Добрый день,Уважаемые Друзья и Форумчане.
Много чего тестировал в свободное время,что-то получилось,что-то нет. Остановиться решил на софте,который генерирует файлы с полезной нагрузкой. Инструмент называется Godofwar. Создал его пентестер KING SABRI. Известен он тем,что работал над Tamper-API для Sqlmap. Сам инструмент написан на ruby, а генерация вредоносных reverse shell и bind shell происходит на Java.
Собственно, этим он и интересен.
Установка:
Код:
# git clone https://github.com/KINGSABRI/godofwar.git
# cd godofwar
# gem install godofwar
# godofwar --help
Пример процесса создания вредоносного файла reverse shell. IP атакующей машины заретуширован.
На выходе мы получаем готовый zip.war архив с двумя директориями,в которых содержатся файлы .jsp и xml. Расширение war можно смело убрать для маскировки, а вот с остальной частью пришлось попотеть. Заявлено,что файлы применимы на всех ОС,но это не совсем так.
Если заглянуть на код основного файла,то можно увидеть,что ориентирован он всё же на атаку ОС Windows. В нём прописывается указанный iP атакующей машины и порт после генерирования.
Работает это всё как в локальной сети,так и в глобальной,последняя предпочтительнее даже.
Но есть свои сложности.
На конкретном примере,это не тот случай, когда жертва просто скачивает архив,распаковывает его,просматривает файлы и прилетает сессия. Банальное скачивание файла и попытка чтения отдельно-взятых файлов погоду не сделают,да и браузеры будут ругаться. И подсказки намекают на это. Так, в данном случае, сказано, чтобы работали с 8080 портом и ссылкой на файл,который работает с портом 4444. Т.е., большинство файлов предусмотрены для удалённого просмотра и должны располагаться на атакующем сервере.
Если жертва зайдёт по завуалированной ссылке (с обращением к файлу)на такой ресурс,то всё сработает как по маслу и её в браузере ожидает вот это.
(Здесь пришлось зайти с Linux- у Windows слетел драйвер напрочь после манипуляций с перестройкой интернет-соединений в самый неподходящий момент).
Прослушивать придётся 8080 порт и тогда можно будет видеть сессию. Которая держится и после закрытия жертвой страницы в браузере. Если закрыть сам браузер,то сессия через определённое время может отвалиться,но не сиюминутно.
Если файл не подредактирован под Linux , то не смотря на сессию,покомандовать не получится,это и спасает в таких ситуациях. Но атакующий может за это время и подключить другие инструменты,например,Beef и тот покажет с которой ОС пришли в гости. На скрине можно видеть ещё задействованный порт 38900 (самому интересно было). Это по причине того,что пришлось изворачиваться изрядно,чтобы сымитировать атаку. Была задействована и лаборатория с атакующей машиной на VB. И когда другие порты заняты,то по-умолчанию подключения идут через этот порт связи с клиентскими приложениями,характерный именно для Oracle.
Вот такая картина с данным софтом и старайтесь не попадаться на атакующие сервера с аналогичным вооружением. Опасна также возможность подмены файлов на сервере. В целом,думаю, софт будет также полезен для изучения кода,не всё же изучать аналогичные коды на python.
На этом благодарю всех за внимание и до новых встреч.
