Архив метки: metasploit

Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access

В тестировании на проникновение, особенно при проверке криптостойкости паролей и социальной инженерии, часто требуется произвести перебор электронных почтовых ящиков пользователей и попытаться подобрать к ним пароли (или в дальнейшем использовать полученные ящики для социальной инженерии). Иногда удаётся успешно произвести перебор и брутфорс по протоколу SMTP, но как правило, SMTP сервер блокирует подобные действия (Как произвести перебор учетных записей через SMTP — описывается в статье Перебор почтовых адресов). Если в качестве почтового сервера используется Microsoft Exchange, то можно попробовать перебор и брутфорс через Web интерфейс почты. Если имя учетной записи такое же, как и имя почты, а как правило так и есть, то мы сможем провести перебор, если они различаются (что бывает крайне редко) то можно будет либо перечислить только имена пользователей, либо провести перебор паролей для известных имен пользователей.
Для перебора и брутфорса нам потребуется Metasploit Framework и 2 словаря.

Словарь с паролями (pass.txt):

Парольный словарь можно взять готовый или составить самостоятельно. Вообще составление словаря это довольно творческое дело.
Читать далее Перебор и брутфорс учетных записей Microsoft Exchange через Outlook Web Access

Установка в Debian фреймворка Metasploit Framework

Metasploit Framework это универсальный инструмент для проведения тестов на проникновение, включающий в себя огромное количество необходимых инструментов. С помощью него можно проводить разведку, эксплуатацию уязвимостей и многое другое.
В том же Kali Linux он уже установлен, но часто требуется установить его на отдельный удалённый сервер (например для интеграции с фишинговыми фреймворками, и другим ПО, например BeEF Framework).
Почему весь комплект ПО должен стоять на стороннем сервере, куда далеко не всегда есть возможность поставить готовую сборку какого-либо Linux для тестирования на проникновение? Каждый найдёт свои причины такой установки, поэтому в данной статье я опишу как установить Metasploit Framework на чистый Linux.

Установим curl:

Для начала скачаем официальный скрипт для установки:

Делаем сделаем скрипт выполняемым:

Запускаем установку ( по умолчанию установка производится в директорию /opt/metasploit-framework/):
Читать далее Установка в Debian фреймворка Metasploit Framework

Установка Metasploit 4.6

Потребовалось установить Metasploit на удаленной машине. Причем как обычно все не так просто, как хотелось.
Проблема была в том, что нельзя было использовать SSH туннели, а Metasploit не позволяет создавать первого пользователя ни откуда, кроме как с localhost.
Для начала скачаем и установим Metasploit
Скачать его можно с одноименного сайта:

http://www.rapid7.com/products/metasploit/download.jsp

скачиваем естественно хорошо известной утилитой wget

далее делаем этот файл исполняемым:

Читать далее Установка Metasploit 4.6