Ломаем любой ПК



Предыдущая | Следующая

Суть уязвимости заключается в частичном использовании социальной инженерии и невнимательности пользователя. Некоторые когда смотрят какой-то мануал на сайте - копируют текст, и тупо вставляют его в командную строку даже не задумываясь

Paste Zort позволяет производить спуффинг буфера обмена: пользователь с сайта хочет скопировать одну команду

"ping 8.8.8.8"

а вместо этого, в буфер обмена копируется несколько другая команда,

"ping 8.8.8.8; ASAUSDYTG(*&^@#T$)*ASDHU#*TRFGIHUSAD; cls"

с зашифрованным содержимым. Если пользователь вставит ту команду, он даже не успеет понять что что-то произошло, т.к. терминал моментально отчистится, и на его компьютере уже будет запущен payload от Metasploit, который откроет удаленный доступ для злоумышленника.

 

Устанавливаем PasteZort

git clone https://github.com/ZettaHack/PasteZort
cd PasteZort
chmod +x *

Запускаем

./PasteZort

 

1 Выбираем ОС жертвы

2 Выбираем полезную нагрузку
3 Вводим свой ip адрес и порт 4444

Теперь у нас должна генерироваться полезная нагрузка , после ее генерации , нам необходимо ввести слово, в котором будет зашифрована эта полезная нагрузка.

У нас запустился сервер апач где и находится наша фраза. Как ее использовать? Приведу пример : Берется и скачивается исходник кода какого либо сайта например с помощью wget , далее мы берем копируем фразу и вставляем ее в любое место сайта, далее запускаем сайт через ngrok и кидаем жертве.