Tomando control en Windows -FakeImageExploiter-
En esta ocasión vengo con una tool la cual me pareció muy interesante ya que esta coje un tipo de archivo ya sea imagen, docx, etc y le inserta un payload existente. Esta crea uno nuevo el cual si es ejecutado descargara los archivos anteriores que estarían en un server apache2 y los ejecutaría en la maquina victima. También trae varios módulos y entre ellos esta uno muy interesante el cual oculta extensiones conocidas como la .exe, al igual que también puede cambiar el icono del payload para que coincida con el tipo de extencion que le pasemos.
Bien empecemos, primero descargamos el proyecto desde github.
> git clone https://github.com/r00t-3xp10it/FakeImageExploiter.git
vamos a la carpeta del proyecto y editaremos el archivo settings.
> nano settings
Elegimos el tipo de extensión en mi caso usar la docx.
Cambiamos el auto-built a YES.
La extensión de mi payload en este caso sera .bat
Luego guardamos con CTRL+O & enter & CTRL+X. y abrimos nuestro editor de texto y cambiamos las siguientes lineas del archivo FakeImageExploiter.sh.
La linea 85 y 86 deben estar justo como las de la imagen para evitar futuros errores. Guardamos y luego ejecutamos nuestro script.
> ./FakeImageExploiter.sh
Elegimos la opción de reverse_https.
vamos a la carpeta bin y elegimos nuestro archivo .docx.
Le damos un nombre en mi caso le di office365 ustedes usan el mas que gusten. Luego nos dará el link donde estará alojado nuestro payload, lo copiamos y solo debemos convencer a nuestra victima de que ingrese a el para que se le descarguen los archivos.
Una vez la victima valla a nuestro link le saldrá lo siguiente.Cuando corra el archivo le saldrá nuestro que en este caso es un documento de office cuando lo ejecute o lo abra estará ejecutando nuestro payload.
Listo ya tenemos nuestra meterpreter, como podemos ver el sistema victima es un Win7 aun que podemos atacar cualquier versión sin ningún problema.
Espero que les haya gustado este post, no olviden compartir y suscribirse a mi blog.
These are the card sites that are considered to be on the "dark web". Read more about my website: dark web links
ResponderBorrar