Esta segunda entrada de Rubber Ducky de esta semana veremos un ataque por mencionarlo asi en el cual se hace uso de Metasploit y PowerShell por medio de una automatización realizada en Ruby este script se encuentra disponible en Github realizado por b00stfr3ak con el nombre de Powershell Reverse Rubber Ducky.
En este caso no es un bypass completo de las medidas de seguridad del objetivo, y lo menciono debido a que el dia de ayer en la entrada Ataque y Escalamiento de privilegios (mimikatz) con Rubber Ducky & Empire Framework fue posible realizar un bypass al antivirus y en ningun momento alerto logrando realizar el escalamiento de privilegios sin inconvenientes.
Lo que necesitamos para esta prueba es el Script que se encuentra en el siguiente repositorio.
Como siempre tienen la opción de bajar desde la web en formato compreso y luego hacer todo lo que conllevas o en su defecto con git.
snifer@root:$ git clone https://github.com/b00stfr3ak/Powershell-Reverse-Rubber-Ducky.git
Una vez se descarga el repositorio contamos con el script reverse_powershell_ducky.rb que esta sobre-entendido que se debe ejecutar con Ruby.
snifer@root:$ ruby reverse\_powershell\_duck.rb
Si ven en la captura el script nos solicita en cada paso algunos datos los cuales son:
Servidor: En este caso el equipo donde estaremos a la escucha de la shell reversa.
Puerto: El puerto que estaremos a la escucha valga la redundancia.
Generación de BIN.
Y por ultimo y no menos importante el mismo script nos pregunta si configura el listener en el mismo procede a llamar a metasploit y configurarlo el mismo se ve a continuación aqui lo bueno es que manda el mismo en background con el nos permite realizar otro tipo de tareas.
Lo siguiente y no debemos olvidarnos es cargar el bin generado en nuestra Rubber Ducky. (Así es ando reutilizando la imagen de la entrada de ayer.)
Despues que el script realiza su ejecución nos da el resultado que se ve en la siguiente captura.
Para ver las sesiones activas se realiza por medio del comando sessions -l.
Y para interactura y acceder al mismo es con el comando sessions -i (ID de la sesion).
Como veran ya es posible interactura con el mismo, ya de aqui depende de como realizar un escalamiento con Metasploit, Pass the Hash de ser necesario. Despues de un momento el Antivirus salto en la pc como se ve a continuación indicando que se tiene una Amenaza detectada en Memoria.
En una próxima entrada lo que veremos es como realizar el bypass al antivirus, por medio de diferentes tecnicas y pruebas cuando se ejecute nuestro payload espero sea de tu agrado y cualquier duda no dudes en realizarlo en los comentarios.
Regards,
Snifer