Automatiserad aktiv penetrationstest med Metasploit via webbplatser

Relevanta dokument
Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Instruktion för installation av etikettskrivare 2.27

Kom igång med Etikettskrivaren 1. Ladda ner följande installationsprogram Ladda ner Drivrutiner för etikettskrivare Zebra

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Instruktion för installation av etikettskrivare 2.31

Vid problem med programmet kontakta alltid C/W Cadware AB på telefon

Compose Connect. Hosted Exchange

Installera SoS2000. Kapitel 2 Installation Innehåll

Innehåll. Dokumentet gäller från och med version

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

LABORATION 1 Pingpong och Installation av Server 2008 R2

Flytt av. Vitec Mäklarsystem

Skapa din egen MediaWiki

Dokumentation för VLDIT AB. Online classroom

F Secure Booster är ett verktyg för att snabba upp och städa upp i din pc eller

Innan installationen behöver dessa tre steg genomföras. Efter installationen kan de aktiveras igen.

Antivirus Pro Snabbguide

Kompletterande instruktioner för installation och konfiguration av HMS-server för koppling mot KONTAKT

Uppdatering till Windows 8.1 steg för steg-guide

Uppdatering till Windows 8.1 steg för steg-guide

8 Bilaga: Installationer

Installationsguide ELCAD 7.10

Installationsguiden startar med en välkomstdialog antingen för produkten eller för nödvändiga komponenter om de saknas på datorn.

Norman Endpoint Protection (NPRO) installationsguide

Introduktion till programmering, hösten 2011

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Installation och konfiguration av klientprogramvara 2c8 Modeling Tool

Felsökningsguide för Asgari-kameror

Myndigheten för samhällsskydd och beredskap 1 (10) Datum Installationsguide ROPA

Installationsguiden startar med en välkomstdialog antingen för produkten eller för nödvändiga komponenter om aktuella komponenter saknas på datorn.

Skapa ett eget programnu! NU! Komplett med programvara och konkreta exempel! Patrice Pelland. Swedish Language Edition published by Docendo Sverige AB

JobOffice SQL databas på server

Om integritet och sekretess på nätet. Stefan Ternvald, SeniorNet Lidingö,

Sharpdesk V3.3. Installationsguide Version

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB

Priskamp. En prisjämförelsesite Björn Larsson

Installationsanvisning fr o m version

Webbservrar, severskript & webbproduktion

Konfigurationsdokument M1

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Installation av WinPig Slakt

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

Manual för fjärrinloggning

Startanvisning för Bornets Internet

REGION SKÅNE VDI KLIENTINSTALLATION

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Instruktion: Trådlöst nätverk för privata enheter

Unix-miljöer i större sammanhang

OBS!!! Anslut ej USB kabeln till dator eller GPS innan du först har installerat drivrutinerna för USB kabeln i din dator.

Installationsguide fo r CRM-certifikat

ESET NOD32 ANTIVIRUS 8

Inledning LAMP Perl Python.

Vi finns nära dig. Telia Connect 4.1 Installationshandbok för PC Uppkopplingsprogram för Telia Mobilt bredband

Snabbstartguide för McAfee VirusScan Plus

Felsökningsguide för Windows XP

FLEX Personalsystem. Uppdateringsanvisning

Laboration 2 Datorverktyg vid LiU

emopluppen Användning av "Ant" Niklas Backlund Version: 1.4 ( 2002/04/26 07:27:52 UTC)

Grattis till ett bra köp!

Handbok för installation av programvara

Handbok för installation av programvara

Installationshandbok.

Installationsguide för FAR Komplett Offline 2.1.2

Installationsmanual ImageBank 2

INSTALLATION AV VITEC MÄKLARSYSTEM

HOGIA AUDIT MED BOKSLUT, HOGIA AUDIT och HOGIA BOKSLUT

Instruktion: Trådlöst nätverk för privata

Snabbstartguide PC, Mac och Android

Instruktion till. PigWin PocketPigs. Del 1 - Installation

Design Collaboration Suite

progecad NLM Användarhandledning

Info till IT - dioevidence Nationell uppföljning inom sociala områden

LAJKA-GUIDE. Så kör du. Windows på din Mac. 7 Fler spel och program 7 Enklare än Bootcamp 7 Körs direkt i OSX 7 Helt gratis

DDS-CAD. Installation av student-/demolicens

ANVÄNDARHANDBOK. Advance Online

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Installationshjälp CentOS 5 ENTerprise

iphone/ipad Snabbguide för anställda på HB

Årsskiftesrutiner i HogiaLön Plus SQL

Installation xvis besökssystem, Koncern

Sharpdesk V3.3. Installationsguide Version

Installationsbeskrivning för CAB Service Platform med CABInstall

TeamViewer Installation och användning

Att bygga enkla webbsidor

Innehåll. Installationsguide

Marcus Wilhelmsson 12 april 2013

FÖRHINDRA DATORINTRÅNG!

Instruktioner för uppdatering från Ethiris 5.x till 6.0

Om installationsskärmen inte visas efter en minut startar du CD-skivan manuellt:

Konfigurering av eduroam

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Installera din WordPress med 9 enkla steg

Instruktioner för uppdatering från Ethiris 4.10 till 5.x

Din manual CANON LBP

Panda. Antivirus Pro Snabbstartguide

F6 Exchange EC Utbildning AB

Installation av. Vitec Mäklarsystem

Transkript:

Kandidatuppsats IT-Forensik och Informationssäkerhet Automatiserad aktiv penetrationstest med Metasploit via webbplatser Blomberg, Joakim Hjartarson, Tomas Myung Sakac, Fredrik Högskolan i Halmstad, IDE Sektionen för Informationsvetenskap, Data- och Elektroteknik

Abstrakt I dagens samhälle har internet blivit en stor del av vårt dagliga liv. Nu utför man nästan alla sina ärenden på internet via olika webbplatser. Man handlar böcker, elektronik, utför bankärenden och läser nyheterna. Många antar att dessa webbplatser är säkra, men de flesta är medvetna om någon typ av hot på internet. De vet att man inte ska öppna program eller filer man inte känner igen, dock finns det fler faror. Vårt projekt går ut på att skapa en automatiserad process som visar dessa faror. Vi vill visa att det räcker med att gå in på en webbplats och trycka på en knapp för att kunna bli utsatt för dataintrång. Vi använder en LAMP-server för att tillhandahålla webbplatsen och Metasploit Framework för att åstadkomma det automatiska data-intrånget. När intrångsförsöket är slutfört presenteras resultatet för användarna som då vet om de är sårbara för Metasploits verktyg. Vi visar detta både genom text på webbplatsen och genom modifieringar på användarnas system. Som avslutning ser vi till att inga bakdörrar eller dylikt från Metasploit finns kvar på systemet. Nyckelord: Automatisering, Metasploit, dataintrång ii

Abstract In today s society the internet plays a large part of our ordinary lives. Nowadays one does almost all of ones errands via the internet. You buy books, electronics, solve bank errands and read the news. Many assume that these sites are safe, but are they really aware of the dangers that exists on various websites? Most users know that they should not execute programs or open files that they do not recognize, although these are not the only dangers that users should be aware of. We want to show that it is enough to just visit a seemingly harmless website and click a button to become a victim of computer intrusion. We will be utilizing a LAMP-server to supply the website and the Metasploit Framework to execute the automized penetration. After the process is finished the user will be presented the results on the website stating whether the computer system is vulnerable of the exploits used by the Metasploit Framework or not. We will show the end result both by text on the website and by modifying the users system. After the test is completed we will make sure that there are no residual effects on the computer system. Keywords: Automatisation, Metasploit, computer intrusion iii

Innehållsförteckning Titelsida... i Abstrakt... ii Innehållsförteckning... iv 1. Introduktion... 1 1.1 Syfte & Frågeställning... 1 1.2 Bakgrund... 1 2. Mjukvara... 1 2.1 Debian... 1 2.2 Apache... 2 2.3 MySQL... 2 2.4 PHP... 2 2.5 Virtualbox... 2 2.6 SSH... 2 2.7 Antivirus... 2 2.8 Nmap... 3 2.9 Metasploit... 3 3. Metod... 3 3.1 Installation & Konfiguration... 3 3.2 Frontend... 4 3.3 Backend: Webbplatsen... 5 3.4 Backend: Kopplingen till Metasploit... 7 4. Diskussion... 8 5. Slutsats... 9 5.1 Uppmärksamma allmänheten... 9 5.2 Automatisera Metasploit... 9 5.3 Koppla ihop Metasploit med webbplatsen... 10 5.4 Utföra automatiserad penetrationstest... 10 Referenser... 11 iv

1. Introduktion Det här kapitlet kommer att gå igenom varför vi vill göra projektet samt ursprunget av idén. 1.1 Syfte & Frågeställning Syftet med vårt projekt är att bygga ett system för att via en hemsida kunna utföra en automatiserad penetrationstest. Vi gör detta för att uppmärksamma allmänheten om att man är sårbar bara man går in på en viss webbplats som innehåller skadlig kod. Detta simulerar vi genom Metasploit Framework. Metasploit körs egentligen alltid manuellt, därför är en av våra största uppgifter att automatisera processen och dessutom få Metasploit att interagera med vår webbplats. Detta är inte heller något som Metasploit normalt gör. Projektet utförs på uppdrag av Bemaze som kommer att ta över projektet. 1.2 Bakgrund Vad vi har lärt oss under vår tid som studenter i IT-forensik och IT-säkerhet är att alla inte är lika i tankarna som oss. Då vi själva vet farorna på nätet så har vi alltid haft illusionen att alla tänker lika och att alla har brandvägg/antivirus. Under dessa snart 3 åren vi har studerat har vi upptäckt att detta då inte är fallet. Det är lika vanligt att personer inte har någon säkerhet alls [1]. I sökandet av ett lämpligt projekt så kom vi i kontakt med Dan Egerstad hos Bemaze Group AB. Bemaze är ett konsultföretag som tar hand om utveckling och IT-säkerhet [2]. Under intervjun kom det fram att Bemaze hade ett liggande projekt som vi skulle kunna tag över. Projektet bygger runt en open-sourceserver (LAMP) med Metasploit Framework. Metasploit är en verktygslåda som är specialanpassad för penetrationstest. Penetrationstest är när man letar efter säkerhetsbrister hos datorsystem [3]. Den är gratis och open source (det betyder att källkoden är tillgänglig för alla som gör att den utvecklas snabbt och effektivt [4]). Metasploit är en plattform som använder sig av exploits och payloads. En exploit är special designad kod vars syfte är att utnyttja sårbarheter i datorsystem [5] för att sedan lämna över till en payload som är koden som gör det möjligt att tag kontroll över systemet [6]. För att kunna välja rätt exploit vid rätt tillfälle så använder man Nmap för att samla in information om systemet. Då juridiken kan vara mycket invecklat så kommer vi att utveckla projektet internt. När projektet är avslutat kommer vi att överlämna det till Bemaze. 2. Mjukvara Den här mjukvaran kommer vi att använda i projektet. Vi strävar efter att använda open source mjukvara i så stor utsträckning som möjligt. 2.1 Debian Det viktigaste vi måste göra med operativsystemet är att hålla det uppdaterat och tänka på säkerheten när vi sätter upp det, ha ett bra rootlösenord (root är det kontot på operativsystemet med högst behörighet). Vi kommer inte att använda Debians inbyggda brandvägg (Iptables). eftersom detta kan störa Metasploit [7]. 1

Vi har valt att använda Debian för att vår handledare föredrog det och enligt honom är den stabil [1]. Vi installerade den senaste versionen som i skrivande stund är Lenny. Debianprojektet är helt öppet med säkerhetsbrister som kommer ut, om man skickar in en säkerhetsbrist till dem blir den också direkt tillgänglig för allmänheten. Enligt egen utsago är de snabba med att åtgärda säkerhetsbristerna [8]. 2.2 Apache Webbservern vi använder heter Apache HTTP Server. Den gör det möjligt för användare att komma åt vår webbplats från internet. Apache webbservern var en av de första på marknaden och är mycket utbredd i dag, 2009 så fanns det över 100 miljoner webbservrar som kördes via apache [9]. Apache ingår som sagt i LAMP [10] som vi tänkt installera. Därför tror vi inte att det ska vara några större säkerhetsproblem så länge vi konfigurerar det rätt [11]. 2.3 MySQL Vi behöver en databas eftersom en db_autopwn (en funktion i Metasploit) kräver det. Vi använder den också för att lagra information om vilka IP-adresser som är sårbara för att kunna länka webbplatsen och Metasploit. MySQL är väldigt utbrett och som exempel så använder Nokia MySQL [12]. Vi kommer att begränsa MySQL så mycket som möjligt och kommer inte att tillåta utomstående anslutningar till den, bara anslutningar genom vår PHP-kod och Metasploit. 2.4 PHP Sista delen är själva kodspråket som hemsidan kodas i. PHP är väldigt utbrett och är lätthanterligt [13]. Vi kommer att hålla kontroll på all kod med stor noggrannhet eftersom man kan göra mycket skada med språket. När vi konfigurerar PHP är det viktigt att det inte syns några felmeddelanden på webbplatsen. Med hjälp av dessa kan man nämligen i vissa fall komma runt våra säkerhetsåtgärder. Däremot är det viktigt att vi för interna loggar så att vi kan se problem. 2.5 Virtualbox Man kan utföra detta projekt på två olika sätt. Man kan installera allting direkt på ett datorsystem eller så kan man göra det virtuellt. Virtuallisering är när man simulerar något, man kan ha många operativsystem på en maskin. I vårt fall simulerar vi operativsystemet Debian via Virtualbox [14]. Simulering ger möjligheten att kunna återgå till olika tidpunkter i systemet. Detta kan vara användbart då något har hänt med systemet som gör att det blir oanvändbart. Detta passar oss bra då vårt projekt går ut på att infektera datorsystem. Efter att vi har infekterad dessa system så kan vi helt enkelt gå tillbaka i tiden och återställa allting precis om inget har hänt. En annan fördel är att man kan kopiera hela systemet och flytta det till ett annat datorsystem. 2.6 SSH Vi som administratörer kommer att ha tillgång till servern via SSH [15]. Vi måste ha en lösning för att kunna fjärrstyra systemet. SSH är en säker och krypterad kommunikationstjänst men vi måste försäkra att obehöriga inte kan utnyttja tjänsten. Våra konton säkrar vi bland annat genom att använda lösenord. 2.7 Antivirus Vi har diskuterat antivirus-program för vårt projekt men när vi letat efter virus som haft någon större spridning via Debian-system har vi inte hittat någonting. De flesta antivirus tillgängliga för Debian är till för att scanna efter Windows-virus och det är eftersom Linux-system sällan blir infekterade av virus [16]. 2

2.8 Nmap Nmap är ett program vars funktion är att skanna och detektera system på ett nätverk. Via Nmap kan man få reda på om ett system har öppna portar, vilka tjänster som körs på dessa portar och även vad för slags operativsystem systemet har [17]. Operativsystemet och dess tjänster kontaktar omvärlden genom dessa portar. Så det är viktigt att man inte har onödiga portar öppna. 2.9 Metasploit Metasploit Framework är som sagt en verktygslåda för penetrationstest. Syftet med Metasploit är att det ska användas för att hitta säkerhetshål. I grunden så utför man testet manuellt och i grova drag så följer man tre steg. 1. Man utför en portscan på datorsystemet i fråga. Det gör man med hjälp av Nmap programmet. 2. Med hjälp av resultaten från Nmap så väljer man ett exploit som passar. Här krävs det då lite kunskap och insyn i datorsystem. 3. När man har valt ett passande exploit så lägger man till en så kallad payload som är kod som utförs efter att man har tagit sig in i systemet. Detta gör det möjligt att tag kontroll över målsystemet. Detta kan självklart bli problematiskt speciellt i steg 2 om man inte har tillräckligt med kunskap för att välja rätt exploit. För att lösa detta problem så har Metasploit färdiga funktioner som gör det möjligt att automatisera processen. För att kunna använda dessa funktioner så krävs det att man har någon slags databas. I vårt fall så använde vi MySQL och vi ansluter oss till den via funktionen db_connect. Därefter så kör man db_nmap som lägger in resultaten från Nmap till databasen. Denna information använder sedan db_autopwn för att utföra attacken, attacken utförs genom att den använder alla tänkbara exploits i hopp om att någon av dem går igenom och skapar en meterpreter session. Meterpreter är en payload som har många funktioner för att kunna manipulera ett målsystem [18]. 3. Metod Denna del beskriver hur vi gick tillväga för att genomföra projektet. Vi går också igenom de fel vi stötte på och hur vi löste dessa. 3.1 Installation & Konfiguration Vi börjar med att berätta om serverkonfigurationen, servern ska utföra de automatiska attackerna som projektet går ut på. I vår Virtualbox-miljö installerade vi operativsystemet Debian som vi laddade ner från debian.org Vi använde netinstall-cd'n som är en minimal utgåva av Debian. Detta gjorde vi eftersom vi bara behövde vissa mjukvaror som vi laddade hem efter installationen. Vi förde in Debian-imagefilen i Virtualbox och installerade allt som standard. Vi använde engelska istället för svenska eftersom vi tyckte att det är lättare att felsöka. Vi installerade inget grafiskt gränssnitt eftersom vi inte hade behov av det. Efter att installationen av operativsystemet var klar hämtade vi de programmen som krävdes för att kunna sätta upp webbplatsen. Vi ville ha kontroll över mjukvarupaketens versioner. Därför installerade vi paketen var för sig. Då installerade vi alltså följande paket: apache2 mysql-server php5. Därmed var LAMP-paketet installerat och webbplatsen var tillgänglig. Efter detta installerade vi SSH för att kunna fjärransluta till servern. Vi använde paketet opensshserver. Nu kunde vi fortsätta arbeta mot servern samtidigt via SSH. Nästa steg var Metasploit. 3

Vi började med att ladda ner paketen för Ruby och Rubys pakethanterare Ruby Gems. Med hjälp av Ruby Gems kunde vi installera drivrutiner till MySQL och dylikt. Därefter laddade vi ner och installerade senaste Linux-versionen av Metasploit på metasploit.com När vi gjorde detta stötte vi på problem. Vi kunde inte få Metasploit att ansluta till MySQL korrekt. Vi installerade flera olika drivrutiner utan framgång. Till slut tog vi bort Metasploit och installerade det igen och då fungerade det, men då använde vi Unix-versionen istället för Linux-versionen. Vi vet inte riktigt varför vi inte kunde lösa det med Linux-versionen men eftersom vi inte hade några problem med vår nya version gick vi vidare. Kopplingen mellan MySQL och Metasploit fungerade nu och vi kunde använda den med db_autopwn. db_autopwn använder all information den har tillgång till om målsystemet för att försöka lista ut vilka exploits som skulle kunna fungera. Därför behövde vi installera Nmap också. Nmap är en kraftfull portscanner som kan hitta mycket information om ett system. Den används primärt av db_autopwn för att se vilka portar som är öppna och vilka program som körs på dem. Med detta var alla programvaror som vi inte byggt själva på plats. Förutom servern hade vi också två måldatorer. Vi använde oss av olika virtuella datorer som måldatorer. Datorerna installerades med följande operativsystem: Windows XP SP2 och SP3, Windows Vista SP1 och Windows 7. Vi stängde av brandväggarna och såg till att de inte blev uppdaterade, annars gjorde vi inga förändringar efter standardinstallationerna. 3.2 Frontend Allting börjar med webbplatsen (figur 1). Figur 1. Visar startsidan för projektet. 4

Projektet går ut på att automatisera penetrationstest efter att man gett sitt samtycke via den. Under hela förloppet blir man uppdaterad på sidan. Vi gjorde en design som är ganska lik Bemazes design. Vi ville ha en layout som var minimal så att allt fokus låg på den lilla text som man behövde ta till sig. Tanken från början var att det skulle vara en film vid varje steg som berättade allt som användaren behövde veta. När vi kom fram till hur tidskrävande det var ströks den idén, men när penetrationstestet väl är igång ville vi ändå ha något som underhöll och informerade användaren eftersom det kan ta en stund för testet att slutföras. När man kommer in på sidan ser man en text om vad testet går ut på, det finns också utrymme för juridisk text där om Bemaze vill använda projektet publikt. Väljer man att trycka på att man godkänner texten, tas man till nästa steg som gör att man läggs i kö för att starta testet. Testet startas automatiskt och då uppdateras man också automatiskt på sidan om det. När testet är klart får man upp en länk om att det är klart. Nästa sida/steg visar om man är sårbar för Metasploits verktyg och om man är det har det också dykt upp en mapp (C:/Skapad_Av_Metasploit) som bevis. 3.3 Backend: Webbplatsen När man godkänt första sidan på webbplatsen läggs IP-adress och statuskoden 1 i databasen. Detta indikerar att användarens system/ip-adress är ställd i kö (figur 2). Figur 2. 5

På webbplatsen ligger ett AJAX-script som kontinuerligt kontrollerar status-koden för användarens IP-adress. Vid en etta informerar den om att användaren är i kö. Vid en tvåa informerar den om att testet har startats och vid en trea informerar den om att testet är slutfört och ger en länk till resultatsidan (figur 3). Kolla Status IP adress, status = 1,2,3 Status = 1 Status = 2 Status = 3 Visa Du är nu i kö... Visa Tester har påbörjats Visa Testet lyckades! Figur 3. Visar hur AJAX-scriptet fungerar Varje minut körs ett annat PHP-script som startar Metasploitprocessen för nästa IP i kön. Den uppdaterar också statusen till en tvåa vilket gör att texten på webbplatsen ändras (figur 4). Figur 4. 6

När man anländer till resultatsidan tar ett PHP-script fram användarens IP-adress från databasen. Där kan administratören se ifall penetrationstestet har lyckats. Beroende på hur testet gått visas ett meddelande till användaren om det. Här tas användarens IP-adress också bort från ködatabastabellen (figur 5). Figur 5. 3.4 Backend: Kopplingen till Metasploit Varje minut körs ett PHP-script för att kontrollera ifall någon är i kö för att köra testet och om så är fallet görs en fil med instruktioner om vad som ska köras och sedan startas Metasploit. Vi kör scriptet varje minut eftersom vi inte vill att flera Metasploitattacker ska startas samtidigt. Exploiten som körs är nämligen i många fall väldigt resurskrävande. Det är en annan användare än Apache-användaren som kör minut-scriptet. Apache-användaren är den användare som är mest sårbar mot attacker eftersom Apache är öppet mot internet. På grund av det här vill vi att Apache-användaren ska ha så lite privilegier som möjligt för att öka säkerheten. Metasploit startas med instruktionsfilen som heter samma som användarens IP-adress, detta undviker kollisioner eftersom det ända som ändras i instruktionsfilen är IP-adressen. Nya instruktionsfiler måste skrivas för varje IP-adress eftersom det inte finns något lätt och bra sätt att dynamiskt byta vilken IP-adress som ska användas i Metasploit och db_autopwn. 7

I instruktionsfilen finns följande: ([] byts ut mot den relevanta informationen) db_connect [användarnamn]:[lösenord]@localhost/test db_nmap [användarens IP-adress] db_autopwn -p -e -x -I [användarens IP-adress] -T 10 sessions -s [sökvägen till vårt script]/mapp.rc db_disconnect exit -y Detta är det som krävs initialt för att starta Metasploit och sedan få den att utföra all automatik vi behöver. Metasploit börjar med att ansluta till vår MySQL-databas. Här kommer resultatet av penetrationstestet att lagras. Sedan körs db_nmap mot målsystemet. När vi via db_nmap har fått reda på vilka portar som är öppna körs db_autopwn för att försöka utnyttja alla säkerhetsproblem, som möjligtvis finns på målsystemet. Visar det sig att vi kan utnyttja ett säkerhetsproblem (vi får en Meterpreter session) kommer vårt script köras som gör en mapp i C:/. location = session.fs.file.expand_path("c:\\") r = session.sys.process.execute("cmd /c mkdir #{location}\\skapad_av_metasploit$ while (r.name) end r.close När mappen är skapad eller om Metasploit inte hittade något att utnyttja i systemet så är Meterpreter sessionen avslutad, då stängs anslutningarna till databasen och målsystemet. 4. Diskussion Projektet har potential för utökning till andra operativsystem. Men då krävs det vissa ändringar på scripten då speciellt mapp.rc eftersom Linux / MacOS system ej har samma filträdsstruktur som Windows [23]. Man skulle kunna åtgärda detta med en if sats som kollar vilket operativsystem målsystemet har. Ett problem man skulle kunna stöta på är att ibland så detekterar Nmap fel operativsystem [17]. För att komma runt detta så skulle man kunna göra så att scriptet har olika kommandon som är anpassade för vissa operativsystem men alla körs oavsett vilket operativsystem Nmap detekterar. Vi hade från början tänkt oss att i framtiden så ska detta projekt täcka mobiltelefoner. Vi hann inte komma så långt och vi misstänker att det kommer att kräva en del forskning innan man kan implementera detta. Vi inser att projektet har vissa svagheter men eftersom vi skulle hålla oss till Metasploit och LAMP modellen så kommer vi inte diskutera dessa svagheter. Vi går heller inte in på juridiken bakom ett sådant projekt utan vi överlåter detta till Bemaze. 8

Tanken i början var att skriva ett script som startade Metasploit, köra db_connect,db_nmap och db_autopwn. Sedan göra en övergång till Meterpreter sessionen och utföra filöverföring men övergången till Meterpreter sessionen gick inte. I stället var vi tvungna att dela processen i två delar. Med mer tid för att forska och lära sig Ruby så skulle man kunna ändra källkoden till Metasploit/Meterpreter för att kunna göra denna övergång möjlig. Man skulle även kunna göra så att Meterpreter kan starta program i förgrunden och inte bara i bakgrunden. 5. Slutsats 5.1 Uppmärksamma allmänheten Ett av målen vi satt upp var att försöka få allmänheten att förstå farorna på nätet. När ett penetrationstest väl slutförts och lyckats så har vår tanke hela tiden varit att en användare verkligen skulle få en wow -upplevelse och att användaren skulle reflektera över vad en hacker kan göra med små medel. Vid ritbordet gick vi igenom många olika saker vi kunde göra, från att lägga filer på skrivbordet till att starta ett program som visas på användarens skärm. Tyvärr stötte vi på stora problem här och en stor del av projektet kom till att handla om hur vi skulle uppmärksamma användare på intrånget. När vi blev bekanta med Metasploit såg vi att den använda Ruby [19]. För att automatisera mer komplexa saker i programmet behövde vi alltså också kunna skriva script i Ruby. Ingen av oss har haft med Ruby att göra tidigare men då vi alla tre har erfarenheter från andra programmeringsspråk såg vi det som en kul utmaning. Det skulle dock visa sig att det var svårt att få Metasploit att hitta till olika mappar automatiskt. Det fanns även ett komplett script från Metasploits utvecklare som visade hur man automatiskt tog en skärmdump över ett system, även om vi testade detta i sin helhet fick vi det aldrig att fungera [20]. Eftersom vi inte lyckades få Metasploit att hitta till Mina Dokument eller liknande på ett system kom vi fram till att det bästa vi kan göra (om vi bara kan sätta en statisk mappsökväg) var att skapa en mapp i C:\. Vi kom fram till detta eftersom de flesta Windows-användare har en C:\-hårddisk. Även om det inte ger wow-faktorn vi var ute efter så är det ändå ett bevis på att datorn är sårbar för ett intrång och att man faktiskt kan ändra/skapa en mapp på systemet man gör intrånget på. När en användare väl använder vår webbplats och är sårbar, kommer de dels få upp ett meddelande om att intrånget lyckats och de kan dels själva se att en förändring har gjorts på deras dator. Det viktigaste vi ändå ville få med trots alla problem vi haft var ett tydligt bevis på intrånget. 5.2 Automatisera Metasploit Ett av huvudmålen med projektet var att den skulle vara automatiserad. Metasploit har ju som sagt en funktion för just detta ändamål. Det vi behövde göra då var att skriva ett script som körde funktionen. I vårt fall använde vi PHP och där finns en inbyggd funktion för att starta externa program [21]. Metasploit kan också startas med en parameter om att den ska köra ett script (./msfconsole -r [script]) [22]. Därför var det bara att ladda in instruktionerna för Metasploit till en fil och sedan starta Metasploit med parametern att köra filen. För att projektet skulle fungera var det tvunget att komma på ett sätt att få Metasploit att köra mot en viss IP-adress automatiskt eftersom användarna bara interagerar med webbplatsen utan någon annan manuell input. Att få Metasploit att starta upp på ett kommando från ett annat program var inte så svårt. 9

5.3 Koppla ihop Metasploit med webbplatsen Det vi ville åstadkomma i kopplingen mellan Metasploit och vår webbplats var två saker. Dels skulle Metasploit startas efter input från användaren och dels skulle Metasploit få tillgång till användarens IP-adress så att intrånget kan ske. Webbplatsen använder sig av PHP och det var detta programmeringsspråk vi ville utnyttja för kopplingen till Metasploit. Genom en funktion i PHP var det möjligt att starta upp program. Metasploit tillåter en parameter i form av ett script som körs vid uppstarten, därför kunde vi lägga in IP-adressen där. På detta sätt kopplade vi ihop Metasploit med webbplatsen och fick till ett helt automatiserat förlopp från en knapptryckning på webbplatsen till intrångsförsöket. 5.4 Utföra automatiserad penetrationstest Automatiseringen av Metasploit och kopplingen till webbplatsen gör vi för detta ändamål. Vi visar på farorna på nätet för allmänheten eftersom vi åstadkommer penetrationstesten. Resultaten vi fått från experimentet visar på att vi får samma resultat med de här automatiska testerna som om vi hade gjort dem manuellt med Metasploit och db_autopwn. De konfigurationer vi har testat är följande: Windows XP Service Pack 2 Windows XP Service Pack 3 Windows Vista Service Pack 1 Windows 7 (inga uppdatering applicerade) Alla testerna avklarades på lite mer än en minut där Windows Vista tog lite längre tid än de andra. Båda XP-installationerna blev drabbade av Metasploit-exploits medan varken Vista eller Windows 7 blev påverkade. Åter igen handlade det här bara om datorer som inte hade brandväggen aktiverat. Men eftersom man kan stänga av brandväggen om man tycker den är jobbig eller hindrar något man vill utföra känner vi ändå att det är viktigt att visa på hur det kan gå. Även om det egentligen inte omfattades av vår originalplan testade vi vårt projekt mot en Windows Vista- och en Windows 7-installation med brandvägg. Vi gjorde det, inte för våra experiments skull utan för att många också naturligtvis använder brandvägg. Vi visste att testerna inte skulle gå igenom eftersom med brandvägg blir det högre säkerhet på måldatorn. Eftersom det ändå är en målgrupp som vi tänker kommer att vara stor i användningen av vår webbplats ville vi ändå testa vad resultatet blev. Till vår förvåning stod det att testerna hade gått igenom. Detta har vi antagit varit ett fel i db_autopwn som rapporterar fel om Nmap inte får något svar från måldatorn. Test1 med Windows XP SP2: Intrånget lyckades (1min 15 sek) Test2 med Windows XP SP3: Intrånget lyckades (1min 11sek) Test3 med Windows Vista SP1: Intrånget misslyckades (1min 40sek) Test4 med Windows 7: Intrånget misslyckades (1min 14sek) Men översiktligt så är vi nöjda med projektet och dess resultat. Vi kunde starta Metasploit och dess funktioner automatiskt via en webbplats och vi kunde manipulera målsystemet. Detta projekt visar verkligen varför man bör uppdatera sitt operativsystem samt använda säkerhetsmjukvaror så som brandväggar och anti-virus. 10

Referenser [1] Dan Egerstad (Bemaze Group AB), projektmöte, Malmö 28 mars 2011. [2] http://www.bemaze.se/ [3] http://www.bemaze.se/pentest/ [4] http://opensource.org/docs/osd [5] http://www.metasploit.com/learn-more/penetration-testing-basics/exploit.jsp [6] http://www.metasploit.com/learn-more/penetration-testing-basics/payload.jsp [7] http://www.thevulnerabilitymanager.com/docs/ms-exp-install-guide.pdf [8] http://www.debian.org/intro/why_debian [9] http://news.netcraft.com/archives/2011/05/02/may-2011-web-server-survey.html [10] http://onlamp.com/pub/a/onlamp/2001/01/25/lamp.html [11] http://httpd.apache.org/docs/2.0/misc/security_tips.html [12] http://www.mysql.com/customers/view/?id=579 [13] http://php.net/ [14] http://www.virtualbox.org/ [15] http://tools.ietf.org/html/rfc4252 [16] http://www.securityfocus.com/columnists/188 [17] Lyon, G. Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning [18] http://dev.metasploit.com/documents/meterpreter.pdf [19] http://www.metasploit.com/learn-more/what-is-it/ [20] http://dev.metasploit.com/redmine/projects/framework/repository/revisions/8878/entry/ documentation/msfconsole_rc_ruby_example.rc [21] http://www.php.net/manual/en/function.passthru.php [22] http://www.offensive-security.com/metasploit-unleashed/writing_meterpreter_scripts [23] http://www.ufsexplorer.com/und_fs.php 11

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss