miércoles, 26 de noviembre de 2014

ShuaBang Botnet: Red de terminales zombies Android creada vía Google Play para Black Hat App Store Optimization

Post de Chema Alonzo
en www.elladodelmal.com

Hace unos días que habíamos pasado el informe a los clientes de los servicios de Vigilancia Digital, pero ayer fue el día que publicamos los detalles de ShuaBang Botnet, una red de terminales Android Zombies que descubrimos hace quince días y que estaba orientada a hacer lo que se denomina BlackASO (BlackHat App Store Optimization), es decir, una especialización del BlackSEO pero orientado al posicionamiento de las apps en los store de Google Play o App Store.
Figura 1: ShuaBang Botnet en Android
Para conseguir construir esta botnet, el creador había construido más de 300 apps fraudulentas que había publicado en Google Play con distintas cuentas de desarrollador. Estas apps no eran todas maliciosas en sus primeras versiones, pero sí que podrían ser actualizadas en versiones posteriores para no llamar la atención y pasar bajo el radar. Las apps, por supuesto, no eran de gran calidad y ofrecían wallpapers, tutoriales, y similares. Trucos muy habituales por los creadores de adware en el mundo de Google Play.


De todo el conjunto, unas 100 de ellas - que están disponibles en el informe de ShuaBANG Botnet  - también en versión en inglés - que hemos publicado desde Eleven Paths - infectaban a los que las instalaban. Revisando en nuestro Path 5 los permisos de las apps que utilizan para su funcionamiento, vimos que la lista que necesitan son lo siguientes.

Figura 3: Permisos utilizados por las apps maliciosas de esa botnet
Para conseguir su objetivo, desde el panel de control de la botnet, una vez que se conseguía infectar a un equipo, se proveía al dispositivo con una cuenta de Google que había sido creada por el master de la botnet.  Es decir, asociaba el dispositivo con una cuenta de Google que previamente había creado el atacante. Según pudimos averiguar, el creador de este esquema de botnet había sido capaz de crear 12.500 cuentas de Google que iba distribuyendo en las apps de los dispositivos para poder asociar el dispositivo con esa cuenta mediante un proceso de checkin que ejecuta desde el propio terminal infectado.


Figura 4: Esquema de entrega y registro de cuentas Google a los dispositivos infectados
Una vez que tiene una cuenta registrada desde un dispositivo el atacante utiliza los tokens de servicio que devuelve Google para realizar acciones de Click-Fraud - muy habitual en el mundo del fraude online - para posicionar información y realizar diferentes acciones. Con una cuenta Google registrada en un dispositivo Android es posible realizar muchas tareas que afectan al posicionamiento de apps en los markets, tanto de Google Play como otros para hacer BlackASO, pero también en otros sitios de Internet para hacer BlackSEO tradicional desde el dispositivo.


Figura 5: Control de acciones y renovación de tokens en los equipos infectados

El panel de control de la botnet es bastante sencillo y está pensado para ser bastante funcional. Por su aspecto y el código generado ha sido hecho a medida para esta botnet. En el se pueden ver los datos de las cuentas y terminales que controla.

Figura 6: Cuentas en el panel de control de la botnet

Curiosamente, en la base de datos hay un acceso privilegiado para una cuenta de una empresa de publicidad china que cuenta con sus propias credenciales de acceso a los datos desde una dirección muy concreta perteneciente a ellos.

Figura 7: Acceso privilegiado a la base de datos
Una de las cosas que más nos llamó la atención es que el sistema registraba, o intentaba hacerlo, apps utilizando el token de registro del dispositivo a la cuenta. Esto podría haber supuesto - de haber funcionado su sistema - que se hubieran podido forzar la descarga de nuevas apps en el dispositivo remotamente, pero viendo el código que empleaba parece que no lo había conseguido. Eso sí, nos quedó claro que ese era el camino que seguía.
Figura 8: ¿Intento de registro de apps en dispositivos remotos para generar su descarga automática?
Ahora las apps están caídas de Google Play pero el panel de control y muchos terminales infectados están aún disponibles - ninguno en España  por ahora - ya que su objetivo era India, Brasil y Rusia. En el informe publicado tienes los nombres y los hashes de las apps que podrás encontrar probablemente en otros markets.


Figura 9: Presentación de Path 5 - En busca de los cibercriminales

Para los que quieran saber cómo funciona nuestra plataforma de investigación Path 5, os dejo la conferencia del SID 2014 en la que David Barroso lo cuenta con un ejemplo detallado de cómo un analista puede realizar estas investigaciones, que es lo que hicimos nosotros para detectar ShuaBang Botnet. Si quieres más información de Path 5, ponte en contacto con nosotros.


sábado, 22 de noviembre de 2014

Manual de Armitage en Español

 Artículo escrito por Edgar Parra para La Comunidad DragonJAR

Buenas comunidad, como sé que cuando uno esta iniciando en esto aveces es difícil enfrentarse a otro idioma, por eso me animé a traducir la guía oficial de Armitage, que a mi parecer se ha convertido en la “GUI” por excelencia del framework Metasploit, espero que lo disfruten.

Armitage Manual de Armitage en Español

ADVERTENCIA: NO es una traducción literal, es mi interpretación personal en español del manual oficial en ingles.

Guía de Armitage en Español

 

 1.1 ¿Qué es Armitage?

Armitage es una  Herramienta e colaboración en equipo que permite el uso de Scripts para Metasploit que permite visualizar objetivos, recomienda exploits y expone las características avanzadas de post-explotación que tiene el framework.
A través de una instancia de metasploit, su equipo (grupo de trabajo) podrá realizar lo siguiente:
  • Usar las mismas sesiones.
  • Compartir host, datos capturados y archivos descargados.
  • Comunicarse a través de un registro de eventos compartido.
  • Ejecutar bots para automatizar las tareas del equipo (grupo de trabajo).
Armitage es un multiplicador de fuerzas para realizar operaciones en equipo

 1.2 Cobalt Strike

Armitage es un software Open Source desarrollado por Raphael Mudge’s pero su compañia Strategic Cyber LLC. tambien distribuye Cobalt Strike que utiliza la interfaz de usuario de Armitage – pero es un tanto diferente.
Echa un vistazo en el sitio web de Cobalt Strike para aprender cuales son las diferencias entre Armitage y Cobalt Strike

 1.3 Gestión de un ataque cibernético

Armitage organiza las capacidades de Metasploit de todo el proceso de hacking. Hay características para descubrir, acceder, de post-explotación y de manejo. En esta imagen se describen las características en un nivel alto, el resto de este manual cubre esas capacidades en detalle.

Armitage en espanol 0 Manual de Armitage en Español

Armitage tiene espacios de trabajo dinámicos que permiten definir y cambiar los criterios de los objetivos rápidamente, se usa para segmentar miles de hosts en un conjunto de objetivos. Armitage puede escanear la red o realizar la importación de resultados procedentes de muchos escáneres de seguridad. Armitage muestra visualmente sus objetivos por lo que es fácil saber en que hosts están trabajando y donde tiene sesiones.

Armitage recomienda exploits y ejecuta opcionalmente controles activos para decirte que exploits trabajan, si estas opciones fallan, es posible utilizar el ataque de Hail Mary para dar rienda suelta a la explotación automática e inteligente de Armitage en contra de sus objetivos.

Una vez que estés dentro, Armitage expone las herramientas integradas de post-explotación en el agente meterpreter, con un clic en el menú puedes escalar privilegios, capturar pulsaciones de teclado, volcar los Hash de las contraseñas, navegar por los archivos del sistema, y utilizar comandos en la Shell.

Armitage hace trivial la configuracion y uso “pivots”. Usando hosts comprometidos como un salto para atacar a la red de su objetivo desde el interior, también utiliza el modulo proxy SOCKS de metasploit que permite utilizar herramientas externas a través de sus pívots, estas características te permiten maniobrar fácilmente en la red.

El resto del manual está organizado en torno a este proceso, proporcionando lo que usted necesita saber en el orden que es necesario.

 1.4 Vocabulario necesario

Para usar Armitage, ayudaría mucho conocer Metasploit. Aquí hay algunas cosas que debemos de saber.

Metasploit es una aplicación de consola , cualquier cosa que hagas en Armitage se traduce en un comando de Metasploit, puedes usar Armitage o la consola de comandos y si estas algo perdido en la consola, escribe help y presiona enter para recibir ayuda.

Metasploit presenta sus capacidades como módulos donde cada escáner, exploit y payload está disponible como un módulo. Para iniciar un módulo, se debe de establecer una o más opciones para configurar el modulo, este proceso es uniforme para todos los módulos y Armitage hace que este proceso se mas fácil para usted.

Cuando un host es explotado, se tendrá una sesión en ese host, Armitage tiene la capacidad de saber cómo interactuar con sesiones de Shell y meterpreter.

Meterpreter es un agente avanzado que crea una gran cantidad de funcionalidades después de la explotación a nuestra disposición. Armitage está construido para aprovechar meterpreter, el trabajo con meterpreter lo trataremos mas adelante.

El curso de Unleashed Metasploit mantenido por Offensive Security es excelente. Recomiendo leerlo antes de ir más adelante con el uso de Armitage.

2.0 Primeros pasos con Armitage

2.1 Requisitos

Armitage funciona con una estructura de cliente/servidor y permite la colaboración en equipo. El paquete de cliente de Armitage está disponible para Windows, MacOS X y Linux. Armitage no requiere una copia local del Metasploit Framework para conectarse a un servidor de nuestro equipo de trabajo.
Inicialmente estas instrucciones de instalación son escritas asumiendo que se ha conectado a una instancia local de Metasploit Framework
Armitage requiere lo siguiente:
Para instalar todas las dependencias tenemos algunas opciones:
  • Utilizar una distribución Linux para pruebas de penetración, como Kali Linux o Pentoo Linux. Estas distribuciones ya vienen con Metasploit y sus dependencias ya instaladas.
  • Utilizar el instalador oficial proporcionada por Rapid7.
    Esta opción requiere que se registre en Rapid7 para obtener actualizaciones.

 2.2 Kali Linux

Kali Linux ya viene con Metasploit Framework instalado, esta es una muy buena opción si se quiere poner en acción Armitage Rápidamente.
Instrucciones de instalación (esto solo se realiza una sola vez)
  1. Abrir una terminal
  2. Iniciar el servicio de la base de datos: service postgresql start
  3. Iniciar el servicio de metasploit: service metasploit start
  4. Detener el servicio de Metasploit: service metasploit stop
  5. Instalar y actualizar Armitage: apt-get update ; apt-get install armitage
  6. Utiliza Java 1.7 por defecto (32 bits Kali): update-java-alternatives –jre -s java-1.7.0-openjdk-i386
  7. Utiliza Java 1.7 por defecto (64 bits Kali): update-java-alternatives –jre -s java-1.7.0-openjdk-amd64
 Como iniciar Armitage
  1. Abrimos una terminal
  2. msfupdate
  3. service metasploit start
  4. service metasploit stop

 2.3 Back Track Linux

BackTrack Linux ya no es un entorno compatible para Armitage, es mejor utilizar Kali Linux.
Si desea seguir usando Back Tarck Linux, debe de desinstalar el Metasploit Framework e instalar las últimas dependencias.
Debido a cambios de dependencias (se podrían generar conflictos) en el Framework, el entorno de Back Track Linux no va a funcionar si actualiza el Metasploit.
Para desinstalar el Metasploit Framework.
1
2
cd /opt/metasploit
./uninstall

 2.4 Linux

  1. Instalar el Metasploit Framework y sus dependencias
  2. Descomprimir Armitage
  3. Ingrese a la carpeta donde fue instalado Armitage
  4. Utilice el comando ./armitage para iniciar Armitage.

 2.5 Windows

Windows no es un entorno compatible para el funcionamiento de Armitage con el Metasploit Framework. Pero se puede conectar Armitage en Windows hacia un servidor Linux.

 2.6 Manual de Configuración

Si la elección es configurar Metasploit Framework y sus dependencias a mano, aquí hay algunos requisitos un poco complejos pero rápidos que te podrán ser de ayuda:
  • Es necesario tener una base de datos en PostrgreSQL. Ninguna otra base de datos es compatible.
  • msfrpcd debe de estar en la $PATH
  • $MSF_DATABASE_CONFIG debe de apuntar a el archivo YAML
  • $MSF_ DATABASE_CONFIG debe de estar disponible para msfrpcd y Armitage
  • Es necesaria la gema de Ruby msgpack
 Echa un vistazo a los siguientes enlaces para tener más ayuda con este tema:
Estas son instrucciones que nos ayudaran a configurar la base de datos, con una gran probabilidad de no tener errores, él no utilizar el archivo YAML suministrado podrá provocar que Armitage no pueda analizar o entender una gran cantidad de características, pero podrás usar este archivo en su lugar

2.7 Actualización de Metasploit

Cuando se ejecuta el comando msfupdate es posible que surjan conflictos con Armitage por realizar esta operación. El equipo de desarrollo de Metasploit ha sido cauteloso acerca de esto, por eso ellos se comprometen con el repositorio de git y son extremadamente receptivos a los informes de error. Dicho lo anterior, igual abran conflictos de vez en cuando. A veces el Framework cambia quedando incompatible hasta que se actualiza Armitage.
Si ha ejecutado msfupdate y Armitage ha dejado de funcionar hay algunas soluciones.
  1. Se puede ejecutar msfupdate después y esperar a que el problema se arregle. Muchas veces esta solución es una estrategia valida.
  2. Es posible realizar un downgrade a Metasploit a la última versión estable. Mirar el cambio de log de la última versión de desarrollo probada con Armitage. El número de revisión se encuentra al lado de la fecha de lanzamiento. Para realizar el downgrade a Metasploit usamos los comandos:
1
2
3
4
5
cd /path/to/metasploit/msf3
source ../scripts/setenv.sh
git pull
git checkout [commit id]
bundle install
  1. Volver a instalar, pero usando el instalador proporcionado por Rapid7 ya que el instalador incluye la última versión estable de Metasploit y por lo general, esta versión es muy estable.
Si se está preparando para usar Armitage y Metasploit en un lugar importante – no ejecute msfupdate y asuma que va a funcionar, en caso de alguna duda ir a la opción (2) o (3)

2.8 Resolución de problemas y ayudas

Si en algún momento tiene problemas para conectarse a Armitage con Metasploit, haga clic en el botón de Ayuda para obtener consejos y posibles soluciones a estos inconvenientes. Este botón le llevara a la siguiente guía de soluciones de problemas de inicio de Armitage

 2.9 Conexión rápida

Si desea conectarse rápidamente a un servidor Armitage Metasploit sin llenar en el cuadro de dialogo de configuración utilice el — cliente opción para especificar un archivo con los detalles de la conexión.
1
java -jar armitage.jar --client connect.prop
Aquí un ejemplo del archive connect.prop
1
2
3
4
host=192.168.95.241
port=55553
user=mister
pass=bojangles
Si usted tiene que administrar varios servidores Armitage / Metasploit, considere la creación de un acceso directo al escritorio que llama a esta opción –client con un archivo de propiedades diferentes para cada servidor.

3.0 Información de la Interfaz de usuario

3.1 Descripción general

La interfaz de usuario de Armitage tiene tres paneles principales: Módulos, Objetivos y las Pestañas. Dando clic en el área entre estos paneles es posible cambiar el tamaño a su gusto.

 Armitage en espanol 01 Manual de Armitage en Español 

3.2 Módulos

El navegador de módulos permite lanzar un módulo Auxiliary de Metasploit, lanzar un exploit, generar un payload y ejecutar un módulo de post-explotación. Haciendo clic en el árbol de directorios podrás encontrar el modulo deseado y al dar doble clic sobre el modulo se abrirá un cuadro de dialogo para configurar su ejecución.

Armitage configura el modulo para funcionar en contra de los hosts seleccionados. Esto funciona para módulos auxiliares, exploits, y módulos de post-explotación.

La ejecución de módulos  contra varios hosts es una de las grandes ventajas de Armitage. En la consola de Metasploit se debe configurar y poner en marcha un exploit y colocar módulos para cada host que se está trabajando
Se pueden buscar módulos también: haciendo clic en el cuadro de búsqueda de abajo, escribiendo una expresión comodín (por ejemplo, ssh_*), y pulsando Enter, el árbol modulo mostrara los resultados de la búsqueda, ampliada a una rápida visualización. Desactive la casilla de búsqueda y pulse Intro para restaurar a su estado original

3.3 Objetivos – Vista Gráfica

El panel de objetivos nos muestra los hosts. Armitage representa cada objetivo como un dispositivo con su dirección IP y otra información sobre el mismo por debajo de su imagen. La pantalla de la computadora muestra el sistema operativo del ordenador que está funcionando.

Armitage en espanol 2.png Manual de Armitage en Español 

  • Una computadora de color rojo con destellos eléctricos indica un host comprometido
  • Una línea verde direccional indica un pivote de un host a otro. Un Pivoting permite a Metasploit realizar ataques de ruta y escanear a través de hosts intermediarios. Una línea de color verde brillante indica la ruta de comunicación de pivot que está en uso.
  • Haciendo clic en un host podemos seleccionarlo y para seleccionar varios hosts hacemos clic y arrastrando el cuadro sobre los hosts deseados.
  • Haciendo clic derecho en un host podremos ver como aparece un menú con las opciones disponibles, el menú de ataque nos mostrara opciones de ataque y de inicios de sesión, menús para las sesiones existentes y las opciones para editar la información del host.
  • La entrada de menú sólo está disponible después de un escaneo de puertos que revela los puertos abiertos que Metasploit puede utilizar. El  menú de Ataque sólo está disponible después de encontrar ataques a través del menú en la parte superior de Armitage. Shell y Meterpreter  aparecen cuando existe una shell o una sesión Meterpreter en el host seleccionado.
Varios métodos abreviados de teclado están disponibles en el panel de objetivos. Para editar estos, vamos a Armitage-> Preferences.
  • Ctrl Más – Acercar la imagen
  • Ctrl Menos – Alejar la imagen
  • Ctrl 0 – Restablezca el nivel de zoom
  • Ctrl A – Seleccionar todos los hosts
  • Escape – Selección clara
  • Ctrl C - Organizar los hosts en un círculo
  • Ctrl S – Organizar los hosts en una pila
  • Ctrl H – Organizar los hosts en una jerarquía. Esto sólo funciona cuando un pivote está configurado.
  • Ctrl P – Hosts de exportación en una imagen
Haciendo clic derecho en el área de objetivos sin anfitriones seleccionados para configurar el diseño y el zoom a nivel de la zona de objetivos.

3.4 Vista Tabla de Objetivos

Si usted tiene muchos hosts, la vista gráfica se convierte en algo difícil de trabajar. Por esta situación Armitage tiene una vista de tabla. Ir a Armitage -> Set Target View -> Table View para cambiar a este modo, Armitage recordará su preferencia.

Armitage en espanol 3 Manual de Armitage en Español 

Haga clic en cualquiera de los encabezados de la tabla para ordenar los hosts. Resalte una fila y haga clic en él para abrir un menú con opciones para ese host.
Armitage hará la letra en negrilla de la dirección IP de cualquier máquina con las sesiones. Si un pivote está en uso, Armitage hará que se ponga en negrilla también.

3.5 Tabs

Armitage abre cada diálogo, de la consola, y una pestaña debajo del panel módulos y objetivos. Haga clic en la X botón para cerrar una pestaña.
Es posible hacer clic derecho en el botón  X  para abrir una pestaña en una ventana, tomar una captura de pantalla, o cerrar todas las pestañas con el mismo nombre.

Armitage en espanol 4 Manual de Armitage en Español

También puedes mantener pulsado SHIFT y hacer clic en X para cerrar todas las pestañas con el mismo nombre. Mantenga Mayús + Control y haga clic en X para abrir la tab en su propia ventana.
También puedes arrastrar y soltar las pestañas para cambiar su orden.

Armitage ofrece varios métodos abreviados de teclado para hacer que su experiencia de gestión sea lo más agradable posible. Utilizando Ctrl + T  tomara una captura de pantalla de la pestaña activa.
Utilizando Ctrl + D se cerrara la pestaña activa. Con los comandos Ctrl + Izquierda y Ctrl + Derecha se cambiara rápidamente las pestañas. Y con Ctrl + W se abrirá la pestaña actual en la propia ventana.

3.6 Consolas

Metasploit Shell y Meterpreter. Cada consola usa una pestaña para la interfaz de consola. La consola nos permite interactuar con estas interfaces a través de Armitage.

La pestaña de la consola crea un seguimiento del historial de comandos, utilizando la flecha hacia arriba se puede desplazar por los comandos previamente tecleados y con la flecha hacia abajo se mueve de nuevo a la última orden que se ha escrito.

En la consola de Metasploit, podemos usar la tecla Tab para completar los comandos y parámetros.  Funciona igual que la consola de Metasploit fuera de Armitage.

Usando Ctrl + Más haremos que el tamaño de la fuente se vea más grande en la consola, Ctrl + Menos para hacerla más pequeña, y con  Ctrl + 0 se restablecerá. Este cambio es local a sólo la consola actual. Visita Armitage -> Preferences para cambiar permanentemente la fuente.
Presionando Ctrl + F saldrá un panel que nos permitirá buscar texto dentro de la consola.
Presionando Ctrl + A podemos seleccionar todo el texto en el búfer de la consola.

Armitage envía un comando use o un set payload  si hace clic en un módulo o el nombre de un payload en la consola.

Para abrir una consola debes ir a View -> Console o presione Ctrl + N.
En MacOS X y Windows, se debe hacer clic en el cuadro de edición en la parte inferior de la consola para escribir. Linux no tiene este problema. Recuerde siempre, la mejor experiencia de Armitage es en Linux.
La consola Armitage utiliza el color para llamar su atención sobre cierta información. Para desactivar los colores, ajustar la preferencia  console.show_colors.boolean a falso. También puede editar los colores a través de Armitage ->Preferences . Aquí está la paleta de colores Armitage y la preferencia asociado a cada color:

Armitage en espanol 5 Manual de Armitage en Español 

3.7 Inicio de sesión

Armitage registra todo, la consola y la salida de registro de eventos para nosotros. Armitage organiza estos registros de manera ordenada por fecha y Host. Podemos encontrará estos registros en la carpeta ~ / .armitage. Ir a View ->Peporting-> Acitivity Logs para abrir esta carpeta.

Armitage también guarda las copias de las capturas y las capturas de la cámara web en esta carpeta.
Cambie la llave de preferencia armitage.log_everything.boolean  a falso para desactivar esta función.
Edite el armitage.log_data_here.folder para establecer la carpeta donde Armitage debe registrar todo.

3.8 Exportar datos

Armitage y Metasploit comparten una base de datos para el seguimiento de sus host, los servicios, las vulnerabilidades, credenciales, botines y las cadenas de user-agent capturados por el navegador de exploits.

Para obtener estos datos, vamos a View -> Peporting -> Export Data. Esta opción exporta datos de Metasploit y crear archivos fácilmente analizables XML separados por tab (TSV)

4.0 Gestión de Host

4.1 Gestión Host

Armitage muestra los hosts gráficamente y en vista de tablas. El icono del host indica el sistema operativo en el host en el momento. Esta información es tomada de la base de datos.

Para cambiar el icono de sistema operativo que se muestra para un host, seleccione el host, haga clic en, Host -> Operating System. Elija el sistema operativo correcto para el host.

Puede adjuntar también una etiqueta para los hosts. Seleccione el host, haga clic e ir a Host -> Set Label…. Las etiquetas son notas especificadas por el usuario.  Armitage almacena las etiquetas en la base de datos, las etiquetas son visibles tanto en el gráfico como en la vista de tabla. Las etiquetas se muestran a todos los miembros del equipo. Es posible utilizar las etiquetas para rastrear pequeñas notas y coordinar acciones.

Para eliminar un host, seleccione el host, haciendo clic en  Host -> Remove Host. Esto eliminará el host de la base de datos.

4.2 Espacios de trabajo dinámicos

La función de los espacios de trabajo dinámico de Armitage permite crear vistas en la base de datos de hosts y rápidamente cambiar entre ellos. Utilizando Workspaces -> Manage para gestionar sus espacios de trabajo dinámicos  aquí se puede agregar, editar y eliminar espacios de trabajo que se creen.

Armitage en espanol 6 Manual de Armitage en Español 

Para crear un nuevo espacio de trabajo dinámico, pulse Add. Verá el siguiente cuadro de diálogo:

Armitage en espanol 7 Manual de Armitage en Español 

Dale a tu espacio de trabajo dinámico un Name (nombre). No importa cómo lo llames. Esta decisión es personal.

Si desea limitar su espacio de trabajo a los Hosts de una determinada red, escriba un rango de red en el campo Hosts (dispositivos). Una descripción de la red podría ser: 10.10.0.0/16 para mostrar hosts entre 10.10.0.0-10.10.255.255. Para varias reds o rangos separar con una coma y un espacio.
Usted puede engañar con las descripciones de la red un poco. Si escribe: 192.168.95.0, Armitage asumirá quieres decir 192.168.95.0-255. Si escribe: 192.168.0.0, Armitage asumirá quieres decir 192.168.0.0-192.168.255.255.
Rellene el campo Ports (puertos)  para incluir hosts con ciertos servicios. Para múltiples puertos separarlos utilizando una coma y un espacio.

Usa el campo de OS (sistema operativo) para especificar qué sistema operativo desea ver en este espacio de trabajo. Puede escribir un nombre parcial, como Windows. Armitage sólo incluirá los hosts cuyo nombre incluye el nombre del sistema operativo parcial. Este valor no distingue entre mayúsculas y minúsculas. Para sistemas operativos múltiples separados con una coma y un espacio.

Usa el campo Labels (etiquetas) para mostrar los hosts con las etiquetas que usted especifique. Armitage trata cada palabra en una etiqueta de acogida como una etiqueta independiente, puede especificar cualquiera de estas etiquetas aquí. Por ejemplo, si el host 10.10.10.3 tiene la etiqueta “corp dc”, un espacio de trabajo definido para mostrar las etiquetas “dc” o “corp” incluidas en este host. Para múltiples etiquetas separa con una coma y un espacio.
Seleccione Hosts con sesiones en línea para incluir sólo los hosts con sesiones en este espacio de trabajo dinámico.

Usted puede especificar cualquier combinación de estos elementos al crear su espacio de trabajo dinámico.

Cada espacio de trabajo tendrá un elemento en el menú Workspaces. Usando estos elementos de menú para cambiar entre espacios de trabajo, también puede usar comandos desde  Ctrl + 1 hasta Ctrl + 9 para cambiar entre sus primeros nueve áreas de trabajo.

Usando Workspaces -> Show All o Ctrl + Backspace  para mostrar toda la base de datos.
Armitage sólo mostrará 512 hosts en un momento dado, no importa cuántos hosts están en la base de datos. Si usted tiene miles de hosts, utilice esta función para segmentar a sus anfitriones en conjuntos de objetivos útiles.

4.3 Importación de los Hosts

Para agregar información de un host a Metasploit, es posible importarlo. En  Hosts-> Import Hosts  en el menú, aceptamos los siguientes archivos:
  • Acunetix XML
  • Amap Log
  • Amap Log -m
  • XML Appscan
  • Burp Session XML
  • Foundstone XML
  • IP360 ASPL
  • IP360 v3 XML
  • Microsoft Baseline Security Analyzer
  • Nessus NBE
  • XML Nessus (v1 y v2)
  • NetSparker XML
  • NeXpose Simple XML
  • NeXpose Report XML
  • Nmap XML
  • OpenVAS Report
  • Qualys Activos XML
  • Qualys Scan XML
  • Retina XML
Tambien puede agregar manualmente los Hosts con Hosts -> Add Hosts

4.4 Nmap Scans

También puede lanzar un escaneo de Nmap desde Armitage y automáticamente importar los resultados en Metasploit. Ir a Hosts -> Nmap Scan este menú tiene varias opciones de análisis.
Opcionalmente, puede escribir db_Nmap en una consola para lanzar Nmap con las opciones que elija.

Nmap NO utiliza los pívots que tenemos pconfigurados.

4.5 MSF Scans

Armitage agrupa varios paquetes de Metasploit en una característica llamada MSF Scans. Esta función buscará un conjunto de puertos abiertos y a continuación, enumera varios servicios comunes utilizando módulos auxiliares de Metasploit construidos para este propósito.
Resaltando uno o más hosts, haga clic derecho y luego clic en Scan para iniciar esta función, también puede ir a Hosts -> MSF Scans para poner en marcha el mismo proceso.

Estos escáneres SI funcionan a través de un pivote y contra IPv6 también. Estas escaneos no tratan de descubrir si un host está vivo antes de escanear, para ahorrar tiempo, se debe hacer el descubrimiento de hosts en primer lugar (por ejemplo, escanear un ARP, ping barrido, o enumeración DNS) y luego poner en marcha estas escaneos para enumerar los hosts descubiertos.

4.6 Enumeración DNS

Otra opción para el descubrimiento de hosts es enumerar un servidor DNS. Ir a los Hosts-> DNS Enum para hacer esto. Armitage presentará un cuadro de diálogo con un módulo lanzador con varias opciones se tendrá que ajustar la opción DOMAIN  para el dominio que desea enumerar. También es posible que desee establecer NS (Name Server) a la dirección IP del servidor DNS que está enumerando.

Si usted está atacando a una red IPv6, enumeración DNS es una opción para descubrir los hosts de IPv6 en la red.

4.7 Mantenimiento Base de Datos

Los Logs de Metasploit se almacenan en una base de datos. Esto con el tiempo se convertirá en una base de datos llena de registros y si se tiene un problema de rendimiento con Armitage, es ideal tratar de limpiar la base de datos. Para ello, vaya a Hosts -> Clear Database.

5.0 Explotación

5.1 Exploits remotos

Antes de querer atacar, debemos elegir el arma. Armitage hace que este proceso sea fácil. Ir a  Attacks ->Find Attacks para generar un menú de ataque personalizado para cada Host.
Para explotar un host: damos clic derecho, y clic en Attack  y se elija un exploit. Para mostrar los ataques de la derecha, asegúrese de que el sistema operativo está configurado para el host.
El menú de ataque se limita a los exploits que cumplan un mínimo rango de explotación great. Algunas exploits útiles se clasifican good y no se van a mostrar en el menú de ataque. Estos se pueden iniciar usando navegador del módulo.

Ir a Armitage -> Set Exploit Rank para cambiar el rango mínimo de explotación.
Opcionalmente, si desea ver los hosts que son vulnerables a un determinado exploit, vaya al exploit en el módulo del navegador. Haga clic derecho en el módulo y seleccione Relevant Targets. Armitage creará un espacio de trabajo dinámico que muestra los hosts que coinciden con el exploit, seleccione todos los hosts y haga doble clic en el módulo de explotar para atacarlos a la vez.

5.2 Que exploit?            

Aprender que exploit se debes de usar se aprende con la experiencia. Algunas exploits en Metasploit implementan una función de comprobación,  estas funciones de verificación se conectan a un host y comprueban si el exploit se aplica. Armitage puede utilizar estas funciones de comprobación para ayudarle a elegir que exploit usar cuando hay muchas opciones. Por ejemplo, los objetivos de escucha en el puerto 80 se mostrarán varios exploits de aplicaciones Web ir a Find Attacks. Haga clic en Check exploits … menú para ejecutar el comando de comprobación contra cada uno de ellos. Una vez que todos los controles estén completos, pulse Ctrl + F y buscar por vulnerable . Esto le llevará directamente al exploit.


Armitage en espanol 8 Manual de Armitage en Español 

Haciendo clic en un Host y seleccionando Services es otra manera de encontrar un exploit. Si usted tiene resultados del análisis Nmap, mirar el campo de la información para adivinar el software que está en uso en el servidor, usando el navegador para buscar cualquier módulo de Metasploit relacionados con ese software. Un módulo puede ayudar a encontrar la información requerida por otro exploit. Apache Tomcat es un ejemplo de esto, el tomcat_mgr_login módulo buscará un nombre de usuario y una contraseña que puede utilizar. Una vez que tenga esto, se pondrá en marcha el tomcat_mgr_deploy explotándolo para obtener una shell en el host.

5.3 Lanzando Exploits

Armitage utiliza este diálogo para lanzar exploits:

Armitage en espanol 9 Manual de Armitage en Español 

El exploit lanza un cuadro de diálogo que permite configurar las opciones para un módulo y elegir si desea utilizar una payload de conexión inversa.

Armitage presenta una tabla de opciones, haciendo doble clic en el valor para editarlo. Si una opción requiere un nombre de archivo, haciendo doble clic en la opción se abre un cuadro de diálogo de selección de archivos, también puede ir a Show advanced options para ver y configurar las opciones avanzadas.

Si se ve ALGO como esto ✚ en una tabla, significa que podemos hacer doble clic en ese tema para lanzar un diálogo y ayudarle a configurar su valor. Esta Convención se aplica al módulo lanzado y preferencias del cuadro de diálogo.
Algunas pruebas de penetración organizan sus metas en archivos de texto para que sean más fáciles de rastrear. Armitage puede hacer uso de estos archivos también, dando doble clic en RHOST ✚ y seleccione el archivo de objetivos. El archivo debe contener una dirección IP por línea, esta es una manera fácil de lanzar un ataque o acción en contra de todos esos hosts.
Para exploits remotos, Armitage elige el payload por usted, por lo general, Armitage usará Meterpreter para objetivos Windows y un payload de shell de comandos para objetivos UNIX.
Hacemos clic en Launch para ejecutar el exploit, si el exploit tiene éxito, Armitage hará que el host comprometido aparezca en rojo y con relámpagos, Metasploit también imprimirá un mensaje a cualquier consola abierta.

5.4 Explotación automática

Si la explotación manual falla, se tiene la opción de Hail mary, en el menú Attacks -> Hail Mary donde es lanzada la función que se caracteriza por ser un db_autopwn inteligente, se encuentra exploits pertinentes a sus objetivos además filtra los exploits utilizando información conocida, y luego las clasifica en un orden óptimo.
Esta característica no se encuentra en cada posible consola, pero es una buena opción si no se sabe qué más probar.

5.5 Exploits del lado del cliente

A través de Armitage, se puede utilizar exploits del lado del cliente de Metasploit. Un ataque del lado del cliente, es el que ataca a una aplicación y no un servicio remoto. Si usted no puede conseguir explotar un control remoto para realizar el trabajo, tendrá que usar un ataque del lado del cliente.
Utilizando el módulo navegador para encontrar y lanzar exploits del lado del cliente. Búsque por fileformat para encontrar exploits que se disparan cuando un usuario abre un archivo malicioso.

5.6 Exploits del lado del cliente y payloads

Si se inicia un exploit del lado del cliente, se tiene la opción de personalizar el payload que va con él,  Armitage recoge configuraciones normales por nosotros.

En una prueba de penetración, por lo general es fácil de conseguir que alguien ejecute el paquete malvado, la parte difícil es conseguir que los dispositivos de red finales limiten el tráfico de salida. Para estas situaciones, es útil saber acerca de las opciones de comunicación de la payloads del Meterpreter. Hay payloads que hablan HTTP, HTTPS, e incluso se comunican a los hosts por IPv6, estas payloads son los que te dan opciones en una situación de difícil salida.
Para establecer el payload, haga doble clic en PAYLOAD en la columna de la opción del módulo lanzador, se abrirá un cuadro de diálogo que le pedirá que elija un payload.

Señale una payload y haga clic en Select . Armitage actualizará el PAYLOADDisablePayloadHandler, ExitOnSession, LHOST, y LPORT .La idea es editar estos valores como mejor convenga.

Armitage en espanol 10 Manual de Armitage en Español

Si selecciona la opción Start a handler for this payload, Armitage establecerá las opciones de payload para poner en marcha un manejador de payload cuando el exploit sea lanzado, si no selecciono este valor, se creara un multi / handler para la payload.

5.7 Los manejadores de payloads

Un manejador de payload es un servidor que se ejecuta en Metasploit. Su trabajo consiste en esperar a que un payload se conecte a su Metasploit y establezca una sesión.

Para iniciar rápidamente un controlador de carga, vaya a Armitage -> Listeners. Un oyente a ciegas intenta conectarse a una payload con puerto a la escucha, un oyente inverso espera a que el payload se conecte a usted.

Se puede configurar los oyentes de shell para recibir conexiones de netcat.
Ir a View -> Jobs para ver qué manejadores se están ejecutando.

5.8 Generar un payload

Los exploits son buenos, pero no ignoren las cosas simples, si usted puede conseguir el objetivo para ejecutar un programa, entonces todo lo que necesita es un ejecutable. Armitage puede generar un ejecutable de cualquiera de los payloads de Metasploit, elije un payload en el módulo navegador, haga doble clic en él, seleccione el tipo de salida, y configurar sus opciones. Una vez que haga clic en Launch, un cuadro diálogo le preguntará dónde desea guardar el archivo.

Armitage en espanol 11 Manual de Armitage en Español 

Para crear un troyano binario para Windows, establezca el tipo de salida a exe . Ajuste la plantilla de opción a un ejecutable de Windows. Establecer KeepTemplateWorking si desea ejecutar la plantilla para seguir trabajando con normalidad, y asegúrese de probar el binario resultante.
Recuerde, que si usted tiene una payload, es necesario tener un manejador. Utilice el multi/handler de salida para crear un controlador que espera a el payload para conectar. Esta opción ofrece más flexibilidad y opciones de payloads en el menú Armitage -> Listeners .

Si va a iniciar un manejador y luego generar un payload, aquí va un consejo que le ahorrará algo de tiempo. En primer lugar, configure un multi / handler como se describe. Mantenga pulsada la tecla Shift al hacer clic en Launch. Esto le dirá Armitage que mantenga el diálogo de lanzamiento abierto. Una vez que se inicia el controlador, cambiar el tipo de salida al valor deseado, y haga clic en Iniciar de nuevo. Esto generará el payload con los mismos valores utilizados para crear el Multi / handler.

6.0 Post-Explotación

6.1 Gestión de Sesiones

Armitage hace que sea fácil de administrar el agente meterpreter una vez de explotar con éxito el host, los hosts que ejecutan un payload meterpreter tendrán un  menú Meterpreter N para cada sesión Meterpreter.

Armitage en espanol 12 Manual de Armitage en Español 

Si usted tiene acceso a una consola a un host, verá un menú Shell N para cada sesión de Shell, haciendo clic derecho en el host para acceder a este menú, si tiene una sesión de shell de Windows, es posible que vaya a Shell N ->Meterpreter … para actualizar la sesión para una sesión Meterpreter. Si usted tiene un shell de UNIX, vaya a Shell N ->Upload para subir un archivo al UNIX usando el comando printf.

También puede presionar Ctrl + I para seleccionar la sesión e interactuar.

6.2 Escalando Privilegios

Algunos exploits resultan en el acceso administrativo al sistema principal, otras veces, es necesario escalar privilegios a ti mismo. Para ello, utilice el menú Meterpreter N -> Acceso -> Escalate Privileges. Esto pondrá de relieve los módulos de escalada de privilegios en el módulo navegador.
Pruebe el modulo getsystem  contra hosts Windows XP / 2003.

6.3 Robar Token

Otra opción de una escalada de privilegios es el robo de token. Cuando un usuario inicia sesión en un host de Windows, se genera una señal y actúa como una cookie temporal para guardar el usuario esto evita la molestia de volver a escribir su contraseña cuando se trata de acceder a diferentes recursos. Token persisten hasta que se reinicie. Usted puede robar este token para asumir los derechos de ese usuario.

Para ver qué tokens están disponibles para usted, vaya a Meterpreter N -> Acces -> Steal Token. Armitage presentará una lista de tokens para usted, haciendo clic Steal Token para robar uno.
Si desea volver a su token original, pulse Revert to Self. El botón Get UID muestra su ID de usuario actual.

6.4 Pasando Sesión

Una vez de explotado un host, duplicar su acceso debe ser una prioridad. Meterpreter N -> Access -> Pass Session inyectará meterpreter en memoria y podrá ser ejecutado por usted, por defecto esta opción está configurado para llamar de nuevo a Meterpreter oyente de Armitage. Simplemente haga clic en Launch .

También puede utilizar Pass session para enviar meterpreter a un amigo, estableciendo LPORT y LHOST a los valores de su Meterpreter múlti / handler.
Si tu amigo usa Armitage, tendrás que escribir set en la consola e informar el  LHOST y LPORT valores de usted. Estos son los valores por defecto para su oyente Meterpreter.

6.5 Navegador de Archivos

Meterpreter te da varias opciones para explorar un host una vez que haya explotado. Uno de ellos es el explorador de archivos, esta herramienta le permitirá cargar, descargar y borrar archivos. Visita Meterpreter N ->Explore -> Browse Files para acceder al explorador de archivos.
Haga clic derecho en un archivo para descargar o eliminarlo. Si desea eliminar un directorio, asegúrese de que está vacío en primer lugar.

Usted puede descargar carpetas enteras o archivos individuales. Ir a View -> Downloads para acceder a los archivos descargados.

Si tiene privilegios de sistema, es posible modificar las marcas de tiempo de archivos utilizando el Explorador de archivos, Haga clic derecho en un archivo o directorio y vaya al menú Timestomp. Este cuenta con herramientas como portapapeles, utilizando Get MACE Values  para capturar las marcas de tiempo del archivo actual, haciendo clic en otro archivo y utilizando Set MACE Values para actualizar las marcas de tiempo de ese archivo.

6.6 shell de comandos

Se puede llegar a un shell de comandos de un host a través de Meterpreter N -> Interact -> Command Shell. La Shell de Meterpreter también está disponible bajo el mismo menú principal.

(Navegando al menú Meterpreter N  para cada acción e ir rápidamente, haciendo clic derecho dentro de la ventana de la consola Meterpreter para ver los menús Meterpreter N elementos de inmediato.)

Cierre la pestaña shell de comandos para matar el proceso asociado con el shell de comandos.

6.7 VNC

Para interactuar con una computadora de escritorio en un host de destino, podemos ir a Meterpreter N -> Interact ->Descktop (VNC). Esto pondrá en escena un servidor VNC en la memoria del proceso actual y el túnel de la conexión a través de Meterpreter, Armitage nos proporcionará los detalles para conectar un cliente local VNC al objetivo.

6.8 Imágenes y Webcam espionaje

Para tomar una captura de pantalla se usa Meterpreter N -> Explore -> Screenshot. Hay una opción Webcam Shot en el mismo lugar. Esta opción toma una trama desde la webcam del usuario.
Dando clic derecho en una imagen de pantalla o en la webcam cambiara el zoom para la pestaña. Esta preferencia de zoom se mantendrá, incluso si actualiza la imagen, dando clic en Refresh para actualizar la pantalla o tomar otra trama de la cámara web,  dando clic en Watch (10s) para tomar de forma automática una imagen cada diez segundos.

6.9 Manejo de procesos y Key Logging

Vamos  Meterpreter N -> Explore -> Show Processes para ver una lista de los procesos en el host víctima, podemos usar Kill para matar los procesos señalados.

Meterpreter se ejecuta en la memoria, pero es posible mover Meterpreter desde un proceso a otro, esto se conoce como migración, señalando un proceso y dando clic en  Migrate para migrar a otro proceso, la sesión tendrá los permisos de ese proceso.

En un proceso, también es posible ver las pulsaciones de teclado desde el punto de vista de ese proceso, señale un proceso y haga clic en Log KeysTrokes para lanzar un módulo que migra meterpreter y comienza a capturar las pulsaciones, si se inicia la sesión clave de explorer.exe podrás ver todas las claves de los tipos de usuario en su escritorio.

Si decide migrar un proceso con el fin de autenticar la llave, se debe duplicar la sesión primero, si el proceso Meterpreter vive y se cierra, su sesión desaparecerá.

6.10 Módulos de post-explotación

Metasploit tiene varios módulos de post-explotación también, navegar por el post de la rama en el módulo navegador, haciendo doble clic en un módulo, Armitage se mostrará un cuadro de diálogo de lanzamiento. Armitage poblará el módulo SESSION variando si se señala un host comprometido, cada módulo de post-explotación se ejecutará en su propia pestaña y presentara su producción allí.

Para averiguar qué post-módulos se aplican para una sesión: hacemos clic derecho en un host comprometido y vamos a Meterpreter N -> Explore -> Post Modules o Shell N -> Post Modules,  Al hacer clic en esta opción de menú se mostrará todos los post-módulos aplicables en el módulo navegador.

Metasploit guarda los datos posteriores a la explotación en una base de datos de Botín. Para ver esta información vaya a View -> Loot.

Es posible destacar varios hosts y Armitage intentará ejecutar el módulo de post seleccionado contra todos ellos, Armitage se abrirá una nueva pestaña para la salida del módulo posterior de cada sesión, esto puede conducir a una gran cantidad de tabs. Mantenga pulsada la tecla Mayús y haga clic en X en una de las pestañas para cerrar todas las pestañas con el mismo nombre.

7.0 Maniobrar

7.1 pivoting

Metasploit puede lanzar ataques desde un host comprometido y recibir sesiones en el mismo host. Esta capacidad se denomina pivoting.

Para crear un pivot, vamos a Meterpreter N -> Pivoting -> Setup en  un cuadro de diálogo nos pedirá que elija cual subred se desea hacer pivot a través de la sesión.

Una vez que hayamos configurado el pivot, Armitage dibujará una línea verde desde el host de pivot a todos los objetivos alcanzables por el pivote que ha creado. La línea se convertirá en verde brillante cuando el pivote está en uso.

Para utilizar un pivot a un host con una conexión inversa, ajustamos la opción LHOST  en el diálogo de lanzamiento de exploit a la dirección IP del host de pivot.

7.2 Escaneando y Herramientas externas

Una vez que tenga acceso a un host, que es bueno para explorar y ver qué más hay en la misma red,  si se ha configurado pivoting, Metasploit elige a voluntad propia un túnel de conexión TCP al host pivot, estas conexiones deben venir de Metasploit.

Para encontrar los hosts de la misma red que un host comprometido, hacemos clic en el host comprometido y vamos a Meterpreter N -> ARP Scan o Ping Sweep. Esto le mostrará qué hosts están vivos, selecciona los hosts que aparecen, haciendo clic derecho y seleccione Scan para escanear los hosts usando la función de escaneo de MSF de Armitage. Estos escaneos harán honor al pivote configurado.

Herramientas externas (por ejemplo, Nmap) no usarán los pivotes que han sido configurados, sin embargo se puede utilizar sus pívots con herramientas externas a través de un proxy SOCKS. Ir a Armitage -> SOCKS Proxy… para iniciar el servidor proxy SOCKS.

El servidor proxy SOCKS4 es una de las características más útiles de Metasploit, iniciando esta opción se puede configurar su navegador web para conectarse a sitios web a través de Metasploit. Esto le permite navegar por los sitios internos en una red como si estuvieras local, también puede configurar proxychains en Linux para utilizar casi cualquier programa a través de un pivot proxy.

7.3 hashes de contraseñas

Para recolectar los hashes de contraseñas de Windows, vamos a Meterpreter N -> Access -> Dump Hashes. Es necesario tener privilegios de administrador para hacer esto.
Hay dos opciones de hash dumping. Uno de ellos es el método lsass y el otro es el método de registro. El método lsass intenta agarrar los hashes de contraseñas de la memoria, esta opción funciona bien en contra de Windows XP / 2003 los hosts de esa época. El método de registro funciona bien en contra de los sistemas modernos de Windows.

Usted puede ver los hashes recogidos a través de View -> Credentials para realizar el crackeo posteriormente, el botón Export en esta tab exportará las credenciales en formato pwdump, también puede utilizar el botón Crack Passwords  para ejecutar John the Ripper contra los hashes en la base de datos de las credenciales.

7.4 Pasar-el-Hash

Cuando inicia sesión en un host de Windows, la contraseña es convertida en un hash y se compara con un hash almacenado de la misma contraseña, si coinciden, se iniciara sesión. Cuando se intenta acceder a un recurso en el mismo dominio de Windows, el hash almacenado se envía al otro host y se utiliza para autenticarlo, con el acceso a estos hashes, se puede utilizar este mecanismo para hacerse cargo de otros hosts en el mismo dominio, esto se conoce como un ataque de pase-el-hash.
Usando Login -> psexec podemos intentar un ataque pase-el-hash contra otro host de Windows. Haga clic Check all Credentials,  Armitage probara todos los hashes y credenciales contra el host.

El ataque pase-el-hash intenta cargar un archivo y crear un servicio que se ejecuta inmediatamente, solamente los usuarios administradores pueden hacer esto, además, sus objetivos deben estar en el mismo dominio de Active Directory para que este ataque funcione.

7.5 Uso de Verificación de Poderes

Armitage creará un  menú Login  en cada host con servicios conocidos, haciendo clic derecho en un host y yendo a  Login -> servicioesto nos abrirá un cuadro de diálogo en el que podemos elegir un nombre de usuario y la contraseña de las credenciales conocidos por Metasploit.

Algunos de los servicios (por ejemplo, telnet y ssh) nos darán una sesión cuando el inicio de sesión haya sido éxito, hay otros que no lo harán.

Compruebe la prueba opción Try all credentials  y Metasploit iniciara una sesión para el servicio con cada una de las credenciales conocidas. Metasploit añade automáticamente cada inicio de sesión con éxito a la tabla de credenciales.

La mejor manera de ingresar en una red es a través de credenciales válidas. Recuerde que una combinación exitosa de nombre de usuario / contraseña de un servicio puede darle acceso a otro host que no se podía explotar.

7.6 Contraseña por Fuerza Bruta

Metasploit puede intentar adivinar un nombre de usuario y la contraseña de un servicio para nosotros, esta capacidad es fácil de usar a través del módulo navegador.

Metasploit soporta ataques de fuerza bruta a través de los módulos auxiliares llamados service_login. Tipo login de sesión en el módulo navegador para la búsqueda de ellos.
Para la fuerza bruta de un nombre de usuario y contraseña a través de SSH, vamos al panel de módulos auxiliary/scanner/ssh/ssh_login y hacemos doble clic en él.

Si conoce el nombre de usuario, establézcalo en la variable USERNAME, si quiere que Metasploit haga brute force al nombre de usuario, seleccione un valor para USER_FILE haciendo doble clic en la variable USER_FILE  para abrir un selector de archivos, donde podamos seleccionar un archivo de texto que contiene una lista de nombres de usuario.

Metasploit tiene muchos archivos relacionados con brute force en el directorio [[metasploit install]/data/wordlists.

Ajustamos la variable PASS_FILE  a un archivo de texto que contiene una lista de contraseñas para probar.

Si sólo estás en línea haciendo brute forcé a un host y tienes una gran cantidad de nombres de usuario / contraseñas a probar, lo recomendable es usar una herramienta externa como Hydra, ya que Metasploit no hace varias conexiones en paralelo a un único host para acelerar el proceso. Esta elección puede tener un paso de más pero estaríamos usando la herramienta adecuada para este trabajo.

8.0 Equipo de Metasploit

8.1 Conexiones remotas

Podemos usar Armitage para conectarse a una instancia de Metasploit existente en otro host , trabajar con una instancia de Metasploit remoto es similar a trabajar con una instancia local. Algunas características de Armitage requieren leer y escribir el acceso a los archivos locales para poder trabajar. El servidor de equipo de Armitage añade estas características y hace posible para los clientes de Armitage utilizar Metasploit de forma remota.

Conectando de manera remota a Metasploit requiere iniciar un servidor y el servidor Metasploit RPC y el servidor de Armitage del equipo.

8.2 Configuración Metasploit Multi-Player

El paquete Armitage Linux  viene con un  teamServer script que podemos utilizar, para iniciar el demonio RPC de Metasploit y servidor de equipo de Armitage con un comando. Para ejecutarlo:

1
2
cd /path/to/armitage
./teamserver [external IP address] [password]
Nota: En Kali Linux, Armitage se instala en /usr/share/armitage

Este script asume que armitage.jar está en la carpeta actual. Asegurándonos de que la dirección IP externa es correcta (ya que Armitage no comprueba esto) y que nuestro equipo puede llegar al puerto 55553 del host atacante. Eso es todo.

Demonio RPC de Metasploit y el servidor de equipo Armitage no son programas de interfaz gráfica de usuario, estos se puede ejecutar a través de SSH.

El servidor de equipo de Armitage se comunica a través de SSL. Cuando se inicia el servidor de equipo, presentará un fingerprint del servidor, este es un hash SHA-1 del certificado SSL del servidor. Cuando los miembros de nuestro equipo se conecten, Armitage presentará el hash del certificado al servidor. Es necesario verificar que estos hashes coinciden.

No se conecte a 127.0.0.1 cuando un TeamServer se esté ejecutando. Armitage utiliza la conexión a la dirección IP para determinar si se debe utilizar SSL (TeamServer, dirección remota) o SSL (msfrpcd, localhost). Usted puede conectar Armitage a su TeamServer local, utilice la [dirección IP externa] en el campo Host.

Asegúrese de tener 1,5 GB de RAM en el servidor de equipo.

8.3 Multi-Player Metasploit

En el modo de colaboración en equipo de Armitage se añaden algunas nuevas características. Estas se describen a continuación:

View -> Event Log abre un registro de eventos compartido.  Usted puede escribir en este registro y comunicarse como si se utilizara una sala de chat IRC. En una prueba de penetración de este registro de eventos le ayudará a reconstruir los principales acontecimientos.

Armitage en espanol 13 Manual de Armitage en Español
Varios usuarios pueden utilizar cualquier sesión Meterpreter al mismo tiempo. Cada usuario puede abrir uno o más shells de comandos, buscar archivos, y tomar capturas de pantalla del host comprometido.

Las Sesiones shell Metasploit se bloquean y desbloquean cuando está en uso de forma automática. Si otro usuario está interactuando con una shell, Armitage le advertirá de que está en uso.

Algunos módulos Metasploit requieren especificar uno o más archivos, si una opción de archivo tiene un ✚ junto a él, entonces se podrá hacer doble clic en el nombre de la opción para elegir un archivo local a utilizar. Armitage subirá el archivo local elegido y establecerá la opción a su ubicación remota. Generalmente, Armitage hará todo lo posible para mover archivos entre el usuario y el servidor de Metasploit compartiendo para crear la ilusión de que está utilizando Metasploit localmente.

Pentesters han tenido característica inestimable. Imagínese que usted está trabajando en una prueba de penetración y se le cruza un sistema del cual no sabe mucho acerca de él. Puede llegar a su compañía y preguntar a un experto local para cargar Armitage y conectarse a la misma instancia de Metasploit. Tendrán acceso inmediato a los datos de escaneo y pueden interactuar con sus sesiones existentes… sin problemas. O, imagine que usted está simulando un ataque de phishing y se obtiene acceso a un host. Todo su equipo puede trabajar ahora en el mismo host. Una persona puede buscar datos, otro puede establecer un pivote y la búsqueda de hosts internos a los ataques, y otro puede trabajar en la persistencia. El cielo es el límite aquí.
Algunos comandos Meterpreter acortan la salida. Multi-player Armitage toma la salida inicial de un comando y lo entrega al cliente que envió el comando, la salida adicional se ignora (aunque el comando todavía se ejecute normalmente). Esta limitación afecta principalmente a largas secuencias de comandos Meterpreter en funcionamiento.

9.0 Scripting Armitage

9.1 Cortana

Armitage incluye Cortana , una tecnología de scripting desarrollado a través del ​​programa DARPA’s Cyber Fast Track +. Cortana, puede escribir los bots del equipo y extender Armitage con nuevas características, también puede hacer uso de scripts escritos por otros .

Cortana está basado en Sleep , una extensión del lenguaje Perl. Cortana scripts tienen un sufijo .cna
Leer el tutorial de Cortana para aprender más acerca de cómo desarrollar los robots y extender Armitage.

Armitage en espanol 14 Manual de Armitage en Español

9.2 Bots de búsqueda independiente

Una versión independiente de Cortana se distribuye con Armitage. Es posible conectar a Cortana intérprete autónomo a un servidor equipo Armitage.
Aquí hay una script Cortana helloworld.cna :

1
2
3
4
5
6
7
on ready{
println(“Hello world!”);
quit();
}

Para ejecutar este script, es necesario iniciar Cortana. En primer lugar, Cortana debe conectarse al servidor de equipo . Se requiere del servidor de equipo, ya que los robots de Cortana son otro miembro del equipo. Si desea conectar varios usuarios Metasploit, usted tiene que iniciar un servidor equipo.

A continuación, tendrá que crear un archivo Cortana por decir connect.prop  para conectarse al servidor de equipo e iniciar. He aquí un ejemplo connect.prop archivo:

1
2
3
4
5
host = 127.0.0.1
port = 55553
user = msf
pass = contraseña
nick = MyBot
Ahora, para poner en marcha tu bot:
1
2
cd /path/to/metasploit/msf3/data/armitage
java -jar cortana.jar connect.prop helloworld.cna

9.3 Gestión de Script

No se puede correr los bots Cortana stand-alone. Se puede cargar cualquier bot en Armitage directamente, cuando se carga un bot en Armitage que no es necesario para iniciar una TeamServer, Armitage es capaz de evitar conflictos de sus acciones de cualquier bots cargados por su cuenta.
Cortana también puede utilizar scripts para extender Armitage y añadir nuevas funciones.  los scripts Cortana pueden definir atajos de teclado, menús de inserción en Armitage, y crear interfaces de usuario sencillas.

Para cargar una secuencia de comandos en Armitage, vaya a Armitage -> Scripts. Pulse Load y seleccione el script que desea cargar, los scripts cargados de esta manera estarán disponibles cada vez que se inicia Armitage.

La salida generada por los bots y los comandos de Cortana están disponibles en la consola de Cortana. Podemos verlo en View ->Script Console.

9.4 Recursos

Cortana es un ambiente con todas las funciones para el desarrollo en equipo bots y extendible a Armitage, si desea obtener más información, echa un vistazo a los siguientes enlaces:


viernes, 21 de noviembre de 2014

JQuery Validation: Un bug XSS en la demo de validación

JQuery Validation es un plugin que permite validar el contenido de los formularios. Para que la gente aprenda a utilizarlos, las librerías se distribuyen con un conjunto de pequeñas pruebas de concepto que enseñan a utilizar las diferentes opciones de validación. Pues bien, si no parcheas JQuery Validation o eliminas esas demos, estás poniendo en riesgo la seguridad de tu plataforma, ya que tiene un XSS reflejado en una de ellas, tal y como se puede ver en la este artículo.

Figura 1: Elimina el XSS de la demo de JQuery Validation

Las demos de las librerías se encuentran dentro de una carpeta llamada demo de la ruta de instalación de JQuery Validation. Es fácil localizar sitios en Internet con este componente, ya que la ruta de la web suele ser jquery-validation más la versión concreta de las librerías.

Figura 2: Demos en una instalación de JQuery Validation

Dentro de esas demos, hay unas para validación por AJAX de los valores del captchaque puedes encontrar dentro de la ruta %jquery-validation-path%/demo/captcha/index.php. Al invocar esa URL en un sitio con las demos del componetne activadas aparecerá este pequeño formulario.

Figura 3: Demo de validación de Captcha por AJAX en JQuery Validation

Pues bien, el investigador Sijmen Ruwhof ha publicado que en ese fichero exacto hay un bug de XSS reflejado que hace años que no querían arreglar en el proyecto, pero por suerte, después del ruido generado con su publicación han arreglado. El bug se encuentra en la generación de un enlace que utiliza la ruta que del fichero.

Figura 4: Código vulnerable en la demo

Un atacante puede inyectar algo tan sencillo como cerrar el hipervínculo y abrir una sección de código Script para lanzar cualquier código.
Figura 5: En amarillo la inyección necesaria en el exploit

Cuando se crea el enlace en la respuesta se ejecuta el Script al quedar el código como sigue.

Figura 6: Código resultante con ejecución de script
Al final, el tener los ficheros de demo publicados en una web en producción es el fallo de seguridad en sí, y deberías simplemente quitarlos. Si no lo quitas, puedes actualizar el componente que el desarrollador del plugin JQuery Validation ya lo ha arreglado. Él no fue quién introdujo el bug, sino el creador de la demostración pero si tienes este fichero sin parchear alguien podría hacer un ataque de hijacking para robar las cookies de la sesión de usuario.

Figura 7: Explotación de bug de XSS Reflejado en demo de JQuery Validation

Por supuesto, si las cookies de sesión de tu web están bien definidas con valoresHTTP-OnlySecure, con la zona de aplicación restringida a los directorios concretos y no para todo el sitio, si tienes correctamente forzado el uso de filtros Anti-XSS en las variables de X-XSS-Protection y/o has configurado unas Content Security Policiespara evitar la inserción en medio del código de comandos Script, entonces el impacto sería menor. En cualquier caso, tengas el framework que tengas, si usasJQuery Validation mi recomendación es que actualices a la última versión y luego quites todas las demos.