[infosec-course] [sec-sem] Семинары по DbD-атакам

George Noseevich ngo at lvk.cs.msu.su
Tue Oct 30 07:26:23 UTC 2012


Дамы и господа! Xочу дополнительно заметить следующее:

1) Приносите патч-корды, их может не хватить.
2) На прошлом семинаре было некоторое количество людей без ноутбуков.
Довольно бессмысленно приходить на воркшоп по practical security с одним
блокнотом.
3) То же самое касается окружения, которое требуется для семинара.
Заранеее убедитесь, что все работает!
4) Предполагается, что к началу семинара у всех вас ноутбуки уже
включены, сеть работает, виртуалки запущены, инструменты готовы к работе
и т.п.. Это позволит с наибольшей продуктивностью использовать время
семинара.

/ngo
On 30.10.2012 01:14, Razdobarov Alexandr wrote:
> Дамы и господа,
> в эту среду (18-05 31 октября) пройдет второй семинар по DbD-атакам,
> на котором будет рассмотрен ещё один метод деобфускации
> JavaScript-кода, а также методы и инструменты для анализа вредоносных
> pdf-файлов.
>
> Для следующего семинара необходимо установить: python 2.7 и скачать
> скрипт pdf-parser.py по ссылке:
> http://didierstevens.com/files/software/pdf-parser_V0_3_9.zip. Также
> необходимо убедиться, что это все вместе работает, запустив из под
> консоли: python pdf-parser.py.
>
> В качестве подготовки к семинару заинтересованным предлагается сделать
> следующее:
> 1. Установить на виртуалку (или хостовую систему) metasploit. Система
> с metasploit'ом будет выступать в качестве сервера, на котором будет
> размещаться вредоносный код. Атакуемый клиент - виртуальная машина с
> windows XP.
> 2. Запустить msfconsole
> 2.1 Найти подходящий remote exploit:
>     Для поиска используется команда search, начните с команды "search
> -h", там описываются параметры поиска. Пример поискового запроса:
> "search platform:windows type:exploit app:client". В качестве текста
> для поиска можно использовать характерные словосочетания, например,
> heap spray. Также эксплоиты показываются при нажатии таб в команде
> use. Таким образом, если набрать use exploit/windows/browser/ и нажать
> таб, то будут показанные все эксплоиты, подходящие под набранный путь.
> 2.2 Когда выберете экплоит необходимо его подключить, пример:
>         use exploit/windows/browser/adobe_utilprintf
> 2.3 Для эксплоитов указывается список допустимых целей, посмотреть его
> можно следующей командой:
>         show targets
> 2.4 Убедитесь, что эксплоит подходит для вашей виртуальной машины
> windows XP. Возможно будет проще дополнительно поставить туда Acrobat
> Reader или Java, старые версии этих продуктов можно скачать с
> http://www.oldapps.com.
> 2.5 Теперь нужно выбрать payload - "show payloads". Payload выбирается
> командой set payload, например:
>         "set payload windows/messagebox"
> 2.6 После выбора нагрузки остается задать опции запуска эксплоита,
> посмотреть их можно командой "show options". Опции задаются командой
> "set optionName optionValue", так для messagebox можно задать текст и
> заголовок окна:
>         set text 'Hello world'
>         set title 'msgbox'
> и задать путь, по которому будет размещен эксплоит на сервере:
>         set uripath myawesomesploit
>
> 2.7 После того, как все опции установлены остается запустить эксплоит
> командой "exploit". В случае успешного запуска, msfconsole выведет вам
> список путей по которым доступен эксплоит, что-нибудь вроде:
>     http://192.168.1.10:8080/myawesomesploit
> Список активных эксплоитов на сервере можно посмотреть командой "jobs".
>
> 3. После того, как вы запустили эксплоит, остается запустить на
> виртуальной машине логгирующий HTTP-Proxy и зайти на созданный сайт.
> После работы эксплоита проанализируйте траффик. Также можно посмотреть
> результаты анализа эксплоита антивирусами на сайте virustotal.com.
>





More information about the course mailing list