Shikata Ga Nai

Private? There is no such things.

Metasploit Frameworkの用語について列挙してみた

ペネトレーションテスト

Hello there, ('ω')ノ

 

Metasploit Framework(MSF)を使用するには、用語を完全に理解する必要があって。

 

Exploits:

 Metasploitが起動すると利用可能なエクスプロイトの数が表示され。

 エクスプロイトは、脆弱性を利用して目的の出力を提供するコードの一部で。

 

Payload:

 エクスプロイトを介してターゲットシステムやアプリに配信されるコードで。

 ペイロードは、Singles、Stagers、Stagesの3つの主なタイプに分類でき。

 

 Singles:

  これらのペイロードはスタンドアロンで。

  notepadでファイルを開いたりユーザを追加したりと。

  単純なタスクを実行するために使用されて。

 

 Stagers:

  2つのシステム間の接続を設定して。

  次に下記のStagesが被害者のマシンにダウンロードされて。

 

 Stages:

  ペイロードのコンポーネントでして。

  下記のような機能を提供して。

   ・コマンドシェルへのアクセス

   ・実行可能ファイルを実行する機能

   ・ファイルのアップロードとダウンロード

                     など

  この機能の1つの例としては、Meterpreterで。

 

他のタイプのペイロードについては、以下のとおりで。

 

Inline (non-staged):

 特定のタスクを実行するための完全なシェルコードを含むエクスプロイトコード。

 

Staged:

 ステージペイロードと共に機能し、特定のタスクを実行して。

 ステージャは、攻撃者と被害者の間に通信チャネルを確立して。

 リモートホストで実行されるステージングされたペイロードを送信して。

 

Meterpreter:

 Meta Interpreterの略で、DLLインジェクションを通じて動作して。

 メモリに読み込まれ、ディスクにトレースを残すことはなく。

 

PassiveX:

 ActiveXコントロールで、Internet Explorerの非表示のインスタンスを作成して。

 HTTPリクエストとレスポンスを介して攻撃者と通信して。

 

NoNX:

 DEP保護をバイパスするために使用され。

 

Ord:

 Windowsのすべてのバージョンで機能する小さなサイズのペイロードで。

 ただ、不安定でws2_32.dllを利用して悪用プロセスに読み込まれ。

 

IPv6:

 IPv6ホストで動作するように構築されていて。


Reflective DLL Injection:

 Stephen Fewerにより作成された手法で。

 ホストのハードドライブに触れずに、

 メモリ内で実行されている侵害されたホストプロセスに、

 ステージングされたペイロードが注入され。

 

Auxiliary(補助):

 MSFには、さまざまなタスクを実行するための補助モジュールが装備されていて。

 これらのモジュールは、何も利用しない小さなツールと考えられ。

 代わりに、それらは搾取プロセスで助けてくれて。

 

Encoders:

 情報(この場合はアセンブリ命令)を別の形式に変換して。

 実行すると、同じ結果が得られます。

 エンコーダは、ターゲットシステム/アプリに配信されるときに。

 ペイロードが検出されないようにするために使用されて。

 

 IDS / IPSは署名ベースなのでペイロードをエンコードすると署名全体が変更され。

 セキュリティメカニズムが簡単にバイパスされて。

 

 最もよく知られているエンコーダは、x86 / shikata_ga_naiで。

 これはポリモーフィックなXOR加算フィードバックエンコーダで。

 使用されるたびに異なる出力を生成して。

 反復テスト時にはうまく機能しない可能性があるので。

 常に最初にテストする必要があって。

 

NOP generators:

 一連のランダムバイトを生成するために使用され。

 予測可能なパターンがないことを除いて、従来のNOPスレッドと同等で。

 NOPスレッドは、標準IDSやIPS NOPスレッドシグネチャ

 (NOPスレッド-\ x90 \ x90 \ x90)をバイパスするためにも使用できて。

 

Project:

 侵入テスト中にデータと資格情報を格納するために使用されるコンテナで。

 Metasploit Proバージョンでより一般的に使用され。

 

Workspace:

 ワークスペースはプロジェクトと同じで、Metasploit Frameworkでのみ使用され。

 

Task:

 Metasploitで実行するすべてのアクション。

 

Listener:

 悪用されたターゲットからの着信接続を待機して。

 接続されたターゲットシェルを管理して。

 

Shell:

 インターフェイスなどのコンソールで、リモートターゲットへのアクセスを可能で。

 

Meterpreter:

 公式ウェブサイトでは、Meterpreterは下記のように定義されていて。

 『メモリ内DLLインジェクションステージャを使用して、

  実行時にネットワーク上で拡張される高度で動的に拡張可能なペイロード。

  ステージャーソケットを介して通信し、

  包括的なクライアント側のRuby APIを提供して。』

Best regards, (^^ゞ