Evilgrade con la ayuda de MITMf - BoomerNiX

lunes, 16 de julio de 2018

Evilgrade con la ayuda de MITMf

Y para celebrar que hace poco se acabaron las clases del máster de ciberseguridad que estoy realizando en la UEM, y  que vuelvo a tener los fin de semanas libres, voy a escribir un post sobre una de las prácticas propuestas en el curso, en este caso una de Pablo ;).

Teniendo el post de hace un par de semanas (DNS Spoofing), llevaremos a cabo nuestro ataque Evilgrade. Vamos a buscar que la actualización de una aplicación X, descargue nuestro código y consigamos una Shell en Metasploit. La aplicación X será Notepad++, que es un editor de texto conocido por todos.

Para realizar el ataque, tenemos que estudiar las peticiones que se hacen al realizar una actualización, para ello generamos el tráfico, vemos a las direcciones que se conecta:


Aquí podemos obtener el host directamente, o haciendo un nslookup a la dirección 37.59.28.236:


Ahora, ya tenemos el dominio *.notepad-plus-plus.org, así que lo agregamos a nuestra configuración de DNS del programa mitmf: 

Seguimos investigando las peticiones y nos encontramos la primera URL que tenemos que generar:


El contenido de la respuesta se muestra a continuación:


De la respuesta o del resto de paquetes se puede obtener la otra ruta, además este contenido, lo tendremos que agregar a un fichero llamado getDownloadUrl.php. Las rutas creadas, se muestran a continuación:


El archivo npp.7.5.6.Installer.exe se consigue con msfvenom (mirar siguiente imagen), posteriormente ese update.exe, se mueve con mv a la ruta correspondiente, y con el nombre correcto.


En LHOST indicamos nuestra dirección IP y en LPORT el puerto donde estaremos escuchando, para que la supuesta víctima se pueda conectar a nosotros.

Ahora se muestra el contenido del fichero getDownloadUrl.php:


Es hora de ejecutar mitmf para llevar a cabo ARP Spoofing y DNS Spoofing a nuestra "víctima":


Configuramos Metasploit, para que quede a la escucha de la conexión de la víctima. Cuando el objetivo intenta actualizar, vemos como se abre una conexión TCP, la siguiente captura muestra netstat en la máquina de la "víctima":


Y en la máquina del atacante, tenemos nuestra Shell:


Y aquí concluye la práctica de Evilgrade, espero que os sirva y recordar, los tutoriales se hacen para realizar las pruebas en entornos controlados, nunca se ánima a llevarlo al lado de la ilegalidad. Aquí se ha abierto una Shell en Metasploit, pero se pueden hacer diferentes cosas, eso ya lo dejo para vuestra imaginación. ¡Hasta la próxima!

No hay comentarios:

Publicar un comentario