Lavoro sulla creazione di firme per tutti i moduli metasploit. Devo stimolare praticamente tutti gli attacchi (exploit) in metasploit senza effettivamente bersagliare una vera vittima (non credo che l'autopwn possa aiutare qui).
La maggior parte dei moduli in metasploit verifica che ci sia una vittima dall'altra parte, c'è un modo per aggirarla? API? è impossibile creare una macchina vulnerabile per tutti i moduli metasploit.
Il tuo aiuto sarà apprezzato.
Le VM sono certamente una buona opzione, c'è un sacco di sistemi vunerabili che puoi attivare (ad es. Metasploitable ). Quello combinato con un TCPdump del traffico dovrebbe fornire la maggior parte delle informazioni di cui hai bisogno.
Detto questo, potresti avere più fortuna nel creare firme per i Metloadload Payloads . Ce ne sono meno, cambiano meno frequentemente e puoi essere sicuro che se lo rilevi, è il traffico che vuoi identificare o bloccare. Funzionerà anche quando nuovi exploit vengono aggiunti a Metasploit che è molto spesso.
Metasploit include alcune abilità per che sconfiggono il rilevamento basato sulla firma quindi è qualcosa che devi prendere in account pure.
Ho creato il primo programma QA di Rapid7 Metasploit ufficiale, quindi forse posso essere di aiuto.
Sì, è apparentemente impossibile creare macchine virtuali per tutti i moduli. Ce ne sono molti. Fortunatamente per te, nessuno usa la maggior parte di loro. Mi concentrerei sui primi 50. Dovresti chiarire quale tipo di firma stai cercando di costruire (AV, IDS, ecc.) O almeno la prospettiva dell'attacco che potresti vedere. Per questo esercizio, presumo che tu sia sulla rete.
Puoi catturare almeno il sig iniziale dell'attacco senza una vittima, assumendo un exploit remoto, in alcuni casi questo sarebbe sufficiente. Le parti del cliente sono un po 'più complicate, soprattutto perché il targeting incorporato in molti moduli impedisce l'invio di un exploit se non vengono soddisfatte determinate condizioni.
Abbiamo risolto questo problema in R7 concentrandoci sugli exploit principali e sui moduli ausiliari e costruendo macchine virtuali che potrebbero essere utilizzate nei test. Ci siamo divertiti con l'idea di riprodurre il traffico dalla vittima, che ci avrebbe permesso di rimuoverlo dall'equazione, ma non è mai arrivato così lontano. È comunque solo un'ottimizzazione, poiché è ancora necessario catturare l'interazione iniziale per riprodurla.
In breve, devi sporcarti le mani e capire cosa sta facendo il modulo per costruire rapidamente le firme. Spiacente, non c'è una risposta facile: /.
Considera Glastopf . Ho avuto esperienza con Metasploit in esecuzione contro glastopf, e msf pensava che l'obiettivo fosse vulnerabile a tutto. Potresti ospitare glastopf sul computer locale e puntare msf ad esso.
Glastopf è un honeypot unico progettato per sembrare il computer e il software più vulnerabili possibile. Risponde ad ogni richiesta di dati con qualsiasi cosa il richiedente desideri.
Considerare l'impostazione di una macchina virtuale (VM) che esegue un software appropriato per fungere da vittima e puntare Metasploit su di essa.
Leggi altre domande sui tag metasploit