[SOLUCIONADO] Ayuda ejecutar exe al entrar en web

Iniciado por BlueCode, Junio 18, 2015, 08:57:47 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Junio 18, 2015, 08:57:47 PM Ultima modificación: Junio 27, 2015, 11:48:07 AM por Expermicid
Hola, escribo este post para preguntar como podria hacer que al entrar en una web se descarge y ejecute un ejecutable .exe debido a que antes usaba un java fake pero he estado un tiempo retirado y he leido que ya no valen para nada porque han cambiado el sistema de seguridad y no puedo hacer esto con un java fake, asi es que si alguien me puede ayudar exponiendome algun otro método se lo agradecería, un saludo y gracias!

Lo que preguntas es javabydrive básicamente lo que hacía era el applet  llamar a un .jar que detectaba el path del %TEMP% y transfería binariamente el exe y lo ejecutaba en la máquina.

Como tu bien has dicho está parcheado y no funciona ahora por lo que veo que se está usando es xploitskits pero encontrar un 0day y pagar su precio es una barbaridad.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


.
Junio 20, 2015, 02:21:10 PM #2 Ultima modificación: Marzo 02, 2024, 09:00:33 AM por 45sa54sa
.

Dejemos las cosas bien claras antes de que te entreguen la "fórmula secreta", para que se puede ejecutar un .exe o cualquier tipo de archivo de forma automática desde una web se debe utilizar un exploit o abusar de la confianza del usuario (Java Applet), el primer caso es automático y no muestra ninguna alerta, pero para eso el navegador debe estar desactualizado y la versión que la víctima posea debe ser vulnerable (hablamos hipotéticamente si los fallos de seguridad que poseen son públicos, pues los privados atentan con navegadores actualizados), en segundo caso puedes ejecutar un Applet de java que al fin y al cabo permite la ejecución de un meterpreter en el sistema de la víctima, pero con este método, el usuario debe aceptar la ejecución del applet en su ordenador, por algo está en la suite de SET, ya que es ingeniería social más que fallo.

Como consejo y por la pregunta que planteas te recomiendo probar con el segundo método a no ser que sepas que la víctima cuenta con un navegador desactualizado y que su versión está en la lista de browser_autopown (metasploit).

Saludos y suerte