Como todos sabréis ya, las intrusiones a los dispositivos Windows, son algo más duras que a los Linux. Esto es debido a que los Windows no están tan enfocados a conectarse que los Linux. En ocasiones tendremos que apoyarnos en la ingeniería social para poder tener acceso a ese ordenador o server. Aún que parezca mentira, al no estar la gente concienciada de lo que realmente se puede hacer consiguiendo acceso a sus máquinas, abren ejecutan y conectan todo tipo de aparatos portátiles en ellos, facilitando así la tarea de acceder.
La ingeniería social es un gran campo y bastante entretenido. El ser humano está condicionado por su curiosidad y el sentimiento de confianza en la mayoría de los casos.
En este caso, simularemos que la víctima se conecta a un link y se descarga un archivo malicioso que es el que nos dará acceso para poder hacer lo que queramos en el pc.
1. Creación del archivo malicioso.
Tenemos varios programas para hacerlo, a mi, particularmente me gusta más Veil- Evasion o Shellter.
En este caso usaremos Veil-Evasion.
Como podéis apreciar en la screen, el programa es muy intuitivo, solo hay que elegir el payload, en este caso el de reverse_tcp que es el 11 y acto seguido introducir los datos como hacemos en Metasploit. Después elegir el nombre del archivo y tendréis el exe malicioso creado.
Una vez hecho, hay que elegir como usarlo. Si se tiene trato con el target, una de las opciones es mandárselo directamente por mail y que lo abra, aquí vamos a simular que la victima accede a un link que lleva allí.
Levantamos el servidor apache, o el server https del que Kali dispone y quedaría así:
La victima accede al link y al darle click , confiada de que es son las facturas de ese mes, se ejecutara en segundo plano el programa y nosotros, al tener a la escucha nuestro pc, conseguiremos acceso.
Veil-Evasion podéis descargarlo e instalarlo mediante el comando de apt-get install, pero tener en cuenta que en ocasiones da problema con el Shellter si se tienen ambos instalados en el mismo Kali.
En el siguiente post, como estar a la escucha, conseguir una escalada de privilegios y como obtener persistencia en la maquina victima.
¡Buena semana a todos!
0 comentarios:
Publicar un comentario