domingo, 21 de octubre de 2018

Señorías...Hoy te la meto hasta las orejas A.K.A "Tu server es un leño"

Vivo con música, eso lo saben bien la gente de mi entorno.Muchos de los posts del blog están basados en canciones que me gustan, eso es algo que sabéis si lleváis un tiempo en el blog. Pues quería dedicarle un post (más) a mi querido Rosendo, que se retira de los escenarios y yo voy a estar en Granada cuando vaya a dar su concierto el día 3, pero eso ya se verá en otro post que estoy preparando.



En el post de Fake ARP & DNS to manipulate a Linux package to obtain a meterpreter session ya comenté esa idea que tuve de hacer un ARP y DNS para suplantar los enlaces del sources.list y así, cuando la víctima se descargue un paquete, se descargue uno malicioso. En ese post comenté la parte más "Gorda" del ataque, pero no conté cómo hacer malicioso un paquete. De eso va este post.


Lo primero que tendremos que hacer será descargar el(los) paquete(s) que queramos suplantar. Para hacer la prueba, voy a utilizar nmap, pero podéis utilizar cualquier otro. Ahora me voy a crear dentro una carpeta temporal, otro directorio para ir almacenando todos los archivos que necesita para esta PoC.

Es importante que extraigamos el paquete a un directorio de trabajo y posteriormente creemos un directorio DEBIAN para algunos archivos que tendremos que ir creando.


Tendremos que crear, en primer lugar, un archivo que se llame "control" que nos va a servir más adelante. Ahí tendremos que añadir información del paquete. Si no sabéis qué hay que escribir o vosotros lo probáis con otro paquete, solalmente tenéis que ir al paquete original que lo tendréis en .deb y sin descomprimir mirar en su contenido e ir buscando hasta que encontréis el archivo control. Siempre aparece, por lo que lo buscáis y copiáis ese contenido al vuestro. Este es un paso fundamental ya que es en lo que se basa todo archivo .deb y que necesitaremos que cumpla nuestro paquete malicioso.


Una vez que tenemos todo esto y que creemos un archivo postint (un sh para cambiar permisos tal y como se ve en este artículo) tendremos que utilizar msfvenom para generar nuestro payload (Utilizamos msfvenom y más ahora que Venom está petándolo). Podemos escoger la "arch" o que elimine los \x00, pero tal y como está no debería darnos problemas, además de que muchas opciones ya te las establece msfvenom por defecto si utilizas el payload correcto, en este caso un reverse_tcp para GNU/Linux.


Y ahora viene lo divertido. Ahora cambiamos los permisos a nuestro postint y hacemos un build del .deb de nmap que queremos generar. Nos lo va a generar-en mi caso- como test.deb, y eso cantaría mucho, por lo que un mv para cambiarle el nombre a nmap.deb, ya que hemos hecho el build de nmap a test.deb, y pasamos ese archivo a /var/www/html. Iniciamos apache2 si no lo estaba y arrancamos metasploit con el exploit ya introducido tal y como se ve en la screenshoot de arriba. Vemos que esperará hasta que la víctima se descargue el .deb y lo ejecute.



Y la víctima se lo descargaría con wget y después tiraría el comando dpkg -i para instalarlo. Claro, para que haga esto, tendríamos que engañarlo con ingeniería social. Aquí es donde entra el ataque de Fake ARP & DNS to manipulate Linux packages. Al fin y al cabo son capas extras que se añaden al ataque.


Una vez que se realiza el ARP & DNS Spoofing de los links del archivo sources.list de los equipos con GNU/Linux, sería más fácil que la víctima caiga e instale el paquete malicioso. Por supuesto si hemos hecho un buen trabajo previo de obtener información de la víctima para saber y conocer su perfil y qué aplicaciones puede querer utilizar con mayor probabilidad será aún más fácil. 

Otro enfoque muy interesante, sería el de crear nuestro propio repositorio con miles de paquetes Linux, para así acertar sí o sí.Imaginad que esto lo hiciese un grupo de ciberdelincuentes camuflando sus verdaderas intenciones, crearía un repositorio o una empresa que se dedique a esto. Cuanto más grande sea el repositorio, más probabilidad de éxito tendremos de que nuestro ataque salga bien y podamos decir como dice Extremoduro. "Hoy te la vamos a meter hasta las orejas".



Estos posts sobre el ataque que llamo yo de forma reducida ADS4LPM (ARP & DNS Spoofint for a Linux Package Manipulation) van a formar parte de un proyecto aún mayor y que ya he llamado "Tu server es un Leño", porque para este proyecto (al igual que en mi vida) Rosendo tiene que estar presente.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...