LT

1. LT会

2. 【注意事項】

3. 不正アクセスは
犯罪です

4. 今日やること

5. Metasploitable 3のハッキング

6. 【環境説明】

7. ● 攻撃マシン
○ 192.168.153.160
○ Windows10 (x64)
● Metasploitable 3
○ 192.168.153.33
○ Win2008 (x64)

8. そもそも
Metasploitable
って何？

9. さまざまな
脆弱性
があるシステム（ver3）

10. ところで
脆弱性
とは何か？

12. IPA NVD

13. どこで
CVEの
情報を探す？

18. CVEに
対応した
攻撃コード

23. ハッキングの流れ

25. 1.情報を集める
2.脆弱性調査
3.侵入
4.侵入経路の維持
5.重要情報の窃取

26. 1.情報を集める
2.脆弱性調査
3.侵入
4.侵入経路の維持
5.重要情報の窃取

27. Step1
情報を集める

28. Nmap

29. ポートスキャンツール

30. どんなサービスが稼働
しているか分かる

31. やってみた

32. PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack OpenSSH 7.1 (protocol 2.0)
【省略】
135/tcp open msrpc syn-ack Microsoft Windows RPC
445/tcp open microsoft-ds syn-ack Windows Server 2008 R2 Standard
7601 Service Pack 1 microsoft-ds
3389/tcp open ms-wbt-server syn-ack Microsoft Terminal Service
|_ssl-date: 2019-10-03T06:40:52+00:00; +16h00m00s from scanner time.
5985/tcp open http syn-ack Microsoft HTTPAPI httpd 2.0
(SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49153/tcp open msrpc syn-ack Microsoft Windows RPC
49154/tcp open msrpc syn-ack Microsoft Windows RPC

33. Nessus

34. ポートスキャン
＋
脆弱性調査

40. まとめ

41. ● 別のツールでスキャンして結果を比較
● Nessusで大量にアクセスするとFWに
検知されてバレるかも
● 実際はNmapでステルススキャンとか
Nmap -sS -O -Pn -v -D(偽のIP) IP

42. 1.情報を集める
2.脆弱性調査
3.侵入
4.侵入経路の維持
5.重要情報の窃取

43. Step2
脆弱性調査

44. metasploit

47. どうやって探す？

48. 手がかりは
空いてるポート

49. PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack OpenSSH 7.1 (protocol 2.0)
【省略】
135/tcp open msrpc syn-ack Microsoft Windows RPC
445/tcp open microsoft-ds syn-ack Windows Server 2008 R2 Standard
7601 Service Pack 1 microsoft-ds
3389/tcp open ms-wbt-server syn-ack Microsoft Terminal Service
|_ssl-date: 2019-10-03T06:40:52+00:00; +16h00m00s from scanner time.
5985/tcp open http syn-ack Microsoft HTTPAPI httpd 2.0
(SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49153/tcp open msrpc syn-ack Microsoft Windows RPC
49154/tcp open msrpc syn-ack Microsoft Windows RPC

50. 今回はこいつだ！！

51. PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack OpenSSH 7.1 (protocol 2.0)
【省略】
135/tcp open msrpc syn-ack Microsoft Windows RPC
445/tcp open microsoft-ds syn-ack Windows Server 2008 R2 Standard
7601 Service Pack 1 microsoft-ds
3389/tcp open ms-wbt-server syn-ack Microsoft Terminal Service
|_ssl-date: 2019-10-03T06:40:52+00:00; +16h00m00s from scanner time.
5985/tcp open http syn-ack Microsoft HTTPAPI httpd 2.0
(SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49153/tcp open msrpc syn-ack Microsoft Windows RPC
49154/tcp open msrpc syn-ack Microsoft Windows RPC

52. なんで４４５？

53. 脆弱性の名前
イケてる？

54. 有名な脆弱性

66. Nessusの結果

69. Metasploitで探す

70. searchコマンド

73. scanner使う

76. 必要なもの

78. yesが必要なモノ

80. 詳細情報を出力
set verbose true

82. 準備万端

83. run

86. Host is likely
VULNERABLE to
MS17-010!

87. やれるやん

88. まとめ

89. ● 空いてるポートを探す
● 使える脆弱性ないか探す
● Metasploitでsearch
● scanner

90. 1.情報を集める
2.脆弱性調査
3.侵入
4.侵入経路の維持
5.重要情報の窃取

91. Step3
侵入

93. Rankの話

97. Excellentに近いほど
壊れにくい

98. こうなります

101. しかし、下のやつは
こうなる

103. うえのやつ使う

105. ペイロード
を設定する

108. いっぱいあるので
ソートする

109. こっちから接続すると
FW等に邪魔される

110. Metasploitable ３から
攻撃マシンへ通信
させれば大丈夫

111. ①meterpreter

113. 侵入成功後の活動を
支援するツール

114. ● 攻撃マシン
○ 192.168.153.160
○ Windows10 (x64)
● Metasploitable 3
○ 192.168.153.33
○ Win2008 (x64)

115. ②windows 64ビット

116. ③TCPで通信

117. grep meterpreter show
payloads

119. 分割＝不安定・少量ずつ
(stager)
一気＝安定・大容量
(inline)

121. run

124. 成功！

125. まとめ

126. ● RankはExcellentが神
● meterpreterは神

127. 1.情報を集める
2.脆弱性調査
3.侵入
4.重要情報の窃取
5.侵入経路の維持

128. Step4
重要情報の窃取

129. 権限を確認する

131. 管理者権限なので
いろいろやってみます

133. パスワードを盗む

140. John the Ripperで
パスワードクラック

143. LMハッシュはない
NTハッシュはあった

144. クラックした
パスワードでログイン

148. まとめ

149. ● 権限確認
○ 特権じゃないなら昇格(UACbypass)
● meterpreterのコマンドを使って
パスワードdump
● dumpしたパスワードをクラック
● クラックしたパスワードで
Administratorにログイン

150. 1.情報を集める
2.脆弱性調査
3.侵入
4.重要情報の窃取
5.侵入経路の維持

151. Step5
侵入経路の維持

152. 攻撃対象の電源が
切れたら接続切れる

153. バックドア設置

154. run persistence

158. コネクションを切断

161. 接続を待機する

163. metasploitable 3を
再起動

167. 自動起動に成功！

168. まとめ

169. ● 侵入経路を維持したい
● run persistence コマンド
● exploit/multi/handlerで待つ

170. おしまい