Báo cáo về Nexpose & Metasploit - Cặp công cụ quét và khai thác lỗ hổng
I.

Giới thiệu:

1. Công cụ quét lỗ hổng Nexpose:

Nexpose đang được phát triển bởi Rapid7 - một công ty bảo mật cung cấp các
giải pháp quản lý lỗ hổng.
Nexpose cho phép tiếp cận một cách toàn diện để quản lý lỗ hổng bảo mật và
giúp cho các nhóm hoạt động trong mạng lưới có thể đưa ra những quyết định tốt
hơn, nhanh hơn.
Nexpose cung cấp các chức năng như scan lỗ hổng hệ điều hành, thống kê chi
tiết các loại lỗ hổng từ không nghiêm trọng cho đến nghiêm trọng thông qua biểu
đồ, xuất ra những bản Report chi tiết cho người sử dụng có cái nhìn tổng quan hơn
và quan trọng nhất là đưa ra các biện pháp khắc phục những lỗ hổng này.
Rapid7 hiện đang cung cấp các phiên bản lõi mở độc quyền, tính phí là Nexpose
Express, Nexpose Consultant và Nexpose enterprise. Ngoài ra Rapid7 cũng cung
cấp phiên bản free Nexpose Community cho người dùng với mục đích làm quen và
nghiên cứu sơ qua về công cụ này. Tuy nhiên, về tính năng đương nhiên là có sự
hạn chế giữa các phiên bản như hình dưới đây:

Bảng so sánh tính năng giữa các phiên bản
Nexpose có thể chạy trên hầu hết các hệ điều hành: Linux, Windows, MacOS.
Ta có thể download chương trình tại www.rapid7.com hoặc tải trực tiếp qua đường
link dưới đây:
/>

Sau khi cài đặt ta cần đăng ký key để active phiên bản thông qua form đăng ký
của phần mềm trong lúc cài đặt.
Nexpose bao gồm hai thành phần chính:

-

-

Scan engines: thực thi phát hiện asset và các hoạt động dò tìm lỗ hổng. Ta có
thể triển khai Scan engines bên ngoài tường lửa, trong phạm vi mạng an
toàn hoặc bên trong DMZ của ta để quét bất kỳ network asset nào.
Secure Console: giao tiếp với Scan engines để bắt đầu quét và lấy thông tin
quét. Tất cả trao đổi giữa Secure Console và Scan engines xảy ra đều thông
qua phiên mã hóa SSL trên một cổng TCP chuyên dụng mà ta có thể chọn.
Để nâng cao hiệu suất và tính bảo mật, Scan engines không giao tiếp với
nhau, chúng chỉ giao tiếp với Secure Console.

Khi ứng dụng quét một asset lần đầu tiên, Secure Console tạo ra một kho lưu
trữ thông tin về asset đó trong cơ sở dữ liệu của nó. Với mỗi lần quét kế tiếp bao
gồm các asset đó, Secure Console sẽ cập nhật vào kho lưu trữ.
Giao diện điều khiển bao gồm một giao diện Web để thao tác cấu hình và các
ứng dụng bằng cách dùng local host default https://localhost:3790. Một người
dùng có thẩm quyền có thể đăng nhập vào giao diện này một cách an toàn, sử dụng
HTTPS từ bất kỳ vị trí nào, thực hiện bất kỳ nhiệm vụ liên quan đến ứng dụng. Cơ
sở dữ liệu xác thực được lưu trữ dưới một định dạng mã hóa trên giao diện điều
khiển server, và mật khẩu không bao giờ được lưu trữ hay truyền đi trong văn bản
gốc.


Giao diện web Nexpose


2. Công cụ khai thác lỗ hổng Metasploit:


Metasploit cũng là một sản phẩm của Rapid7. Metasploit là một công cụ mạnh
mẽ cho các nhà nghiên cứu an ninh của bên thứ ba để điều tra lỗ hổng bảo mật tiềm
năng.
Metasploil có thể được sử dụng để kiểm tra lỗ hổng của các hệ thống máy tính
để bảo vệ chúng, và nó có thể được sử dụng để đột nhập vào hệ thống từ xa. Cũng
như nhiều công cụ bảo mật thông tin khác, Metasploit cũng có thể được sử dụng
cho cả các hoạt động hợp pháp và các hoạt động trái phép.
Rapid7 hiện có 2 phiên bản lõi mở độc quyền tính phí là Metasploit Express và
Metasploit Pro. Ngoài ra Rapid7 còn cung cấp phiên bản free Metasploit
Community cho người dung với mục đích làm quen và nghiên cứu sơ qua về công
cụ này. Tuy nhiên, về tính năng đương nhiên là có sự hạn chế giữa các phiên bản
như hình dưới đây:


Bảng so sánh tính năng giữa các phiên bản
Social Engineering
Many of the vulnerabilities released in recent years have been client-side
vulnerabilities, which mean they're exploitable through vectors reachable only by a
local user and not a remote user. A PDF-containing an exploit is a good example of
a client-side exploit, therefore, a delivery mechanism was required to exploit these
vulnerabilities. Email is the most widely-used delivery mechanism, and Metasploit
Pro natively supports this.
Metasploit Pro enables you to set up Campaigns, which encompasses client-side
exploits and phishing attacks. These Campaigns allow you to define Web server
configurations, e-mail configurations, and e-mail templates, which will be used to
exploit client-side vulnerabilities.
In order to create a Campaign, you will need to create a Web server, set up the
credentials for the email account used to send the Campaign, upload a list of email
addresses (a .txt file with addresses comma separated), and create an email
template.

Scanning Web Apps
Web scanning is the process of spidering Web pages and applications searching
for active content and forms. There are two ways to access the WebScanning
feature: from the Overview page or from the Web Apps page.
Note: You may need to configure the spider settings multiple times before you get
the results you want. Typical applications can take 5,000 or more requests to spider.


Post-Exploitation Macros
Once you have gained access to a target, you have two options for postexploitation: running scripts via command shell or running post-exploitation
modules. Post-exploitation modules make it much simpler by providing a
standardized interface to perform post-exploit attacks.
Each open session will display a list of post-exploitation modules that are
applicable for that session.


IDS/IPS evasion
Discovery Scan Settings/Portscan Speed
Sneaky (1) – Used for IDS evasion.
Paranoid (0) – Used for IDS evasion.
VPN Pivoting
VPN Pivoting is a Metasploit Pro feature. VPN Pivoting enables you to create a
type of VPN tunnel to any exploited Windows host and turns that host into a pivot
point for traffic. It does this by creating a hook at the kernel level of the target
system. The hook does not create an interface on the remote side, and acts as a
sniffer, returning all traffic initiated on or by your Metasploit Pro system.
Functionally, this appears on your system as a local interface, and can be treated
as such. This means that you can enable IP forwarding and become a gateway for
the target network.
Metasploit Pro cannot create a bridge to a network that it is already attached to

because this will cause a conflicting route for the target network system. Therefore,
you should verify that Metasploit Pro does not have a direct connection to any
networks with the exact same IP range and netmask as your target network.


Tagging
Host tagging enables you to assign an identifier with a descriptive message to
one or more hosts. Tags can be used to organize assets, create work queues, and
track findings for automatic inclusion into the generated reports. A tag consists of a
single word (no spaces) that has a description and three flags indicating whether the
tag should be displayed in the generated reports. Hosts that are assigned a tag can
be referenced throughout the product by prefixing the tag with a pound or hash (#).
Most components of the product allow a #tag to be used in place of an included IP
address or range. This simplifies the process of testing a subset of the discovered
systems. Tags can be added and removed easily through the Tags tab of the user
interface.


PCI Reports
All generated PCI reports will be viewable from the Reports area of Metasploit
Pro.
Metasploit Pro provides the ability to generate PCI reports for your penetration
test. The findings should be used as an appendix for PCI standards testing and not
as an actual audit.
Enterprise-level NeXpose integration
Rapid7‟s NeXpose (Community and Enterprise Editions) can also be used to
discover and scan devices. Metasploit Pro provides a simple connector that allows
you to run and automatically import the results of a NeXpose scan using the Pro
interface.
Persistent sessions & listeners

The Sessions page lists the open and closed sessions (persistent connections)
that were opened during the bruteforce or exploitation of a host. Sessions are also
opened when a background module, such as a browser exploit, succeeds in
exploiting a client system.


Metasploit có thể chạy trên hầu hết các hệ điều hành: Linux, Windows, MacOS.
Ta có thể download chương trình tại www.rapid7.com hoặc tải trực tiếp qua đường
link dưới đây:
/>Sau khi cài đặt ta cần đăng ký key để active phiên bản thông qua form đăng ký
của phần mềm trong lúc cài đặt.
Metasploit hỗ trợ nhiều giao diện với người dùng:
-

Console interface: Framework console sử dụng các dòng lệnh để cấu hình,
kiểm tra nên nhanh hơn và mềm dẻo hơn, đặc biệt interface này còn hỗ trợ
sử dụng phím tab để hoàn thành dòng lệnh giống như cisco IOS nên dễ sử
dụng hơn cho người dùng.

-

Command line interface: Tuy giao diện này không thân thiện với người dùng
nhưng nó cung cấp những kịch bản đơn giản và có thể thực hiện hàng loạt
công việc cùng 1 lúc.


-

II.


Web interface: dùng local host default https://localhost:3790 giao tiếp thân
thiện với người dùng thông qua giao diện web.

Demo kịch bản:
1. Nội dung kịch bản:
- Tiến hành quét lỗ hổng máy victim - máy ảo VMware WindowServer
2003 có địa chỉ 192.168.16.21 sử dụng tool Nexpose Community.


In báo cáo thống kê những lỗ hổng mà Nexpose phát hiện được.
Thực hiện khai thác lỗ hổng sử dụng Metasploit giao diện Web
interface và Console interface để chiếm quyền điều khiển máy victim.
2. Triển khai kịch bản và kết quả thu được:
Bắt đầu với giao diện web Metasploit: https://localhost:3790
-

Tạo Project mới và thiết lập địa chỉ IP máy victim cần quét và khai thác lỗ
hổng bằng cách vào tab Project>Create New Project.

Ở đây máy victim có địa chỉ IP là: 192.168.x.x

Cấu hình tương tác giữa Metasploit và Nexpose bằng cách vào tab
Administrator>Global Settings


Thiết lập cấu hình như hình dưới đây:


Thực hiện quét lỗ hổng sử dụng Nexpose sau khi đã thiết lập tương tác
trước đó.


Lựa chọn kiểu quét “Scan templates” có sẵn

Quá trình quét


Sau khi quét xong, kết quả thu được sẽ được lưu trong cơ sở dữ liệu
Nexpose. Ta chuyển qua giao diện web Nexpose: https://localhost:3780

Tạo Report.


Thiết lập các option cho Report tùy theo người lập. Có thể được in ra dưới
dạng file pdf hoặc những liên kết link HTML để dễ quản lý.

Ở đây, ta thu được link Report.
Trong Report này thống kê đầy đủ từ mô tả chi tiết cho đến cách khắc phục đối
với từng lỗ hổng.


Quay trở lại với giao diện web Metasploit để khai thác lỗ hổng vừa quét
được. Truy cập vào tab quản lý máy victim vừa quét được bằng Nexpose như
hình dưới đây:


Tại đây, chuyển qua tab Vulnerabilities để lựa chọn lỗ hổng để khai thác.


Trong demo này, ta chọn lỗ hổng MS08-067 để khai thác bằng cách click
vào link exploit tương ứng với lỗ hổng này. Tiếp theo lựa chọn những option cho

exploit này rồi bắt đầu khai thác.


Quá trình Metasploit khai thác tạo session để tấn công và đột nhập vào
máy victim.

Lúc này 1 session đã được tạo. Ta mở session này ra và thực hiện các thao
tác khai thác, chiếm quyền điều khiển…

Sử dụng những Action mà Metasploit cung cấp như hình dưới.


Action Virtual Desktop


Action Command Shell


Ngoài ra cũng có thể sử dụng Console interface trong môi trường không
có giao diện web. Quá trình khai thác lỗi MS08-067 sử dụng Metasploit console
như hình sau: