Magic Unicorn es una herramienta simple para usar un ataque de degradación de PowerShell que inyecta código shell directamente en la memoria. Se basa en los ataques PowerShell de Matthew Graeber y la técnica de derivación PowerShell presentada por David Kennedy (TrustedSec) y Josh Kelly en Defcon 18.
Tabla de contenido
- Instrucción de ataque de Powershell
- Instrucción de ataque HTA
- Instrucción de macro ataque
Una vez descargado, vaya al directorio y ejecute unicornio con el siguiente comando para ver todos los métodos posibles.
Instrucciones de ataque de Powershell
Primero, probaremos la carga útil reverse_tcp. Como podemos ver en el menú principal, todos los comandos ya están escritos. Solo necesitamos reemplazar la IP con nuestra IP.
Ahora esto nos dará dos archivos. Uno es un archivo de texto llamado "powershell_attack.txt" que tiene el código de PowerShell que se ejecutará en la máquina de la víctima mediante ingeniería social y el otro es "unicorn.rc", que es un archivo Metasploit personalizado que configurará automáticamente todos los parámetros y iniciar un oyente.
Estos archivos se guardarán en el directorio donde se clonó el unicornio. Powershell_attack.txt contiene el código malicioso y cuando la víctima ejecutará ese código en su símbolo del sistema, el atacante obtendrá una conexión inversa de su máquina.
Ahora configuremos un oyente primero. Necesitamos ejecutar el archivo Metasploit "unicorn.rc" usando el siguiente comando:
Vemos que se obtuvo una sesión en el meterpreter. Fue porque el código de PowerShell se ejecutó en el shell de comandos de la víctima. Hubiera parecido algo como esto:
Instrucciones de ataque de HTA
Para nuestro próximo ataque, utilizaremos una carga útil de HTA.
Ahora convierta su IP en forma de URL de bit.ly y envíela a la víctima y luego espere a que el usuario haga clic en el archivo "launcher.hta" que se podría hacer usando ingeniería social fácilmente.
Entonces, configuramos un detector de Metasploit luego usando el archivo RC y esperamos que el usuario haga clic en la carga útil de hta.
Tan pronto como ejecutó el archivo, recibimos una sesión de meterpreter. Verificamos la información del sistema usando el comando sysinfo .
Instrucciones de ataque macro
Ahora, para la tercera y última carga útil de este tutorial, ponemos manos a nuestras queridas macros.
De nuevo, esto crea un archivo de texto y un archivo " .rc " con el mismo nombre y en el mismo destino.
Para habilitar el modo de desarrollador, existen varios métodos según su versión de MS office.
En cuanto a un enfoque genérico, digamos que lo habilitó como:
Archivo-> propiedades-> cintas-> modo desarrollador
Verá una pestaña adicional etiquetada desarrollador una vez que se habilite.
En cuanto al ataque, vaya a desarrollador-> macros y cree una nueva macro llamada "Auto_Open"
Simplemente pegue el contenido de "powershell_attack.txt" en este módulo xlsx y guárdelo.
Tan pronto como haga clic en Ejecutar (pequeño icono verde en la parte superior), le dará un error. No te preocupes Quieres ese error. Se supone que debe suceder.
¡Poco después del error en la pantalla del usuario, habríamos obtenido una sesión con éxito en meterpreter!
¡Usa sysinfo para verificar nuestra exitosa explotación con Unicorn!
Autor: Harshit Rajpal es investigador de InfoSec y pensador cerebral izquierdo y derecho. contacta aquí
Múltiples formas de explotar el método PUT
Hola
amigos, el artículo de hoy está relacionado con la explotación de la
vulnerabilidad del método HTTP PUT a través de varias técnicas. Primero,
determinaremos si el método HTTP PUT está habilitado en la máquina
víctima objetivo, una publicación en la que utilizaremos varios métodos
diferentes para cargar un shell inverso Meterpreter en el objetivo y
comprometerlo.
Como este método se utiliza para cambiar o eliminar los archivos del sistema de archivos del servidor de destino, a menudo resulta en varias vulnerabilidades de carga de archivos, lo que abre el camino para ataques críticos y peligrosos. Como práctica recomendada, los permisos de acceso a los archivos de los servidores críticos de las organizaciones deben limitarse estrictamente con acceso restringido a usuarios autorizados, en caso de que la organización DEBE tener estos métodos habilitados.
Nota: En este tutorial, estamos utilizando una máquina de destino Vulnerable para propósitos de Pentesting y para ilustrar el uso de varias herramientas. Esto está destinado exclusivamente a fines educativos en el entorno de prueba y no debe utilizarse en un entorno de producción sin los permisos autorizados de las autoridades / gestión pertinentes.
Requisitos
Objetivo: Metasploitable 2
Atacante: máquina Kali Linux
¡¡¡¡Vamos a empezar!!!!
Arranque su máquina Kali Linux (IP: 192.168.1.105 ) y en paralelo, escriba la IP de la víctima como 192.168.1.103 en el navegador Firefox y haga clic en WebDAV. Como podemos ver en la captura de pantalla, solo se muestra el directorio principal.
En primer lugar, debemos asegurarnos de que la máquina objetivo vulnerable tenga el método HTTP PUT que nos permita cargar puertas traseras maliciosas. Para confirmar lo mismo, necesitamos escanear el objetivo usando Nikto.
Nikto es un escáner de servidor web popular que prueba los servidores web en busca de archivos / CGI peligrosos, software de servidor obsoleto y otros problemas. También realiza verificaciones genéricas y específicas del tipo de servidor. A continuación se muestra el comando para escanear la URL:
Al
ejecutar el comando anterior, podemos observar que la parte resaltada
en la siguiente captura de pantalla muestra que el método HTTP PUT está
permitido. Ahora
pirateemos la máquina objetivo vulnerable cargando el archivo malicioso
PHP, utilizando las diversas técnicas que se mostrarán en las próximas
secciones.
Prepare el archivo malicioso para cargarlo con msfvenom:
Msfvenom se puede usar para crear una carga útil de PHP meterpreter que nos da un shell inverso. Ejecute el siguiente comando para realizar lo mismo
Copie el código de <? Php to die () y guárdelo en un archivo con extensión .php como archivo shell.php , en el escritorio. Esto se utilizará más adelante en las próximas secciones, para cargar el archivo en el servidor web.
Paralelamente, cargue el marco Metasploit escribiendo msfconsole en un nuevo terminal e inicie multi / handler. Esto se utilizará en la parte posterior de la sección.
Escriba la URL del host de destino para cargar el archivo malicioso, utilizando el comando que se proporciona a continuación.
Ahora, una vez que estemos dentro del directorio de la víctima, cargue el archivo shell.php desde el escritorio a la ruta de la máquina de destino, ejecutando el siguiente comando:
Para verificar si el archivo está cargado o no, ejecute la URL: 192.168.1.103/dav/ en el navegador. ¡¡¡Increíble!!! Como podemos ver, el archivo malicioso shell.php se ha cargado en el servidor web.
Ahora, iniciemos el marco Metasploit e iniciemos un controlador utilizando el módulo exploit / multi / handler. Asigne los otros valores como los valores LHOST y LPORT a la IP y al puerto de la máquina Kali para escuchar, respectivamente. Una vez hecho esto, ejecute ejecutando el comando exploit para comenzar a escuchar las conexiones entrantes.
Presione Intro y observaremos que el controlador TCP inverso se ha iniciado en Kali IP 192.168.1.105:4444.
Ahora regrese al archivo shell.php cargado anteriormente y haga clic en el mismo. Una vez ejecutado, obtendremos la conexión inversa TCP automáticamente en el shell de meterpreter. Además, ejecute el comando sysinfo en la sesión de meterpreter para obtener detalles del sistema operativo / arquitectura de la máquina.
Como se ve en la siguiente captura de pantalla, el archivo nmap.php se ha cargado correctamente.
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo nmap.php se ha cargado en el servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo nmap.php cargado anteriormente y ejecútelo. Como se puede ver a continuación, esto nos dará una sesión de meterpreter.
Prepare el archivo malicioso poster.php que desea cargar en la máquina de destino. Instale el complemento Poster desde el complemento de Firefox. Haga clic en las herramientas de la barra de menú. Y luego haga clic en Póster en el menú desplegable. Se abrirá el siguiente cuadro de diálogo. Escriba la URL como se menciona en la captura de pantalla y proporcione la ruta del archivo malicioso que se cargará a través de la opción Examinar y, finalmente, haga clic en la acción PUT.
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo poster.php se ha cargado en el servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo poster.php cargado anteriormente y ejecútelo. Esto nos dará una sesión de meterpreter.
Configure los ajustes de proxy manuales del navegador de los usuarios finales para interceptar la solicitud GET. Explore la URL http://192.168.1.103 pero no presione ENTER aún. Paralelamente, naveguemos a la pestaña Proxy de Burpsuite y haga clic en Interceptar está en la opción debajo de la subopción Interceptar , para capturar la solicitud. Tan pronto como presionemos ENTER en el navegador de los usuarios, podremos obtener los datos debajo de la ventana de intercepción.
Ahora haga clic derecho en la misma ventana y se mostrará una lista de múltiples opciones. Un clic adicional en Enviar al repetidor.
En la captura de pantalla resaltada a continuación, observaremos dos paneles: izquierdo y derecho para la Solicitud HTTP y la Respuesta HTTP, respectivamente. El método GET se puede observar en la solicitud HTTP y ahora reemplazaremos GET con el método PUT para cargar el archivo con el nombre burp.php que incluye contenido / código malicioso.
Escriba PUT /dav/burp.php HTTP / 1.1 en el encabezado y luego pegue el código malicioso php a partir de directorio dav mediante solicitud PUT.
Verifique y confirme la carga del archivo explorando la misma URL 192.168.1.103/dav en el navegador de los usuarios finales y podemos ver que el archivo burp.php se ha cargado en el directorio / dav del servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo burp.php cargado anteriormente y ejecútelo. Esto nos dará una sesión de meterpreter.
Metasploit tiene módulos auxiliares integrados dedicados al escaneo de métodos HTTP y nos brinda la capacidad de PONER un archivo con auxiliar / escáner / http / http_put. A continuación se encuentran los comandos para lograr lo mismo
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo meter.php se ha cargado en el servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo meter.php previamente cargado y ejecútelo. Esto nos dará una sesión de meterpreter.
Para explotar el método PUT con cURL, el comando es:
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo curl.php se ha subido al servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo curl.php cargado anteriormente y ejecútelo. Esto nos dará una sesión de meterpreter.
Tabla de contenidos
- Introducción al método HTTP PUT
- Método de escaneo HTTP PUT (Nikto)
- Explotación del método PUT con cadáver
- Explotación del método PUT usando Nmap
- Explotación del método PUT mediante póster
- Explotación del método PUT utilizando Metasploit
- Explotación del método PUT utilizando Burpsuite
- Explotación del método PUT usando Curl
Introducción al método HTTP PUT
El método PUT fue originalmente pensado como uno de los métodos HTTP utilizados para las operaciones de administración de archivos. Si el método HTTP PUT está habilitado en el servidor web, puede usarse para cargar un recurso malicioso en el servidor de destino, como un shell web, y ejecutarloComo este método se utiliza para cambiar o eliminar los archivos del sistema de archivos del servidor de destino, a menudo resulta en varias vulnerabilidades de carga de archivos, lo que abre el camino para ataques críticos y peligrosos. Como práctica recomendada, los permisos de acceso a los archivos de los servidores críticos de las organizaciones deben limitarse estrictamente con acceso restringido a usuarios autorizados, en caso de que la organización DEBE tener estos métodos habilitados.
Nota: En este tutorial, estamos utilizando una máquina de destino Vulnerable para propósitos de Pentesting y para ilustrar el uso de varias herramientas. Esto está destinado exclusivamente a fines educativos en el entorno de prueba y no debe utilizarse en un entorno de producción sin los permisos autorizados de las autoridades / gestión pertinentes.
Requisitos
Objetivo: Metasploitable 2
Atacante: máquina Kali Linux
¡¡¡¡Vamos a empezar!!!!
Arranque su máquina Kali Linux (IP: 192.168.1.105 ) y en paralelo, escriba la IP de la víctima como 192.168.1.103 en el navegador Firefox y haga clic en WebDAV. Como podemos ver en la captura de pantalla, solo se muestra el directorio principal.
En primer lugar, debemos asegurarnos de que la máquina objetivo vulnerable tenga el método HTTP PUT que nos permita cargar puertas traseras maliciosas. Para confirmar lo mismo, necesitamos escanear el objetivo usando Nikto.
Nikto es un escáner de servidor web popular que prueba los servidores web en busca de archivos / CGI peligrosos, software de servidor obsoleto y otros problemas. También realiza verificaciones genéricas y específicas del tipo de servidor. A continuación se muestra el comando para escanear la URL:
Prepare el archivo malicioso para cargarlo con msfvenom:
Msfvenom se puede usar para crear una carga útil de PHP meterpreter que nos da un shell inverso. Ejecute el siguiente comando para realizar lo mismo
Paralelamente, cargue el marco Metasploit escribiendo msfconsole en un nuevo terminal e inicie multi / handler. Esto se utilizará en la parte posterior de la sección.
Cadáver
Cadaver es una herramienta de línea de comandos preinstalada en la máquina Kali que permite cargar y descargar un archivo en WebDAV.Escriba la URL del host de destino para cargar el archivo malicioso, utilizando el comando que se proporciona a continuación.
Para verificar si el archivo está cargado o no, ejecute la URL: 192.168.1.103/dav/ en el navegador. ¡¡¡Increíble!!! Como podemos ver, el archivo malicioso shell.php se ha cargado en el servidor web.
Ahora, iniciemos el marco Metasploit e iniciemos un controlador utilizando el módulo exploit / multi / handler. Asigne los otros valores como los valores LHOST y LPORT a la IP y al puerto de la máquina Kali para escuchar, respectivamente. Una vez hecho esto, ejecute ejecutando el comando exploit para comenzar a escuchar las conexiones entrantes.
Ahora regrese al archivo shell.php cargado anteriormente y haga clic en el mismo. Una vez ejecutado, obtendremos la conexión inversa TCP automáticamente en el shell de meterpreter. Además, ejecute el comando sysinfo en la sesión de meterpreter para obtener detalles del sistema operativo / arquitectura de la máquina.
Nmap
Nmap es una herramienta de explotación de red y escáner de puertos de código abierto. Si el Método PUT está habilitado en cualquier servidor web, entonces también podemos cargar un archivo malicioso en un servidor web remoto con la ayuda de NMAP. A continuación se muestra el comando para configurar lo mismo. Debemos especificar el nombre del archivo y la ruta URL con argumentos NSE. en paralelo, prepare el archivo malicioso nmap.php para cargarlo en el servidor de destino. Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo nmap.php se ha cargado en el servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo nmap.php cargado anteriormente y ejecútelo. Como se puede ver a continuación, esto nos dará una sesión de meterpreter.
Póster
El póster es un complemento de Firefox y una herramienta de desarrollo para interactuar con los servicios web para permitir que el usuario final active las solicitudes HTTP con parámetros como GET, POST, PUT y DELETE y también permite establecer el cuerpo de la entidad y el tipo de contenidoPrepare el archivo malicioso poster.php que desea cargar en la máquina de destino. Instale el complemento Poster desde el complemento de Firefox. Haga clic en las herramientas de la barra de menú. Y luego haga clic en Póster en el menú desplegable. Se abrirá el siguiente cuadro de diálogo. Escriba la URL como se menciona en la captura de pantalla y proporcione la ruta del archivo malicioso que se cargará a través de la opción Examinar y, finalmente, haga clic en la acción PUT.
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo poster.php se ha cargado en el servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo poster.php cargado anteriormente y ejecútelo. Esto nos dará una sesión de meterpreter.
Burpsuite
Burpsuite es una de las herramientas de interceptación de proxy más populares, cuya interfaz gráfica se puede utilizar de manera efectiva para analizar todo tipo de solicitudes GET y POST.Configure los ajustes de proxy manuales del navegador de los usuarios finales para interceptar la solicitud GET. Explore la URL http://192.168.1.103 pero no presione ENTER aún. Paralelamente, naveguemos a la pestaña Proxy de Burpsuite y haga clic en Interceptar está en la opción debajo de la subopción Interceptar , para capturar la solicitud. Tan pronto como presionemos ENTER en el navegador de los usuarios, podremos obtener los datos debajo de la ventana de intercepción.
Ahora haga clic derecho en la misma ventana y se mostrará una lista de múltiples opciones. Un clic adicional en Enviar al repetidor.
En la captura de pantalla resaltada a continuación, observaremos dos paneles: izquierdo y derecho para la Solicitud HTTP y la Respuesta HTTP, respectivamente. El método GET se puede observar en la solicitud HTTP y ahora reemplazaremos GET con el método PUT para cargar el archivo con el nombre burp.php que incluye contenido / código malicioso.
Escriba PUT /dav/burp.php HTTP / 1.1 en el encabezado y luego pegue el código malicioso php a partir de directorio dav mediante solicitud PUT.
Verifique y confirme la carga del archivo explorando la misma URL 192.168.1.103/dav en el navegador de los usuarios finales y podemos ver que el archivo burp.php se ha cargado en el directorio / dav del servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo burp.php cargado anteriormente y ejecútelo. Esto nos dará una sesión de meterpreter.
Metasploit
Metasploit Framework es una plataforma bien conocida para desarrollar, probar y ejecutar exploits. Es una herramienta de código abierto para realizar varios exploits contra las máquinas de destino. Este módulo puede abusar de servidores web mal configurados para cargar y eliminar contenido web a través de PUT y DELETE solicitudes HTTP. Establezca ACCIÓN en PUT o DELETE. PUT es el valor predeterminado.Metasploit tiene módulos auxiliares integrados dedicados al escaneo de métodos HTTP y nos brinda la capacidad de PONER un archivo con auxiliar / escáner / http / http_put. A continuación se encuentran los comandos para lograr lo mismo
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo meter.php se ha cargado en el servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo meter.php previamente cargado y ejecútelo. Esto nos dará una sesión de meterpreter.
rizo
cURL es una herramienta de línea de comandos conocida para enviar o recibir los datos utilizando la sintaxis de URL y es compatible con varios protocolos conocidos (HTTPS, FTP, SCP, LDAP, Telnet, etc.)Para explotar el método PUT con cURL, el comando es:
Escriba la misma URL en el navegador 192.168.1.103/dav y ejecute la misma. Como se desprende de la captura de pantalla, el archivo curl.php se ha subido al servidor web.
Simultáneamente, abra la consola Metasploit MSF y use multi / handler; luego regrese al archivo curl.php cargado anteriormente y ejecútelo. Esto nos dará una sesión de meterpreter.
No hay comentarios:
Publicar un comentario