ARMITAGE
- Armitage เป็นเครื่องมือที่ทำให้เราใช้งาน Metasploit ได้ง่ายขึ้นซึ่งจะทำให้เราเห็นภาพของการทำงาน(GUI)
- Armitage พัฒนาจาก java
การเริ่มต้นใช้งาน
ความต้องการของระบบ- Metasploit Framework
- PostgreSQL Database
- Nmap
- Oracle's Java 1.7
- ในตัวอย่างนี้ใช้ Kali Linux
- เริ่มต้นใช้งาน Armitage Click Icon
- จะมี Popup แสดงขึ้นมา คลิกที่ Connect ได้เลยไม่ต้องตั้งค่าอะไร
- Start Metasploit : คลิก Yes
- แสดงสถานะการเชื่อมต่อ
Graphic User Interface (GUI)
หลังจากรันโปรแกรมเรียบร้อยจะมีหน้าตาดังรูปด้านล่าง
- Modules
เป็นส่วนที่รวบรวมคำสั่งและเครื่องมือ
- Targets - Graph View
เป็นส่วนที่แสดงเครื่องเป้าหมาย
- Tabs
เป็นส่วนที่แสดง การทำงานของโปรแกรม สามารถให้งาน Command line ผ่าน msf Console
Demo Exploitation
Armitage attack windows XP
Step1
- ค้นหาเครื่องเป้าหมาย จาก Network ที่เชื่อมต่ออยู่
- Add Hosts: Host>Nmap Scan>Quick Scan
- Input: ใส่ Network ที่ต้องการค้นหา
- จะมี Alert Messge บอกว่า Scan Complete คลิก OK
- ในส่วนของ Targets จะสังเห็น Host มีอยู่ทั้งหมด ที่ค้นหาเจอ แต่มันซ้อนๆ กันอยู่ สามารถที่จะจับเรียงได้ แค่ คลิกค้างแล้ว ลากตำแหน่งที่ต้องการ หรือ ลบ Host ให้เหลือเฉพาะเป้าหมายที่ต้องการ
- ใน Tab ที่เห็นด่านล่างจะ โชว์ nmap ขึ้นมาเพิ่ม และ เห็น Report การทำงาน
Step2
- Scan : คลิกขวาที่ เครื่องเป้าหมายแล้วเลือก Scan
- ตรวจสอบ ที่ Tab Scan จะโชว์ Port ที่เปิดอยู่ และ บอก ลายละเอียด รูปแสดงด้างล่าง Host เป็น Winddows XP
Step3
- Attacks : Attacks>Find Attacks
- จะมี Alert Message : Attack Analysis Complete ซึ่งถ้าไปคลิกขาวที่ Host จะมีเมนู Attachedขึ้นมาเพิ่ม
- คลิกขาวที่ Host เป้าหมาย เลือก Attack>smb>ms08_067_netapi
- ในส่วนนี้จะแสดงรายละเอียด ที่โปรแกรมสร้างขึ้นมาให้ ไม่ต้องปรับค่าใดๆ คลิก Launchได้เลย
- หลักจากคลิก Launch ที่ Tab ด้านล่างจะมี exploit ขึ้นมาเพิ่ม และรอจนเสร็จ ที่เครื่องเป้าหมายจะเปลี่ยนไอคอนเป็นสีแดงและมีลายสายฟ้า แสดงว่า การ Attack สำเร็จแล้ว
- จากนี้ก็แล้วแต่เราแล้วครับว่าจะทำอะไรกับเครื่องเหยื่อ ในที่นี้ผมจะ แอบดูหน้าจอว่าเขากำลังทำอะไรอยู่ ก็คลิกขวาที่เครื่องเหยื่อ เลือก Meterpreter 1>Explore>Screenshot
- ที่Tab ด้านล่างจะมี Tab Screenshot เพิ่มขึ้นมาแสดง
Armitage attack windows 7
อีกวิธีหนึ่งที่ ใช้ใน การ Attack
- สร้าง File Back door (msf venom) ให้เหยื่อคลิก
- ในตัวอย่างนี้ผมจะสร้าง file.exe เพราะเป้าหมายเป็น Windows ทำใส่ไว้ใน Flash Drive หรือ ทำเป็น Auto run แค่เสียบ flash drive เครื่องเหยื่อก็จะโดน Attack ทันที
Step 1
- ไปที่ Payload>windows>meterpreter>revers_tcp
- LPORT : จะใช้ตามที่โปรแกรมให้มาก็ได้ แต่ผมตั้งเป็น 1234
- Output : เลือกเป็น exe แล้วคลิก Launch
- นำไฟล์ที่สร้างไว้ใส่ลงไปใน Flash Drive
Step 2
- Exploit รอการตอบกลับจากเครื่องเหยื่อ , ไปที่ exploit>multi>handler
- LPORT: ใช้ Port 1234 (ใช้ Port ตามที่ได้สร้าง Black door ไว้ใน Step1)
- PAYLOAD : ใช้ windows/meterpreter/revers_tcp แล้วคลิก Launch
- จะโชว์ Tab multi/handler สถานะตอนนี้กำลังรอ การตอบกลับมาจาก Back door
Step 3
- เมื่อ File back door ถูกคลิก หรือ run บนเครื่องเป้าหมาย ก็จะทำการเชื่อมต่อไปหาเครื่องของ Attacker สถานะเครื่องเป้าหมายที่แสดงบน Armitage ก็จะเปลี่ยนเป็นสีแดงมีลายสายฟ้า Attack สำเร็จ
- ที่ Tab multi/handler จะ Report Meterpreter Session ที่เชื่อต่อไปยังเครื่องเหยื่อ
- เช่นเดิมครับ ผมก็จะแอบดูหน้าจอว่าเขากำลังทำอะไรอยู่ ก็คลิกขวาที่เครื่องเหยื่อ เลือก Meterpreter>Explore>Screenshot
- ที่Tab ด้านล่างจะมี Tab Screenshot เพิ่มขึ้นมาแสดง
แนวทางการป้องกัน Attack
- Laptop, Workstation ควรติดตั้ง Antivirus
- Laptop, Workstation ไม่ควรเปิด Autorun
- ควรเปิด FireWalll Allow Port ตามที่จำเป็นต้องใช้ Port ที่ไม่ได้ใช้ ควรปิด
อ้างอิง: http://www.fastandeasyhacking.com
