• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Доступ к целевому ПК (meterpreter) - PasteZort

Приветствую! В этой статье речь пойдет, о таком виде атаки на целевой хост, как Pastejacking.

upload_2017-11-16_19-11-31.png


Если кратко, то этот метод заключается в том, что жертва атаки копирует (Ctrl+C) с нашего ресурса, инструкции/команды для командной строки, которые с виду легитимны, но на самом деле в буфер обмена, с ними попадает вредоносный код. Целью является получение сессии meterpreter, этим и займемся.

В качестве основного инструмента мы будем использовать PasteZort.

В качестве атакующей системы: Kali Linux 2017.3.

Целевая система: Windows 8.1. Last Update.

Рабочая среда: Локальная сеть, интернет.

Для начала, необходимо получить PasteZort, скачиваем его со страницы разработчиков на Github.

Код:
git clone https://github.com/Zettahack/PasteZort

upload_2017-11-16_19-12-58.png


Код:
cd /PasteZort
ls –a
chmod +x PasteZort.py

upload_2017-11-16_19-14-10.png


Затем, необходимо, файлу encode.rb в директории PasteZort разрешить выполнение:

upload_2017-11-16_19-14-25.png


Теперь, все готово к запуску, но нужно немного поработать, для получения результата. Дело в том, что PasteZort генерирует html файл с вредоносным содержимым, и когда цель перейдет на наш ресурс, если все оставить по умолчанию, она может что-то заподозрить:

upload_2017-11-16_19-15-26.png

Для этого, предлагаю, создать копию доверенного ресурса и на его странице разместить информацию с вредоносным кодом. И затем запустить у себя на сервере, поделившись с целью ссылкой.

Самый простой способ загрузить себе сайт, это использовать утилиту wget. Со следующими параметрами:

Код:
wget -r -k -l 1 -p -E -nc http://site.com/

После выполнения данной команды в директорию site.com будет загружена локальная копия сайта . Чтобы открыть главную страницу сайта нужно открыть файл index.html.

upload_2017-11-16_19-16-28.png


Запускаем PasteZort и формируем полезную нагрузку:

Код:
./PasteZort

upload_2017-11-16_19-17-7.png


И запускаем handler Metasploit:

upload_2017-11-16_19-17-20.png


Переместим файл из папки /var/www/index.html в любую другую папку, он понадобится нам позже. Затем копируем скачанный сайт, полностью, включая все папки в директорию /var/www.

upload_2017-11-16_19-17-38.png


Убедимся, что все работает, зайдем с целевого хоста на наш клонированный сайт.

upload_2017-11-16_19-17-54.png

Теперь, все в той же папке /var/www редактируем файл index.html, а именно, нам нужно перенести в него полезную нагрузку из index.html, который мы отложили ранее. Ну и сделать это максимально правдоподобным, включаем своего внутреннего СИ.

Редактируем его примерно следующим образом:

upload_2017-11-16_19-18-15.png


Сохраняем наш труд и заходим на сайт повторно, в случае, успеха картина будет такой:

upload_2017-11-16_19-18-31.png

Копируем команду, предложенную сайтом, открываем CMD на целевом хосте и вставляем ее внутрь:

upload_2017-11-16_19-18-57.png


Нажимать ничего не нужно, команда выполнится скрытно, CMD закроется, а на атакующем хосте, откроется активная сессия meterpreter.

upload_2017-11-16_19-19-18.png


С локальной сетью понятно. Через внешнюю сеть метод тоже работает, необходимо просто пробросить порты:

upload_2017-11-16_19-21-21.png


Для того, кого смущает IP-адрес вместо удобочитаемого доменного имени инструкция в подарок:

Код:
https://www.digitalocean.com/community/tutorials/apache-ubuntu-14-04-lts-ru

На этом все, спасибо за внимание.

P.S. И проверяйте, что вы на самом деле копируете.

upload_2017-11-16_19-21-31.png
 
Последнее редактирование:
F

Free

Статья интересная, но не все пользователи(юзеры!) знают что то скопировать , тем более вставить в cmd, один вид консоли у них вызывает приступ паники)))!
Нужна хорошая соз.инженерия, на знакомых работает на ура.
 
  • Нравится
Реакции: Tihon49 и PingVinich

Tihon49

Green Team
06.01.2018
193
120
BIT
0
Какая старая тема, а я только её увидел. Классный вариант. Как всегда, есть где разгуляться! Сенкью ТС'у!
 
  • Нравится
Реакции: TRY HACK
G

Gamer

Здраствуйте а как запустить Коммандную строку в самой папке PasteZort
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!