RAT de JavaScript

  • 2 Respuestas
  • 990 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Muffin

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

RAT de JavaScript

  • en: Julio 08, 2021, 08:24:24 pm
You are not allowed to view links. Register or Login


El framework beef-xss se usa generalmente como una plataforma phishing/ingeniería social/drive by download/xss/csrf (etc.). Este crea un archivo hook.js que puede agregarse manualmente a páginas web o inyectarse en sesiones web en la red usando cosas como MITMf.

Cuando se utiliza de esta manera, el hook tiene la misma política de origen de dominio que cualquier sitio web que lo aloje actualmente, sin embargo, para la mayoría de las cosas, esto está bien. Si podemos convencer a alguien de que descargue físicamente un archivo de página web .html/.hta/.chm/.mht/etc., entonces podés hacer algunas cosas „poderosas“ (la parte irónica es que el propio beef-xss puede usarse para iniciar el archivo descargandolo automáticamente desde un sitio web remoto a tu computadora directamente, creando 2 sesiones. La primera con la misma política de origen de tu página de BEEF de Internet o sitio web hackeado que contiene el hook.js XSS, etc. La segunda sesión será la página .HTML descargada de tu beef/sitio web en sus  computadoras, con la misma política de origen de sus dispositivos). En las capturas de pantalla a continuación, pueden ver que descargué físicamente una página web hookeada de beef y este archivo .html se encuentra:
(file:///C:/Users/io/Desktop/BeEF%20Basic%20Demo.html)

En mi computadora tengo una imagen de van gogh ubicada en la siguiente ruta de URL LOCAL: file:///C:/Users/io/Desktop/2.jpg

Beef-xss tiene varios comandos de redirección disponibles. El que me gusta usar es la redirección IFRAME. Ingresando la ruta del archivo local anterior como URL y ejecutando la redirección iframe, este es el resultado:


Tengo un archivo de PowerShell ubicado en esta ruta: file:///C:/Users/io/Desktop/1.ps1. Cuando lo redirecciono con iframe, podemos leerlo


Podemos realizar una cantidad infinita de redirecciones y aún mantener vivo el hook, por lo que podemos encontrar y cargar archivos desde sus dispositivos aunque esos archivos no estén actualmente en línea. Lo que tenemos es un mecanismo de exfiltración de archivos extremadamente sigiloso y de huella extremadamente baja, donde uno podría obtener fácilmente cosas como billeteras de criptomonedas locales, archivos SAM, (etc.) desde un dispositivo remoto. Si agregas tu propio manual de JavaScript, es posible crear un .HTML que sea capaz de ejecutar comandos cmd arbitrarios. Esto puede funcionar junto con la página beef-xss .js, lo que te brinda un control total (podés descargar, subir, leer/escribir/eliminar y ejecutar).

También es posible iniciar furtivamente un iframe oculto para metasploitear el módulo de autopwn, lo que te brinda una sesión de meterpreter instantánea.

Es mejor usar .HTA, porque pueden ejecutarse de manera oculta, sin formulario, sin barra de tareas, sin ventana, (etc.). Si usas .html, usa multiframes con un tamaño de ancho/alto bajo (como 5x5 píxeles) para que no puedan ver lo que estás viendo y usa la función GET PAGE HTML para poder ver y recuperar los archivos/datos dentro de él.

Esta técnica funciona en Windows/linux/mac e incluso en celulares, pero es más fácil en Windows porque un archivo .hta puede ocultarse completamente ejecutándose en segundo plano, y en linux y celulares hay que recurrir a .html.

« Última modificación: Julio 09, 2021, 12:13:03 am por AXCESS »

Desconectado NyxKazuya

  • *
  • Underc0der
  • Mensajes: 57
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re: RAT de JavaScript

  • en: Julio 10, 2021, 12:13:35 pm
Fuente H-F

Desconectado blank05

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    40%
  • Country: 00
  • Reputación -3
    • Ver Perfil

Re: RAT de JavaScript

  • en: Julio 12, 2021, 07:43:39 pm
Ahh si, aunque este tema creo que ya lo he visto aquí: You are not allowed to view links. Register or Login

El autor original lo público allí unos meses antes de que fuera publicado en HF. Supongo que son las mismas personas.

Por cierto, You are not allowed to view links. Register or Login es una página buenísima. Si usan el traductor de Google podrán ver que trae tutoriales de oro.
Las mayúsculas y minúsculas se sobrevaloran.