Metasploit – test de pénétration: présentation

Ce qu’il faut comprendre ici c’est que l’on a utilisé un script proposé qui permet de compiler le dropper.
MetaSploit fourni une multitude d’autres scripts, ci-dessous d’autres payload pour Windows mais comme vous pouvez le constater il n’y a pas que Windows.

Des scripts d’exploit à distance (remote exploit), pour des clients FTP, navigateurs WEB ou Windows sont aussi disponibles.
Mais aussi d’autres softs, client FTP, mail, base de données etc. Ci-dessous un exploit à distance vers la machine 192.168.1.27 – la vulnérabilité exploitée est une vulnérabilité RPC documentée par le bulletin Microsoft suivant : MS08-067On voit la connexion établie depuis 192.168.1.10 (serveur Metasploit) sur le processus svchost.exe qui gère le groupe où se trouve le service contenant la vulnérabilité :

Dans le cas ici, la prise en main de la machine victime se fait par le meterpreter qui permet de lancer des commandes ou des scripts pré-définis.
La commande help donne la liste des commandes disponibles.
Comme vous pouvez le constater, on peux tout faire de la capture d’écran au keylogging en passant par la webcam.

Par exemple lister les processus du PC « infecté » :

Même chose, des scripts sont fournis pour le meterpreter, ces derniers peuvent être lancés par la commande run.

Exemple ici avec la machine 192.168.1.19 avec Microsoft Security Essentials : On prends la main sur la machine via un exploit à distance  et on lance la commande killav – MSE est dead.


Du côté d’Avast!, on a un accès denied :

Le script est facilement modifiable, on peux viser le processus que l’on souhaite.
Ici un test où on lance le kill de msmsgs.exe

On peux voir sans surprise que c’est svchost.exe qui tente de tuer le processus – en effet le meterpreter comme montré dans la capture précédent, prends la main du service visé par la vulnérabilité à distance, or ce service est lancé par svchost.exe.
Du coup, au final, le test du killav est « juste » un kill via un utilisateur lancé par AUTORITE/NT, et bon dans le cas de Microsoft Security Essentials, pas vraiment besoin de MetaSploit pour s’apercevoir qu’il se fait killer facilement.

D’autre part, les antivirus qui se font avoir, c’est moyen, on peux d’ailleurs penser qu’un kill « simple » (par un utilisateur administrateur), un antivirus qui résiste, c’est toujours bien.
Reste que face à un Bagle ou un ZeroAccess, ils font pas long feu.



ou ici une capture d’écran :


La suite sur la page suivante.

Print Friendly, PDF & Email
(Visité 1 376 fois, 3 visites ce jour)

One Response

  1. larabutu 4 mai 2012

Add Comment