Vidéos

October 22nd, 2012

« Site Cloner » – Social-Engineer Toolkit (SET)

Par Michel Cusin

Cette vidéo fait la démonstration de l’option « Site Cloner » du Social-Engineer Toolkit (SET). Cette option lui permet de cloner une page Web d’un site de son choix. Une fois la page Web clonée, SET interagi avec Metasploit et démarre un serveur Web local sur le poste d’attaque afin de publier la page Web clonée. Encore une fois, l’attaquant trouve une supercherie pour que sa victime visite la page Web clonée. Une fois que la victime se connecte à la page Web clonée résidant sur le poste de l’attaquant, un backdoor tel que meterpreter s’installe à son insu sur son poste. Une connexion cryptée s’établit alors à partir du poste infecté vers le poste de l’attaquant, lui donnant ainsi le plein contrôle de ce dernier. Tout ceci se passe bien sûr, à l’insu de la victime.


(Visionnez directement sur YouTube pour le mode plein écran)

_____________________________________________________________________________________________

Démonstration Injection SQL (sqlmap)

Par Michel Cusin

Les attaques de type injection SQL ne sont pas nouvelles. Toutefois, elles sont très répandues et utilisées par les pirates. Ils s’en servent notamment pour voler toutes sortes d’information sensibles et confidentielles telles que des numéros de cartes de crédit, des renseignements personnels, etc… Cette vidéo fait donc une démonstration d’attaque par injection SQL à l’aide de l’outil sqlmap. La cible de l’attaque est un serveur qui roule Damn Vulnerable Web Application (DVWA).

_____________________________________________________________________________________________

Pwn Plug: Arme fatale

Par Michel Cusin

Que diriez-vous si le réseau informatique de votre entreprise pouvait être attaqué et entièrement compromis, et ce, à l’aide d’un seul dispositif? Que ce dernier aurait la taille du transformateur électrique d’un ordinateur portable et qu’il serait indétectable et impénétrable à partir du réseau? Qu’il pourrait s’attaquer à vos infrastructures tant via votre réseau filaire que sans fil? Imaginez si ce dispositif permettait même à l’attaquant de contourner la plupart de vos mécanismes de défense (FW, IDS, etc.) en lui permettant de contrôler l’ensemble de votre parc informatique à distance via un réseau cellulaire? Vous diriez surement que ce scénario sort tout droit d’un film de science-fiction. N’est-ce pas? Eh bien non, ce scénario est bien réel. Bienvenue dans le monde des « Pwn Plugs »!

Les « Pwn Plug » sont des dispositifs de petite taille livrés avec une multitude d’outils fréquemment utilisés par les pirates, le tout déjà installé et prêt à être utilisé. Parmi ces outils il y a : Metasploit, Social Engineer Toolkit (SET), SSLstrip, Nmap, Dsniff, Netcat, Nikto, Ettercap, John The Ripper, Kamertasploit et la suite Aircrack-NG pour ne nommer que ceux-ci. Il ne suffit que de connecter le « Pwn Plug » au réseau de la « victime » et de l’utiliser, localement ou à distance.

Voici la vidéo de ma présentation sur les Pwn Plug du 2 novembre lors du [email protected] technique de l’ASIMM. Merci à Éric Parent de s’être porté volontaire pour filmer et faire le montage!

PS: Cliquez de nouveau sur “Play” après le petit 30 secondes de pub pour débûter la présentation si elle ne démarre pas automatiquement.

_____________________________________________________________________________________________

Firesheep : Lorsque « Hi-Jacker » une session Web via le wifi ne tient qu’à un click.

Par Michel Cusin

Lors de la dernière conférence Toorcon de San Diego en Californie, Eric Butler un développeur de la région de Seattle, a présenté et rendu public sa dernière création : Firesheep. Il s’agit d’un « add-on » s’intégrant au fureteur Firefox et qui permet de « Hi-jacker » des sessions Web vers des sites comme Facebook, Twitter, flikr, WordPress et bien d’autres, via des connexions wifi non sécurisées.

En effet, une fois qu’un utilisateur est authentifié à l’un de ces sites, le fureteur utilise des cookies pour authentifier les accès subséquents plutôt que de redemander à l’utilisateur de se ré authentifier à chaque fois qu’il accède le site ou une autre page du site.

Firesheep qui, à l’aide de winpcap, a la capacité de « sniffer » les ondes radio / wifi (802.11) transmises en clair (non chiffrées), et de sniffer/voler les cookies qui sont, par le fait même, également transmis en clair. Le add-on réutilise les cookies volés, les « réinjectes » dans le fureteur de l’attaquant, lui permettant de se connecter sur un site comme Facebook par exemple, mais en usurpant l’identité (en fait il s’agit des cookies). L’attaquant a ensuite tout le loisir de prendre possession du compte Facebook, Twitter ou autre de la victime.


(Cliquer sur l’image pour l’agrandir)

La vidéo qui suit fait la démonstration de l’outil et démontre la simplicité avec laquelle, une session Web établie via un accès sans fil (wifi) non sécurisé peut être « Hi-Jackée ».

NOTE: La vidéo peut être visionné en HD et l’image peut être agrandie en cliquant ici pour visionner le tout directement sur le site de Vimeo. from Michel Cusin on Vimeo.

_____________________________________________________________________________________________

Hping – Revisited

Par Michel Cusin

Dans cette vidéo, je revisite l’outil Hping3 (http://www.hping.org/). Hping n’est pas un nouvel outil qui vient tout juste de sortir. Il existe déjà depuis plusieurs années. Cependant, comme plusieurs ignorent son potentiel ou tout simplement son existence, j’ai eu envie de partager quelques-unes de ses fonctionnalités qui, même si elles sont très simples, peuvent s’avérer très utiles.

Cette vidéo démontre donc trois des multiples fonctionnalités de l’outil Hping. J’y explique comment manipuler les les « Control Bits » (syn, push, fin, ack, rst, urg) qu’on retrouve dans l’entête (header) d’un paquet TCP. Je démontre ensuite comment recréer les conditions d’une attaque « Land » (Land Attack) en utilisant la capacité de Hping à « spoofer » l’adresse IP source des paquets. Finalement, je fais une démonstration comment Hping peut transporter du data via le « payload » des paquets ICMP.

Hping – Revisited from Michel Cusin on Vimeo.

Pour ceux qui aimeraient en apprendre plus sur Hping et sur d’autres outils du même genre ainsi que sur des technique d’utilisation, vous êtes invité à visiter le site du SANS et à porter une attention particulière au cours Security 560 : Network Penetration Testing And Ethical Hacking. Je vous invite également à me contacter si vous souhaiteriez suivre cette formation en français.

_____________________________________________________________________________________________

Comment sniffer un réseau commuté sans attaquer le commutateur avec l’outil Cain & Abel

Par Michel Cusin

Faites-vous parti de ceux qui croient au mythe qui veut qu’un réseau commuté (switché) ne puisse pas être sniffé? Ou croyez-vous que votre réseau interne est sécuritaire et qu’il n’est pas nécessaire d’utiliser des protocoles qui utilisent du chiffrement tel que SSH pour effectuer la gestion de votre environnement même à l’interne?

Ce vidéo qui démontre le contraire explique comment sniffer un réseau commuté à l’aide de l’outil Cain & Abel (http://www.oxid.it/) et ce, sans avoir à attaquer le commutateur. Il explique également comment énumérer les mots de passe qui transitent en claire sur le réseau et comment cracker les mots de passe qui voyage en les systèmes.

Le bût de ce vidéo est de faire prendre conscience de certains dangers reliés au trafic qui transite en claire sur les réseaux.

Comment sniffer un réseau commuté sans attaquer le commutateur avec Cain & Abel.mp4 from Michel Cusin on Vimeo.

_____________________________________________________________________________________________

Scan de vulnérabilités avec NeXpose et metasploit

Par Michel Cusin

Scénario :

Vous êtes mandaté pour effectuer un test d’intrusion. Le test se divise en deux volets. Le premier s’effectue à partir d’Internet et l’autre à partir du réseau interne. Vous décidez alors de faire un peu d’ingénierie sociale pour la portion interne du test. En arrivant, vous vous présenterez comme le technicien ayant été appelé pour résoudre un problème critique de sécurité au niveau du réseau corporatif. Toutefois, afin de ne pas éveiller de soupçon et pour ne pas que la réceptionniste se mette à faire des vérifications ou qu’elle appel quelqu’un qui vous escortera tout a long de vos déplacements dans l’édifice, la veille, vous avez pris soin de faire appeler un complice afin qu’il parle à la réceptionniste en se faisant passer pour un employé de la compagnie. Vous avez bien sûr pris le temps de faire une petite recherche via WHOIS afin qu’il se présente sous le nom d’un contact technique réel et crédible, travaillant pour le département TI de l’entreprise. Votre complice lui dit qu’il est à l’extérieur de la ville pour quelques jours et qu’un technicien de la compagnie ACME «HackMe » passerait demain pour résoudre un problème critique de sécurité. Il lui demande également de l’appeler sur son cellulaire aussitôt lorsque le technicien arrivera.  Votre complice lui dit qu’il a changé de numéro de cellulaire et il prend bien soin de lui laisser son « nouveau » numéro. Il met également l’emphase sur le fait que le tout est relié à la sécurité de l’entreprise et qu’elle ne doit en parler à personne, car cela doit rester confidentiel. Le lendemain, vous vous présentez sur place et portez une chemise avec le nom de la compagnie ACME «HackMe » dessus. Vous dites à la réceptionniste que vous venez pour « LE » problème et qu’elle est supposée être déjà au courant de votre visite. La réceptionniste acquiesce et appelle alors votre complice pour lui dire que vous êtes arrivé. Ce dernier lui demande pour vous parler, ce que vous faites pendant quelques secondes. Vous redonnez ensuite le téléphone à la réceptionniste en disant qu’il veut lui parler de nouveau. Votre complice lui dit alors que vous savez ce que vous avez à faire et ou aller. Vous remerciez alors la réceptionniste et vous vous dirigez hors de son champ de vision pour vous connecter au réseau local afin de régler le « problème critique de sécurité ». Une fois branché au réseau local, vous réalisez que plusieurs systèmes faisant parti de la portée du test d’intrusion et des règles d’engagement, sont visibles à partir du segment réseau où vous vous trouvez. De plus, la majorité de ces systèmes ne sont même pas protégés par un coupe-feu. Vous utilisez donc NeXpose et metasploit pour faire un scan du réseau et exploiter les vulnérabilités que vous trouvez.

Les acteurs
Le pirate 192.168.118.118
La victime 10.0.0.10

Étape 1 –Dans ce scénario, nous utiliserons un poste avec le système d’exploitation Linux Ubuntu 9.10. Le framework metasploit et le scanneur NeXpose doivent d’abord être installés sur ce même poste. Les logiciels Metasploit et NeXpose ainsi que leurs procédures d’installation respectives peuvent être téléchargée ici.

Étape 2 – Le serveur NeXpose doit d’abord être démarré. Pour ce faire, il faut aller dans le répertoire d’installation. Par défaut, ce répertoire est : /opt/rapid7/nexpose/.  Le serveur peut ensuite être démarré à l’aide de la commande « ./nsc.sh »

# /opt/rapid7/nexpose/nsc/nsc.sh

Étape 3 – Lors d’un scan, il est judicieux d’utiliser un sniffer tel que TCPDUMP ou autre, afin de voir le trafic entre les postes du scanneur et la victime. Il y a plusieurs raisons à cela. Par exemple, il est important de savoir si le scan se déroule bien, s’il y a toujours du trafic entre les deux postes ou pour avoir une trace en cas de problème dans l’éventualité où le scan aurait fait planter la cible ou tout autre équipements entre les deux.

# tcpdump –i eth0 –nn host 192.168.118.118 and host 10.0.0.10

Étape 4 – Une fois le serveur NeXpose démarré, il faut créer la base de données qui sera utilisée pour stocker les informations telles que les vulnérabilités qui seront découvertes lors du scan.  Cette base de données est créée dans metasploit. Les informations recueillies par le scan seront par la suite utilisées par le module db_autopwn, que nous aborderons un peu plus loin.  Pour créé la base de données, il faut utiliser la commande “msf > db_create”.   Si la base de données est déjà créée, il suffit de s’y connecter :

Étape 5 – Le plugin NeXpose fait partie intégrante de metasploit à partir de la version 3.3.1. Afin que les deux puissent interagir, il faut tout d’abord charger le plug-in NeXpose dans metasploit à l’aide de la commande “msf > load nexpose”:

Étape 6 – Une fois que le plug-in NeXpose est chargé dans metasploit, il faut ensuite se connecter au serveur NeXpose lui-même en utilisant le même nom d’administrateur et mot de passe ayant été utilisé lors de l’installation.

msf > nexpose_connect <admin> :<passwd>@<NeXpose_hostname>

Ce qui pourrait ressembler à :

msf > nexpose_connect nxadmin:[email protected]

Étape 7 – La connexion au serveur NeXpose est maintenant établie et nous pouvons maintenant commencer à scanner notre victime à l’aide de la commande « msf > nexpose_scan –v 10.0.0.10 »

La commande “nexpose_scan”  démarre un scan avec des réglages préétablis par défaut et portant le nom de « Pentest ». D’autres types de réglages pour les scans sont également disponibles. L’option « -v » qui signifie « verbose » fera afficher de l’information supplémentaire au fur et à mesure que le scan s’effectuera. L’adresse 10.0.0.10 est bien sur, celle de notre victime.

Étape 8 – Une fois le scan complété, le module « db_autopwn » peut-être invoqué afin d’exploiter les vulnérabilités découvertes sur la cible. Les options suivantes sont utilisés, -t (afficher tous les modules d’exploits ayant une correspondance avec le résultat du scan), –x (sélectionner les modules d’exploits basés sur les références des vulnérabilités), –e (lancer les exploits sur toutes les cibles vulnérables à un exploit donné), –r (utiliser une connexion « reversée »)

msf > db_autopwn –t –x –e -r

Étape 9 – Une fois la cible compromise par un des exploits, une session meterpreter s’établit automatiquement entre la cible et le pirate. Il suffit de sélectionner la session et d’interagir avec cette dernière à l’aide de la commande « session –i 1 ». L’option –i signifie « interagir » et le « 1 » (un) signifie avec quel numéro de session.

msf > session –i 1

Étape 10 – Il ne vous reste qu’à exploiter allègrement la cible…

Cette vidéo explique comment le scanner de vulnérabilités NeXpose de la compagnie Rapid7, peut être utilisé en conjonction avec metasploit, meterpreter et db_autopwn pour découvrir et exploiter des vulnérabilités.  Ces outils permettent une multitude de possibilités, lorsqu’utilisé dans le cadre d’un test d’intrusion effectué par un professionnel de la sécurité, ou lors d’une attaque perpétrée par un pirate.

Scan de vulnérabilités avec NeXpose et metasploit from Michel Cusin on Vimeo.

Scan de vulnérabilités avec NeXpose via une session meterpreter (metasploit) sur Vimeo

Michel donnera le cours SEC564 du SANS en français à Montréal les 19-20 mai ainsi qu’à Québec les 16-17 juin 2010.

Bookmark and Share
Comments are closed.
Powered by Netfirms