Featured image of post Metasploit 데이터를 Httpx로?

Metasploit 데이터를 Httpx로?

오랜만에 Metasploit 관련 글을 쓰는 것 같습니다. 다름이 아니라 netpen이라는 plugin을 하나 찾았는데, 이를 이용하면 Metasploit으로 수집한 정보를 가지고 nuclei나 zap/burp 등 다른 도구와 파이프 라인으로 구성해서 사용하기 좋아보였습니다.

Netpen

공식 플러그인은 아니고 wdahlenburg가 만들어둔 플러그인 스크립트로 metasploit에서 수집된 정보를 host:port 형태로 콤보 리스트를 만들어줍니다. 간단한 작업이지만 막상 metasploit으로 수집하고 이를 다시 파싱하려면 약간 귀찮은데요. 이 플러그인은 이러한 점을 딱 해결해줍니다.

Add plugin

repo에서 코드를 받아서 metasploit의 plugin 디렉토리에 넣어줍니다. 코드는 #netpen code부분에 추가해두었습니다.

1
2
wget -P /opt/metasploit-framework/embedded/framework/plugins/ \
https://raw.githubusercontent.com/wdahlenburg/MSF-Plugins/main/netpen.rb

이후 metasploit에서 load 명령으로 netpen 플러그인을 로드할 수 있습니다.

1
2
msf6> load netpen
[*] Successfully loaded plugin: Network Pentest Toolset

Test

Recon for testing

테스트를 위해 임의로 몇개 도메인을 nmap으로 포트스캐닝했습니다.

1
msf6 > db_nmap -PN www.hahwul.com dalfox.hahwul.com testphp.vulnweb.com

이후 services 명령으로 리스트를 살펴보면 80,443 등으로 수집된 것을 볼 수 있습니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
msf6 > services
Services
========

host             port  proto  name   state     info
----             ----  -----  ----   -----     ----
44.228.249.3     80    tcp    http   open
44.228.249.3     443   tcp    https  filtered
185.199.108.153  80    tcp    http   open
185.199.108.153  443   tcp    https  open
185.199.110.153  80    tcp    http   open
185.199.110.153  443   tcp    https  open

metasploit이 pentesting 도구로써는 좋지만, 웹 취약점을 테스팅하기에는 솔직히 어려운 부분들이 좀 많습니다. 그나마 CVE나 Exploit 기반 테스팅을 쉽게할 수 있다는 장점이 있었지만, projectdiscovery의 nuclei가 나온 이후 시점부턴 솔직히 좀 매력이 떨어지긴 합니다.

어쩄던 metasaploit에서 host:port 형태로 콤보 데이터를 뽑는건 조금 번거롭습니다.

Make combo

자 그럼 netpen을 이용해서 콤보 리스트를 뽑아봅시다. help를 보면 netpen에서 지원하는 커맨드를 확인할 수 있습니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
msf6 > help

Network Pentest Toolset Commands
================================

    Command         Description
    -------         -----------
    grab_all        List all services in host:port format
    grab_host_port  List all related hosts in host:port format based on searchable parameters
    grab_web        List all web related hosts in host:port format to be passed into httprobe
    list_services   List all open services

기호에 맞게 사용하시면 되고, 테스트로는 grab_all로 리스트를 뽑아봅시다.

1
msf6 > grab_all -f host-ports.txt

이후 metasploit을 종료한 후 파일을 열어보면 콤보 리스트 형태로 저장된 것을 볼 수 있습니다.

Send httpx

자 익숙한 포맷(host:port)이 나왔으니 httpx로 전달해서 웹 서비스를 식별해봅시다.

1
cat host_ports.txt | httpx -sc -title

Netpen code

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
module Msf
  class Plugin::NetPen < Msf::Plugin
    class NetPenDispatcher
      include Msf::Ui::Console::CommandDispatcher

      def name
        'Network Pentest Toolset'
      end

      def commands
        {
          'grab_web' => 'List all web related hosts in host:port format to be passed into httprobe',
          'grab_all' => 'List all services in host:port format',
          'grab_host_port' => 'List all related hosts in host:port format based on searchable parameters',
          'list_services' => 'List all open services'
        }
      end

      def cmd_grab_web(*_args)
        results = []

        # Grab all services matching 'http' type
        http_services = framework.db.services.where(state: 'open').select { |s| !s.name.nil? and s.name.include? 'http' }
        http_services.each do |h|
          host = framework.db.hosts(id: h.host_id)[0]
          ip = host.address
          results << "#{ip}:#{h.port}"
        end

        # Grab all hosts on port 80 and 443
        web_services = framework.db.services.where(state: 'open').select { |s| s.port == 80 || s.port == 443 }
        web_services.each do |w|
          host = framework.db.hosts(id: w.host_id)[0]
          ip = host.address
          results << "#{ip}:#{w.port}"
        end

        results.uniq!

        results.each do |r|
          print "#{r}\n"
        end
      end

      def cmd_grab_all(*args)
        results = []

        opts = Rex::Parser::Arguments.new(
          '-f' => [false, 'Optionally write host:port combos to file'],
          '-h' => [false, 'Display help']
        )

        file = nil
        help = false

        opts.parse(args) do |opt, idx, _val|
          case opt
          when '-h'
            help = true
          when '-f'
            file = args[idx + 1]
          end
        end

        if help
          print_line('Usage: grab_all [-f combos.txt]')
          return
        end

        # Grab all services matching 'http' type
        services = framework.db.services.where(state: 'open')
        services.each do |s|
          host = framework.db.hosts(id: s.host_id)[0]
          ip = host.address
          results << "#{ip}:#{s.port}"
        end

        results.uniq!

        if file.nil?
          results.each do |r|
            print "#{r}\n"
          end
        else
          fp = File.open(file, 'w')
          results.each do |r|
            fp.write("#{r}\n")
          end
          fp.close
        end
      end

      def cmd_grab_host_port(*args)
        opts = Rex::Parser::Arguments.new(
          '-S' => [false, 'Search for a service string'],
          '-p' => [false, 'Inlude specific ports in results (Ex: 80,443-445)']
        )

        query = nil
        ports = nil

        opts.parse(args) do |opt, idx, _val|
          case opt
          when '-S'
            query = args[idx + 1]
          when '-p'
            ports = args[idx + 1]
          end
        end

        if query.nil? && ports.nil?
          print_line('Usage: grab_host_port [-S http] [-p 80,443]')
          return
        end

        results = []

        unless query.nil?
          http_services = framework.db.services.where(state: 'open').select { |s| !s.name.nil? and s.name.include? query }
          http_services.each do |h|
            host = framework.db.hosts(id: h.host_id)[0]
            ip = host.address
            results << "#{ip}:#{h.port}"
          end
        end

        unless ports.nil?
          port_list = Rex::Socket.portspec_crack(ports)
          port_services = framework.db.services.where(state: 'open').where.not(name: nil).select { |s| port_list.include? s.port }
          port_services.each do |p|
            host = framework.db.hosts(id: p.host_id)[0]
            ip = host.address
            results << "#{ip}:#{p.port}"
          end
        end

        results.uniq!

        results.each do |r|
          print "#{r}\n"
        end
      end

      def cmd_list_services(*_args)
        services = framework.db.services.where(state: 'open').where.not(name: nil).pluck(:name).map { |s| s.sub('ssl/', '') }

        service_dictionary = {}

        services.each_with_index do |s, _i|
          service_dictionary[s] = services.count(s)
        end

        service_dictionary = service_dictionary.sort_by { |_k, v| v }.reverse.to_h

        service_dictionary.each do |k, _v|
          print "#{k}\n"
        end
      end
    end

    def name
      'Network Pentest Toolset'
    end

    def desc
      'Toolset to assist with basic network pentest tools by leveraging the MSF DB'
    end

    def initialize(framework, opts)
      super
      add_console_dispatcher(NetPenDispatcher)
    end

    def cleanup
      remove_console_dispatcher('Network Pentest Toolset')
    end
  end
end

References