sino al
Figura 2: Al abrir el PDF creado con Metasploit, la calculadora de Windows aparece misterio-