Monday, June 11, 2012

BeEF In a Real World Pen Test - Part 3: Hot BeEF Steak

Welcome back to our series about using BeEF in a Real World Pentest. If you would like a recap of our work so far, you can read Part 1 and Part 2 in our blog.

In this post, we talk about how we exploit browsers to hop into the core of Contoso and exfiltrate data from its secure vaults.



Tasting The BeEF

Because of our previous efforts, we now have a good number of hooked browsers. It’s time to start running modules. 


First, we run a series of low-profile recon modules that gather information in order to enhance our understanding of the victims’ systems and eventually build better exploits without triggering any alarms. The recon phase includes:

  • Get Browser Cookies: We identify the victim’s cookie for the hooked website in the Details tab. This is a valuable piece of information in case the hook is via an XSS, because now we hijack the victim’s session and do actions on behalf of him.
  • Identify Platform Versions: From the details pane, we can identify the browser and OS types and versions. This is a crucial step for customizing exploits is to know the specific versions of the platform the victim uses. We use this to know what other modules we can use, or to find/craft other stable exploits. A lot of modules are IE specific and others are Chrome specific.
  • Hook Default Browser: Different browsers have different features that we want to (ab)use. So, to maximize our attack vectors, we run the “Host/Hook Default” module to try to hook the default browsers and hope that it is not the one currently hooked.  Hooking multiple browsers ensures we can execute all possible modules. However, for stealthy execution, it is better to make sure that the victim has adobe pdf FF plugin, Adobe IE BHO or something similar according to the browser type. This makes inline PDF viewing possible. Otherwise, the user may see the PDF file downloading (and can cancel it) or can see the full adobe PDF reader popping up (and can close it).
  • Detect Software (IE only): We run the “Host/Detect Software” module that uses an IE hack-trick to attempt to get a list of directories in the “Program files” and “program files (x86)” folders. Using this, we can identify legacy/unmaintained programs installed on the victim’s machine that can be exploited later.


Conducting this exercise on Contoso’s hooked browsers, we found:
  • Most hooked browsers are using the latest version of Windows 7, a few people are using Windows XP and one using linux (probably a system admin, bingo!).
  • Most hooked browsers are using IE 8, a few are using Google Chrome and a few are using Firefox.
  • Most hooked browsers are using Microsoft Office, a few using a version of Real Player (very tempting for exploitation!)


More Aggressive Devouring

Now we want to run more aggressive modules and start exfiltrating data. However, those modules are likely to trigger the user’s attention as some of them requires user interaction and others make browsers behave abnormally.

  • The clipboard can be a Gold mine! Especially when, on Class A targets, we can find snippets of code, portions of contracts, financial records, and a lot more hanging on the system’s clipboard. We run “host/clipboard theft” module to get the hooked browsers’ clipboard and save it for future analysis.
  • In order to fingerprint the hooked browser’s host information such as network interface details, JVM version, and OS detailed version, we run the “host/get system info” module. JVM version particularly is very useful because Java exploits are much easier to pull off if you know the specific version of the JVM.
  • For the browsers hooked via the XSS exploit (refer to part 2 for more details), we can use their cookies and attempt to hijack their session. By manually setting our session ID to be the same as the victim’s session ID, we gain access to their account on the portal without having to log in! Now, we can do all sorts of data exfiltration by saving all possible information we find accessible to that account.
  • One effective technique to persuade top management about the seriousness of your pen test report is to take some pictures of Class-A targets via their webcams and put them in the report. We do this by running the “browser/webcam” module which takes a series of pictures off the hooked browsers’ webcam via Adobe flash. Although a warning is shown to the user, by customizing the text displayed in the warning, it is possible to manipulate the user into accepting the prompt.
  • If the enterprise has wireless networks, use the “host/get wireless keys” module. This module retrieves the wireless profiles saved on the hooked machine’s network manager. Then, we can import them into our machines and go snoop around near the victim’s physical location.
  • We can also save known sensitive files. The “misc/local file theft” module allows us to save common sensitive files such as ssh private keys, command line history files, and boot files. It's noteworthy to mention that this will only work when a user has been hooked via an HTML file opened from a local file on Safari or mobile Safari. It also works on the Android browsers and iPad Dropbox previewer. So, it is particularly successful when the hooked browser is a mobile device, where there are a lot of saved passwords and sensitive information for the “user convenience”.
  • Finally, to expand our exploitation, the Metasploit integration makes perfect sense. BeEF allows almost full Metasploit integration where you can see Metasploit modules inside BeEF’s module branches under “metasploit/*”. Now we can run a multi-handler and execute any of the the juicy metasploit modules suitable to the hooked system. This is fun beyond imagination! And beyond the scope of this text.


Following the scheme described above, we were able to achieve very good grounds penetrating Contoso’s first line of perimeter defenses.

  • In one of the clipboard snippets, we found a portion of the firewall configuration mapping and allowing access from an external high-address port (TCP/32111) to an internal (10.20.1.5) TCP/5900 which is the default port for a VNC server.. This allowed us to manually fingerprint the VNC listener identifying a known vulnerability, exploiting it and gaining access to this server. However, we found out that it is a test server, so it is a dead end. Also, we were able to identify part of the internal network schema by inspecting the IP address ranges and the allowed ports.
  • We were able to extract Contoso’s wireless network encryption key.
  • The file theft module harvested some good corporate credentials from mobile devices pulled from the browser history.
  • We took a snapshot off a Class-A target’s webcam which will fit very nicely next to the firewall configuration in the final report.
  • A few browsers were using a vulnerable version of Java. So, firing up Metasploit, with some obfuscation kung-fu, we were able to get meterpreter sessions, but it turned out to be for low profile people. However, this is a very good point for further hopping inside the network.


At this point, we have penetrated the first level of Contoso’s defenses accessing the user information. In the next post, we will talk about how to crack the inside network; maximizing damage and hopping into deeper layers. Also, we will discuss how to conduct this exercise as safely as possible without deviating out of scope, or getting hacked yourself!

41 comments:

  1. Thank you guys for this information which is very interesting!

    ReplyDelete
  2. I have read your blog its very attractive and impressive. I like it your blog.

    Java Training in Chennai Core Java Training in Chennai Core Java Training in Chennai

    Java Online Training Java Online Training JavaEE Training in Chennai Java EE Training in Chennai

    ReplyDelete

  3. The blog or and best that is extremely useful to keep I can share the ideas
    of the future as this is really what I was looking for, I am very comfortable and pleased to come here. Thank you very much.
    tanki online | 2048 game|

    ReplyDelete
    Replies
    1. Java Training Institutes Java Training Institutes Java EE Training in Chennai Java EE Training in Chennai Java Spring Hibernate Training Institutes in Chennai J2EE Training Institutes in Chennai J2EE Training Institutes in Chennai Core Java Training Institutes in Chennai Core Java Training Institutes in Chennai

      Java Online Training Java Online Training Java Online Training Java Online Training Java Online Training Java Online Training

      Delete
  4. above mentioned all tips and information are really nice. It helps me to gain my knowledge.To get web browser support for your laptop/desktop, please contact Opera Mini Customer Support Number https://browsersupportnumbers.com/opera-mini-customer-support/

    ReplyDelete
  5. a pride for me to be able to discuss on a quality website because I just learned to make an article on
    cara menggugurkan kandungan

    ReplyDelete
  6. Good Post! Thank you so much for sharing this pretty post, it was so good to read and useful to improve my knowledge as updated one, keep blogging.

    Selenium with python Training in Electronic City

    ReplyDelete
  7. Macslive
    Now download the latest updated versions of mac & pc applications. Get the latest games, applications & much more with just one click https://macslive.net

    ReplyDelete
  8. The article you have shared here very awesome. I really like and appreciated your work. I read deeply your article, the points you have mentioned in this article are useful
    super mario bros

    ReplyDelete
  9. Our writers can assist clients looking for quality thesis writing assistance. We understand the process of how to buy custom research papers can be challenging for students with little time to craft a lengthy piece.

    ReplyDelete
  10. I’m really amazed with your posting skills as well as with the layout on your blog site. www.appslure.com

    ReplyDelete
  11. إخطار النمل الأبيض
    هذه الحشرة الصغيرة هي واحدة من أخطر أنواع الحشرات ، لأنه من المعروف أن حشرة قدرتها على أكل الأثاث والأثاث ، وكذلك الأرضيات الخشبيةشركة النجوم لمكافحة الحشرات
    شركة مكافحة الصراصير بالرياض
    شركة مكافحة فئران بالرياض
    شركة مكافحة النمل الابيض بالرياض

    ReplyDelete
  12. The information you shared is very helpful to us.
    strike force heroes 3

    ReplyDelete
  13. if you have been facing any error in Norton Antivirus then you can use the Norton Removal tool to fix this error.

    ReplyDelete
  14. Hey! I know that this cool online Ewriters.pro company is really helpful for students. Due to it's help all my writing assignments are completed timely without any slightest delay. Moreover, all of them are composed according to the newest accepted standards. As a result, my points improved significantly. Take care of yourself and keep up with the same fantastic writing quality!

    ReplyDelete
  15. It is normal for students to be anxious about hiring an online professional Nursing Writing Services because they can never be sure whether they can get high-quality affordable Nursing Assignment Services and the right Top Rated Nursing Writing Services or not.

    ReplyDelete
  16. Do you have an insight into the qualities took out for in a company offering excellent Article Review Papers Services? Asking for Article Review Writing Service is noble because it enhances your Review Article Writing Service performance.

    ReplyDelete
  17. اگر مایلید کتاب های انگلیسی زبان و جدید رابخوانید و یا برای پیشبرد تحقیقاتتان به کتابی انگلیسی زبان نیاز دارید اما ترجمه کتاب و خواندن متن های انگلیسی برای شما دشوار است. در وب سایت ترجمه آنلاین با نازل ترین قیمت و بالاترین کیفیت کتاب های درخواستی خود را ترجمه کنید.

    ReplyDelete
  18. Norton is a reputed and cost-effective antivirus suite
    company which offers protection so that no virus can damage
    your computer. It also provides many other products and
    services apart from antivirus.
    norton.com/setup

    ReplyDelete
  19. buy a perfect gift for Christmas or buy new jewelry for parties, see the new collection of necklace for women , it's the most beautiful jewelry ever, shine bright like a diamond!

    ReplyDelete
  20. sekarang ini banyak sekali pria yang membutuhkan viagra asli usa cod di lippo cikarang sebagai salah satu obat untuk meningkatkan gairah bercinta bersama pasangan. lihat selengkapnya kini banyak wanita yang merasa senang semenjak suaminya mengonsumsi viagra asli usa 100 mg cod di karawang karena staminanya jadi lebih kuat ketika berhubungan intim baca disini . nama viagra asli usa 100mg cod di semarang semakin populer semenjak para pria telah sukses saat berhubungan badan dengan istrinya info selengkapnya . sejak saat itu kedua pasangan bisa merasakan kepuasan dalam melakukan hubungan badan ketika diranjang dan bisa mencapai klimaks yang sangat memuaskan hanya dengan meminum 1 tablet viagra asli usa 100 mg cod di bandung .

    ReplyDelete
  21. Your blog is filled with unique good articles! I was impressed how well you express your thoughts.

    Marco Polo For PC

    ReplyDelete
  22. ลองเล่นไม่มีเบื่อแน่นอน เกมสล็อต xo สุดยอด slotxo https://www.slotxd.com/slotxo

    ReplyDelete

  23. เกมออนไลน์ สล็อตออนไลน์ slot online คลิกเลย
    https://www.live22easy.com/

    ReplyDelete

  24. كشف تسربات المياه بالرياض كشف تسربات المياه بالرياض

    كشف تسربات المياه بالرياض كشف تسربات بالرياض


    كشف تسربات المياه بالرياض جهاز كشف تسربات المياه بالرياض

    ReplyDelete
  25. Are you looking for the best business directory then we are providing the best b2b database. We also provide email marketing and what is crm. If you are interested, then please contact us for detailed information.

    ReplyDelete
  26. Thanks for your helpful sharing. I have read that knowledge very much, it gives me a lot of things. scary game maze 1

    ReplyDelete
  27. THANKS FOR SHARING SUCH CONTENT
    regards:::::WPINCARE

    ReplyDelete
  28. In the real world. It is probably step 4 or 5 in a pen testing exercise, whereby once you ascertain the probable vulnerabilities(Nessus, OpenVAS), you start the offensive on the weaknesses. This is where Beef comes into the picture. about us

    ReplyDelete
  29. Are you looking for the best business directory then we are providing the best database marketing. We also provide email marketing and what is crm software. If you are interested, then please contact us for detailed information.

    ReplyDelete
  30. อยากได้เงินด่วน pussy888 ช่วยคุณได้
    สวัสดีขอรับทุกคน ผมชื่อชาติชายนะครับ เวลานี้เป็นบุคลากรโรงงานรถยนต์แห่งหนึ่งที่นิคมอมตะ ที่จ.ชลบุรีก่อนที่จะพวกเราจะมาเข้าบทความ ผมขอถามสหายๆก่อนว่า เพื่อนฝูงๆเคยประสบเจอกับปัญหาการคลังห่วยหนสุดกันไหมขอรับ ห่วยเช่นไร แล้วก็เพื่อนฝูงมีวิธีการจัดการกับปัญหาเช่นไร ผมขอให้สหายๆทวนความนึกคิดกันก่อนจะอ่านบทความของผม เนื่องจากวันนี้ผมจะมาเล่าเกี่ยวกับประเด็นนี้ขอรับ สหายๆจะได้มีอารมณ์ร่วมกับผมขอรับ
    ปัญหาที่เกี่ยวข้องกับการเงินที่ห่วยแตกที่สุดในชีวิตของผมนั้น มันคือปัญหาที่ค้าง แม้กระนั้นมาผุดขึ้นเมื่อราว 3 เดือนที่แล้วหน้านี้เอง ครอบครัวผมเป็นครอบครัวที่มีฐานะปากลาง บิดาและก็แม่ต่างก็ทำอาชีพค้าขาย ธุรกิจที่บ้านก็มิได้ใหญ่มาก จัดว่าเพียงพออยู่พอกิน รวมทั้งส่งผมจบการศึกษาได้ ผมเป็นลูกผู้เดียวนะครับ เพียงพอจบการศึกษาผมก็ย้ายออกมาอยู่ห้องเช่าใกล้สถานที่ทำงาน เพื่อได้สบายต่อการเดินทาง ทำให้ผมไม่รู้จักว่าที่บ้านมีปัญหา ที่บ้านของผมมีการว่าจ้างแรงงานต่างประเทศมาดำเนินการ รวมทั้งให้ช่วยขายสินค้าซึ่งมันไม่ถูกต้องตามกฎหมาย เวลานี้พอเพียงคนงานโดนตำรวจจับบิดารวมทั้งแม่ไม่ต้องการให้มันเกิดเรื่องใหญ่ ก็เลยได้ไปขอผ่อนผันจากตำรวจสำนักงานจับ แต่ว่าโดนเรียกเงินมา 30,000 บาท ซึ่งบิดามารดาผมขาดเงินง่ายแม้กระนั้นก็ไม่ยินยอมบอกผม กลับไปกู้หนี้สินนอกระบบมาจ่ายตำรวจแทน แล้วพวกเขาก็ผ่อนมาเรื่อยต่อจากนั้นไม่นานผมที่ไม่เคยทราบปัญหาที่บ้านก็ต้องการซื้อรถยนต์มาขับ เนื่องจากว่าการนั่งรถยนต์สาธารณะค่อนข้างจะทุกข์ยากลำบากก็เลยดาวน์รถยนต์มาขับนะครับ แล้วเมื่อราวๆ 3 เดือนที่แล้วมีการแพร่ระบาดของวัวโรน่าตลาดนัดปิด ทำให้บิดาแล้วก็แม่ของผมไม่มีรายได้มาชำระหนี้นอกระบบ ท่านสองคนก็เลยได้มาบอกผม แล้วในตอนนั้นเงินเก็บผมก็ไม่มีแล้ว จะหารายได้จากไหน จนกระทั่งผมได้พบกับเว็บไซต์ pussy888 เว็บไซต์บาคาร่าโด่งดัง ผมฝากเงินเข้าเว็บไซต์คราวแรก 1,000 บาท แล้วก็ใช้เงินนี้นี่แหละหารายได้ 30,000 บาทมาจ่ายและชำระหนี้
    ด้วยเหตุดังกล่าววันนี้ผมก็เลยจะมาสอนแนวทางหารายได้จาก pussy888 กันครับผม เมื่อผมฝากเงิน 1,000 บาท ทางเว็บไซต์ให้โบนัสผมเพิ่ม 500 บาท รวมเป็นเงิน 1,500 บาท ผมนำเงินนั้นแบ่งไปเล่นเกมต่างๆใน pussy888 ดังเช่น สล็อต รูเล็ต ไฮโล โดยการเล่นแต่ละครั้งผมกระทำเขียนบันทึกเงินทุน และก็ผลกำไรที่ได้ คำนวณว่าเกมไหนได้เงินมากและก็ไวสุด ซึ่งผมพบว่าสล็อตออนไลน์เป็นคำตอบ ถ้าหากให้ผมเปรียบเทียบเกมใน pussy888 ผมว่าสล็อตเป็นเกมที่ถูกจริตผม ถือได้ว่าเกมนำโชคของผมเลยก็ได้ อันนี้เป็นแนวทางของผมขอรับ แล้วเพื่อนพ้องๆท่านอื่นมีทางแก้ปัญหาที่เกิดขึ้นกับการเงินกันยังไงสามารถแชร์กันได้ครับ

    ReplyDelete
  31. 918kiss พนันคาสิโนออนไลน์ ดินแดนของเกมสล็อตออนไลน์
    สำหรับใครกันแน่ที่รักในการเล่นเกมส์การพนันสล็อตออนไลน์ สำหรับคนใดที่กำลังมองหาเว็บสล็อตออนไลน์ที่มีคุณภาพ มากับเกมการพนันสล็อตออนไลน์มาก นานัปการแบบอย่าง เกมสล็อตออนไลน์ที่เล่นแล้วได้เงินจริง เกมสล็อตออนไลน์ที่มีคุณภาพ 918kiss ผู้ให้บริการเกมการพนันสล็อตออนไลน์ที่เปิดให้บริการมาอย่างช้านาน ดินแดนของการให้บริการเกมส์การพนันคาสิโนออนไลน์ โดยที่พวกเราไม่สำคัญ ที่จะจะต้องเดินทางไปยังเมืองนอก เว็บคาสิโนออนไลน์สำหรับในการให้บริการเกมการพนันออนไลน์ทุกแบบ
    ศูนย์เก็บรวบรวมเกมส์การพนันคาสิโนออนไลน์มากไม่น้อยเลยทีเดียว 918kiss
    ผู้ใดกันแน่ที่ชอบด้านการเล่นเกมส์การพนันคาสิโนออนไลน์ อย่าพลาด ร่วมเล่นเกมส์การพนันกับเว็บของพวกเราในขณะนี้ 918kiss ศูนย์เก็บเกมส์การพนันคาสิโนออนไลน์ทุกแบบ แหล่งเก็บรวบรวมเกมส์การพนันคาสิโนออนไลน์ที่มีคุณภาพ เว็บของพวกเรา มีเกมส์การพนันคาสิโนออนไลน์มากมาย เว็บของพวกเรา มีเกมส์การพนันคาสิโนออนไลน์ สล็อตออนไลน์ ที่เล่นแล้วได้เงินจริง ชำระเงินให้กับสหายๆผ่านระบบอัตโนมัติ ไม่มีความจำเป็นที่ต้องรอนาน เกมส์การพนันกับเว็บของพวกเรา เกมส์การพนันคาสิโนออนไลน์บันเทิงใจๆเกมส์การพนันคาสิโนออนไลน์ประสิทธิภาพ ซึ่งสามารถเล่นได้ผ่านโทรศัพท์เคลื่อนที่เพียงแค่เครื่องเดียวเพียงแค่นั้น
    มีโทรศัพท์เคลื่อนที่แล้วก็มีอินเตอร์เน็ต เปรียบได้กับว่าพวกเรามีบ่อนคาสิโนส่วนตัว พวกเราสามารถร่วมเล่นเกมส์การพนันได้ตลอดระยะเวลาทุกเวลาที่พวกเราต้องการจะเข้าเล่น วิถีทางวิธีการทำเงินที่เยี่ยมที่สุด หนทางการผลิตรายได้พิเศษ สำหรับผู้เล่นคนใดที่มีความ อยากได้ต้องการจะทำเงินจากการเล่นเกมส์การพนันคาสิโน แปลงเวลาว่างของพวกเรา เข้ามาร่วมเล่นเกมส์การพนัน เพื่อสร้างรายได้พิเศษให้กับตนเองได้อย่างง่ายๆไม่มีความจำเป็นที่ต้องลงทุนเยอะแยะ แต่ว่าก็สามารถสร้างผลกำไรจากการเล่นเกมส์การพนันได้อย่างมากมาย ด้วยเหตุนี้ ร่วมเล่นเกมส์การพนันกับเว็บของพวกเรา คาสิโนออนไลน์ฝากถอนไม่มีอย่างน้อย คาสิโนออนไลน์ 1 วัน สล็อตออนไลน์ 2020
    ฝากถอนไม่มีอย่างน้อย เล่นเกมส์การพนันสล็อตออนไลน์ พนันตาละ 10 บาท
    ร่วมเล่นเกมส์การพนันกับเว็บของพวกเรา 918kiss เว็บคาสิโนออนไลน์ที่เปิดให้บริการในประเทศไทยมาอย่างช้านาน เว็บคาสิโนออนไลน์ ที่เป็นศูนย์เก็บรวบรวม เกมส์การพนันคาสิโนออนไลน์ทุกแบบมาให้บริการกับทุกคน ที่เข้ามาร่วมเล่นเกมส์การพนันกับเว็บของพวกเรา พนันสล็อตออนไลน์ตาละ 10 บาท เล่นเกมสล็อตออนไลน์ โบนัสสูง เกมส์การพนัน Slot สนุกสนานๆล้นหลาม พวกเราสะสมทุกสิ่งทุกอย่างมาไว้ให้กับเพื่อนพ้องในเว็บของพวกเราทั้งปวงแล้ว เล่นเกมส์การพนัน กับเว็บคาสิโนออนไลน์ที่ครบวงจรทุกสิ่ง เกี่ยวกับการให้บริการเกมส์การพนัน เว็บคาสิโนออนไลน์ ที่มีงานบริการครบทุกแบบอย่าง เกี่ยวกับผู้ให้บริการเกมการพนันคาสิโน
    ฉะนั้นอย่าคอยช้า เปลี่ยนแปลงเวลาว่างของเพื่อนพ้องๆให้เป็นอาชีพเสริมให้กับตัวของพวกเราเองได้อย่างง่ายๆเปลี่ยนแปลงเวลาว่างของพวกเรา ทำเงินจากการเล่นเกมส์การพนัน ใช้เวลาเพียงแต่ไม่กี่นาที ก็สามารถทำเงินจากการเล่นเกมส์การพนันได้พรั่งพร้อม ด้วยเหตุนั้น ร่วมเล่นเกมส์การพนันกับเว็บของพวกเราได้เลยขณะนี้ 918kiss ผู้ให้บริการเกมการพนันสล็อตออนไลน์ บาคาร่าออนไลน์ คาสิโนออนไลน์ทุกต้นแบบ อยู่ในเว็บของพวกเราทั้งสิ้นแล้ว เกมส์การพนันคาสิโนออนไลน์สมัครง่าย เล่นฟรี

    ReplyDelete
  32. Daftar akun ISC888 คาสิโนออนไลน์ pkv games di situs judi online terpercaya Thailand,
    terbukti asli 100%, no hoax & gampang menang, akun id hoki, akun spesial.

    ISC888 บาคาร่า
    ISC123 สมัครสมาชิก ทางเข้า

    ReplyDelete