Metasploit - Pivoting

Pivoting là một kỹ thuật mà Metasploit sử dụng để định tuyến lưu lượng truy cập từ một máy tính bị tấn công tới các mạng khác mà máy tin tặc không thể truy cập được.

Hãy xem một kịch bản để hiểu cách hoạt động của Pivoting. Giả sử chúng ta có hai mạng -

  • Mạng có phạm vi 192.168.1.0/24 nơi máy tin tặc có quyền truy cập và

  • Một mạng khác có phạm vi 10.10.10.0/24. Nó là một mạng nội bộ và hacker không có quyền truy cập vào nó.

Tin tặc sẽ cố gắng hack mạng thứ hai mà máy này có quyền truy cập trong cả hai mạng để khai thác và hack các máy nội bộ khác.

Trong trường hợp này, đầu tiên một hacker sẽ đột nhập vào mạng thứ nhất và sau đó sử dụng nó như một điểm dàn dựng để khai thác và hack các máy bên trong của mạng thứ hai. Quá trình này được gọi làpivoting bởi vì tin tặc đang sử dụng mạng đầu tiên làm trục quay để truy cập vào mạng thứ hai.

Chúng ta hãy cố gắng hiểu cách nó hoạt động. Chúng tôi sẽ lấy một hệ thống Windows Server 2003 có lỗ hổng DCOM và chúng tôi sẽ sử dụng lỗ hổng này để hack hệ thống này.

Khai thác cho điều này sẽ là ms03_026_dcom và chúng tôi sẽ sử dụng meterpreter khối hàng.

Bây giờ chúng ta đã có quyền truy cập vào hệ thống này, hãy tương tác với phiên bằng lệnh session -i 1 trong đó "1" là số phiên đã được tạo.

Bây giờ, hãy sử dụng lệnh ipconfigđể tìm hiểu xem máy chủ này có quyền truy cập vào các mạng khác hay không. Ảnh chụp màn hình sau đây cho thấy kết quả đầu ra. Bạn có thể thấy rằng máy chủ này được kết nối với hai mạng khác -

  • một là mạng lặp lại không được sử dụng, và
  • mạng còn lại là 10.10.10.0/24 mà chúng ta sẽ khám phá.

Metasploit có tập lệnh trình thông dịch tự động chuyển đổi sẽ cho phép chúng tôi tấn công mạng thứ hai này thông qua máy bị xâm nhập đầu tiên của chúng tôi, nhưng trước tiên, chúng tôi phải background phiên họp.

Thêm tuyến vào mạng nội bộ với phạm vi 10.10.10.0/24

Bây giờ chúng ta đã định tuyến lưu lượng truy cập (Pivot), chúng ta có thể thử quét máy chủ được tìm thấy trong mạng này.

Chúng tôi đã quét cổng trên máy chủ 10.10.10.102. Ảnh chụp màn hình sau đây cho thấy kết quả.

Bây giờ chúng tôi đã có quyền truy cập vào mạng nội bộ. Tuy nhiên, nếu bạn bị mất phiên của máy bị hack, bạn cũng sẽ mất quyền truy cập vào mạng nội bộ.