martes, 12 de febrero de 2019

Artemis ya está cazando

Nueva tool, y esta es la primera que hago para inyectar código. Tiene el nombre de la diosa de la caza y no por casualidad. Es para optimizar ataques como los que comenté en cómo utilizar un svg para colar un XSS.




La herramienta lo que hace es descargarse la web a atacar una vez que se le pasa por parámetro e inyecta el código malicioso.


La herramienta está realizada en shellscript, ya que yo solamente elaboro tools para sistemas GNU/Linux, y eso no lo pienso cambiar.


Cuando inyecta el código, mueve ese archivo a /var/www/html/carpetaDeTesteo para tenerlo en nuestro localhost.


En esta PoC he utilizado la web de mi colegio de Primaria y Secundaria y que, como se comprueba, es vulnerable a este tipo de ataque ya que me permite redirigir al usuario a la web de cordópolis, una web de noticias de Córdoba.


Si queréis el código, ya sabéis que lo tenéis en GitHub

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...