Visualizzazione post con etichetta exploit. Mostra tutti i post
Visualizzazione post con etichetta exploit. Mostra tutti i post

venerdì 8 giugno 2018

Kali Linux: Eseguire la scansione delle vulnerabilità delle applicazioni web con WMAP

Originariamente sviluppato a partire dal tool SQLMap, WMAP è un potente strumento che consente di verificare eventuali vulnerabilità di applicazioni web tramite il Framework Metasploit.
Si tratta di uno scanner di vulnerabilità di applicazioni web integrato in Metasploit. In questo articolo verranno mostrati i passi da seguire per verificare la presenza di eventuali vulnerabilità di un server web. A tale scopo verrà utilizzata la distribuzione Kali Linux che integra tutti gli strumenti necessari.

ATTENZIONE:
Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.


Prima di procedere è consigliabile aggiornare tutti i pacchetti installati in Kali Linux alle versioni più recenti lanciando i seguenti 2 comandi da terminale
sudo apt-get update
sudo apt-get upgrade

WMAP utilizza il database PostgreSQL di Metasploit per memorizzare i risultati della scansione pertanto, prima di avviarlo, è necessario attivare/verificare la connessione al database. 
Avviare il servizio postgresql tramite il seguente comando da terminale
sudo service postgresql start
quindi inizializzare il database eseguendo il comando
sudo msfdb init
Avvio del servizio PostgreSQL e inizializzazione del database
FIG 1 - Avvio del servizio PostgreSQL e inizializzazione del database
Terminata l'inizializzazione del database, avviare la console Metasploit eseguendo
sudo msfconsole
Avvio della console Metasploit Framework
FIG 2 - Avvio della console Metasploit Framework
All'interno della console Metasploit Framework caricare il plugin WMAP digitando
load wmap
Caricamento del plugin WMAP nella console Metasploit Framework
FIG 3 - Caricamento del plugin WMAP nella console Metasploit Framework
Per poter effettuare la scansione delle vulnerabilità è necessario, tramite wmap_sites e lo switch -a, definire il sito da verificare specificandone l'URL/IP
Ad esempio, supponendo che il server web da verificare abbia indirizzo 192.168.0.10 si utilizza il comando
wmap_sites -a http://192.168.0.10


Definizione siti con wmap_sites
FIG 4 - Definizione siti con wmap_sites
E' possibile specificare più siti. Per visualizzare l'elenco dei siti definiti si utilizza il comando
wmap_sites -l
Visualizzare l'elenco dei siti definiti
FIG 5 - Visualizzare l'elenco dei siti definiti
A questo punto bisogna impostare il sito web come target utilizzando lo switch -t con l'URL/IP o lo switch -d con l'ID. L'ID è quello visualizzato dall'output del comando wmap_sites -l come visibile in FIG 5.
Ad es:
wmap_targets -t http://192.168.0.10
wmap_targets -d 0
oppure, per testare un particolare URL del sito
wmap_targets -t http://192.168.0.10/administrator/index.php


Definizione target con wmap_targets
FIG 6 - Definizione target con wmap_targets

Anche con wmap_targets è possibile utilizzare lo switch -l per visualizzare l'elenco dei target definiti
wmap_targets -l

Eseguire il comando 
wmap_run -t
per visualizzare/predisporre l'elenco dei moduli che verranno utilizzati per la scansione del sistema target definito.
Visualizzare i moduli abilitati con wmap_run
FIG 6 - Visualizzare i moduli abilitati con wmap_run
Per lanciare la scansione del sistema target, eseguire il comando
wmap_run -e
La scansione completa del sistema potrebbe impiegare diverso tempo quindi pazientate.
Esecuzione scansione del sistema target
FIG 7 - Esecuzione scansione del sistema target
Al termine della scansione utilizzare il seguente comando da terminale per visualizzare l'elenco delle vulnerabilità riscontrate
vulns
Visualizzare l'elenco delle vulnerabilità riscontrate
FIG 8 - Visualizzare l'elenco delle vulnerabilità riscontrate
Le vulnerabilità individuate saranno evidenziate tramite l'identificatore CVE (Common Vulnerabilities and Exposures). Per verificare la disponibilità di eventuali exploit basterà effettuare una ricerca su google o su www.exploit-db.com.






giovedì 1 dicembre 2016

Android: Malware Gooligan, verificare se il proprio account è stato violato

A partire da Agosto 2016 oltre un milione di account Google sono stati violati al ritmo di 13.000 al giorno dal malware Gooligan.

Gooligan esegue il root dei dispositivi Android vulnerabili per rubare indirizzi email e i token utilizzati per l'autenticazione dell'utente sulla piattaforma di Google. Con tali informazioni il malintenzionato può accedere all'account Google della vittima e di conseguenza a tutti i dati sensibili (Gmail, Google Photos, Google Docs, Google Play, Google Drive, ecc) presenti; inoltre,  può eseguire comandi da remoto sul dispositivo infetto.

I dispositivi a rischio sono quelli su cui è installato Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop).

Il malware si annida su molte App presenti su App-Store di terze parti (alternative a Google Play) e può essere distribuito anche tramite phishing inviando alla vittima un collegamento all'app infetta. Una volta che l'applicazione infetta viene installata sul dispositivo, Gooligan si attiva e procede al download di un rootkit dai server Command and Control (C&C server). Il rootkit sfrutta le vulnerabilità di Android 4 e 5 non aggioranti utilizzando gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). L'attacco in molti casi riesce in quanto le patch di sicurezza che sistemano queste falle non sono state rilasciate per tutti i dispositivi Android o non sono state mai installate dagli utenti. Una volta eseguito il rooting, il malvivente ha pieno controllo del dispositivo è può eseguire comandi da remoto.
Dopo aver ottenuto l'accesso alla root, Gooligan scarica e installa un altro modulo dai server C&C che viene utilizzato per inserire codice malevolo all'interno dell'App Google Play. Questo permette a Gooligan di rubare l'email e il token utilizzati per l'autenticazione dell'utente, di installare e valutare le App da Google Play in modo da incrementarne il rating, di installare adware che visualizzano spot pubblicitari.


Gooligan
FIG 1 - Gooligan



Verificare se il proprio account è stato violato


Per verificare se il proprio account è stato violato basta andare su https://gooligan.checkpoint.com/ e inserire l'indirizzo email relativo al proprio account Google.

Nel caso in cui l'account risultasse violato è necessario effettuare un'installazione pulita di Android sul dispositivo (flashing della rom) e successivamente procedere al cambio della password dell'account Google.


Gooligan Checker
FIG 2 - Gooligan Checker

mercoledì 30 novembre 2016

Windows 10 Exploit: Bypassare BitLocker durante l'aggiornamento del sistema

Premendo la combinazione di tasti SHIFT+F10 quando Windows 10 sta effettuando un'aggiornamento ad una nuova Build, viene aperto una CLI (command-line interface) con i privilegi di SYSTEM. Tramite tale command-line è possibile avere pieno accesso al disco della workstation anche se protetto da BitLocker.
Durante l'update di Windows 10, infatti, il sistema operativo provvede a disabilitare BitLocker mentre Windows PE (Preinstallation Environment) installa una nuova immagine del sistema.

Un malintenzionato può forzare il sistema ad effettuare l'aggiornamento e, tramite SHIFT+F10, accedere all'intero contenuto del disco o rendere la propria utenza Amministratore del sistema.
La versione Windows 10 LTSB (Long time Servicing Branch) non sembra affetta da tale vulnerabilità.

La vulnerabilità è stata scoperta dall'esperto di sicurezza Sami Laiho e Microsoft sta lavorando ad una fix per sistemare il problema.
SCCM (System Center Configuration Manager) può bloccare l'accesso alla CLI durante l'update se sulle postazioni viene creato un file con nome DisableCMDRequest.tag all'interno della directory %windir%\Setup\Scripts\.