Skip to main content

Karmetasploit en Backtrack (II)


En el artículo anterior configuré el entorno necesario para montar el punto de acceso ficticio y dar acceso a las víctimas a Internet, ahora paso a la segunda parte de este ataque que es lanzar el Karmetasploit. Antes de nada, como necesita una base de datos, la forma más sencilla de configurarlo(según sus cradores): gem install activerecord sqlite3-ruby. Ahora arranco Metasploit con el script karma.rc:


iptables -t nat -A PREROUTING -i at0 -j REDIRECT & msfconsole -r karma.rc >> captureKarma.txt



- El primero es necesario porque en la página del proyecto aconsejan forzar que siempre atienda el punto de acceso las peticiones DNS y el cliente no use las que tiene cacheadas.
- Al arrancar msfconsole hay un error al principio porque dice que el plugin dedb_sqlite3 está deprecated, hay que eliminar la primera línea de karma.rc ya que ahora (con Backtrack y Metasploit actualizados) lo carga directamente al iniciar el framework, de hecho vemos que crea la base de datos karma.db a pesar del error. Pero después de un buen rato rompiéndome la cabeza mi conclusión es que no funciona bien ya que solo almacena una cookie y una petición(las últimas) aunque la estructura de datos es correcta, incluso reconoce el sistema operativo del cliente (en la tabla hosts). Sería interesante solucionarlo instalando otra base de datos como MySQL que también tiene plugin para este script. A continuación se muestran unos pantallazos del sqlitebrowser al acabar esta prueba donde vemos este problema:


La tabla interesante es notes, donde guarda las cookies y las contraseñas, en este caso solo hay una(de Facebook), cuando tendría que haber conseguido otras dos más como vemos en el pantallazo de la víctima:




- Debido al problema anterior redirijo toda la salida a un archivo de texto para poder examinarlo con calma más adelante.

¿Qué pasa al arrancar Kametasploit?
Todas sus funcionalidades las encontramos en esta entrada de PenTestIT, pero en esta prueba(debido al software que se utiliza el cliente) podemos resumirlo en lo siguiente:






- Crea multitud de servidores e intenta explotar alguna vulnerabilidad en el cliente, si todo va bien(el software de la víctima no esta actualizado) conseguirá él solo una sesión de Meterpreter para poder jugar con ella :P. Pero en nuestro caso tenemos un Windows 7 actualizado así que no es el caso, el siguiente vídeo muestra un ejemplo de uso contra un XP vulnerable:








Al obtener una sesión podrían aplicarse distintas técnicas como por ejemplo activar el escritorio remoto de la víctima y crear un usuario administrador usando el script getgui.




- Se conecta a sitios comunes (Gmail, Facebook, Twitter...) para obtener cookies almacenadas en el navegador del cliente. Como dije antes almacené la salida encaptureKarma.txt, a falta de base de datos corto y pego las partes interesantes:
















Me falta comentar que en cuanto empezamos con esta parte del ataque en el navegador de la víctima deja de navegar y aparece lo que se ve en la imagen. Se podría modificar simplemente por una web en blanco para que fuese menos "cantoso" (ruta: /opt/metasploit3/msf3/data/exploits/capture/http/index.html).













Ahora me quedo con las ganas de probar al hermano de Karmetasploit: Jasager, que es, básicamente, el script KARMA en la Fonera. Dejo aquí este enlace donde explican como configurarlo por si alguno que tenga una se anima... ;)








Jesús Pérez





Popular posts from this blog

ISO 27001: Inventario de los activos de información

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI . En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro: "Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que

SIP INVITE attack with Metasploit

Some days ago my friend  @pepeluxx  wrote  another post  about INVITE attacks. He spoke about a  @sinologic   project  which allows to everybody passing some security tests to SIP servers. Furthermore he also published a perl script to do the same task. So I implemented it on Metasploit because I think It could be really useful during a pentesting. It’s interesting because these attacks are really dangerous, normally, attackers try to call to expensive locations. This target numbers often have special charges and they make money with this. Here there are two well known examples: http://blog.sipvicious.org/2010/12/11-million-euro-loss-in-voip-fraud-and.html http://snapvoip.blogspot.com.es/2009/02/calls-to-cuba-and-voip-attacks.html I’m not going to deep in this vector because of being a well known (and old!!) one. Basically the attacker tries to make a call using a misconfigured PBX. This is allowed because  SIP RFC  says that an extension has not to be registered to be abl

Another simple Metasploit module: ICMP Flooder

Hi again!, I said I was going to develope VoIP related Metasploit modules but I was reading PacketFu documentation and I found that wrinting an ICMP flooder couldn´t be too complicated at this point. So I share this code too, I decided to include SHOST and SIZE options too trying to get a more flexible module able to make different flavors of this attack as Ping flood , Smurf or Ping of death . Next pictures show the module in  the same way of last post. Code: ------------------------------------------------------------------------- require 'msf/core' class Metasploit3 < Msf::Auxiliary include Msf::Auxiliary::Dos include Msf::Exploit::Capture def initialize super( 'Name' => 'ICMP Flooder', 'Description' => 'A simple ICMP flooder', 'Author' => 'Jesus Perez', 'License'     => MSF_LICENSE, 'Version' => '$Revision: 0 $' ) register_opt