miércoles, 17 de octubre de 2018

Fake ARP & DNS to manipulate a Linux package to obtain a meterpreter session

Este es un trabajo con el que llevo ya un tiempo. Me ha llevado mi tiempo dar con ello entre que tengo poco tiempo y que cuando llegaba a casa, llegaba cansado y no podía dedicarle mucho tiempo. Pero al fin ha salido y creo que es algo interesante de analizar y de tener en cuenta dada su posible peligrosidad.



El ataque es sencillo, ya que se basa en realizar un DNS y ARP Spoofing a uno de los enlaces que hay en /etc/apt/sources.list para que la víctima al descargar un paquete con apt-get install, vaya al enlace que en realidad es mi máquina y se descarguen una shell.


Lo primero que se haría sería meter nuestra shell en nuestro /var/ww/html. La shell que tendríamos que crear sería descargango primero nuestro paquete del programa en cuestión y añadir la shell al paquete tal y como se hace en este artículo Offensive Security.

En este blog ya sabéis cómo se hace un ARP y DNS Spoofing, por lo que esa parte es fácil. O al menos es conocida.



El ataque es simple, y como se ve cuando solicito un enlace que está en el sources.list de la máquina GNU/Linux, nos muestra la página que tenemos en nuestro equipo. Por lo que quedaría que la víctima ejecute el programa y ya lo demás es obtener una sesión meterpreter normal y corriente.

Lo bueno de este ataque es que la víctima no sospecharía nada, ya que es ejecutar su propio comando apt-get install y no considerarían que fuese malicioso, y este es el punto fuerte del ataque.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...