Saltar a contenido

Web Applications - How to Conduct a Successful Web Application Test

Introduction

Esta unidad presenta los pasos para usar Core Impact para realizar una campaña de phishing.

Features

  • Importar lista de correos electrónicos para ser utilizados como objetivos de ataque.
  • Clonar un sitio web para ser utilizado como cebo.
  • Crear una plantilla de correo electrónico plausible.
  • Obtener información del usuario objetivo.

Highlighted Modules

  • Client Side Information Gathering RPT
  • Client Side Attack Phase, Phishing

Walkthrough

Hosts

  • Host objetivo de phishing
    • Hostname: win10vpn
    • Dirección IP: 10.27.34.80
    • Credenciales:
      • Usuario: ACME\ruth.lane
      • Contraseña: Iamthe1

Mail client configuration

  1. Acceder a la máquina del objetivo de phishing.

  2. Hostname: win10vpn

  3. Dirección IP: 10.27.34.80

  4. Credenciales:

    • Usuario: ACME\ruth.lane
    • Contraseña: Iamthe1

  5. Abrir la Windows Default Mail App. Hay un acceso directo en la barra de tareas.

Account type

  1. Hacer clic en Add Account.
  2. Seleccionar Advanced setup.

Account type

  1. Elegir Internet email.

Account type

  1. Rellenar los detalles de la cuenta:

  2. Dirección de correo electrónico: ruth.lane@acme.corp

  3. Nombre de usuario: ruth.lane@acme.corp
  4. Contraseña: Iamthe1
  5. Nombre de la cuenta: Ruth

Account type

  • Enviar mensajes usando este nombre: Ruth
  • Servidor de correo entrante: 10.27.34.7
  • Tipo de cuenta: POP3
  • Servidor de correo saliente (SMTP): 10.27.34.7

Account type

  • El servidor saliente requiere autenticación: No
  • Requerir SSL para correo entrante: No

  • Requerir SSL para correo saliente: No

  • Hacer clic en Sign in.

Account type

  1. ¡Todo listo!

Client Side Information Gathering

  1. Desde la sección RPT, seleccionar y hacer clic en Client Side Information Gathering RPT para importar los objetivos de ataque para la campaña de phishing.

Information Gathering

  1. Seleccionar Import from file y hacer clic en Next.

Import from file

  1. Seleccionar el archivo a importar: C:\Users\Impact\Desktop\phishing-email-list.csv y hacer clic en Finish.

Browse files
Files Browser
Selected File

  1. Esperar a que Client Side RPT complete la recopilación de información.

Imported Emails

Client Side Attack Phishing Campaign Deployment

  1. Desde la sección RPT, arrastrar y soltar Phishing RPT en el correo ruth.lane@acme.corp.

Phishing Attack RPT

  1. Hacer clic en Next.

  2. Seleccionar la opción Web Page Clone e ingresar la URL http://10.27.34.7:16500/acmebank. Hacer clic en Next.

Web page clone

  1. Seleccionar la dirección de correo electrónico de origen. En este caso se elegirá notifications-acme@acme.corp. Hacer clic en Next.

Source and target mail selection

  1. Seleccionar Predefined email template. Hacer clic en Next.

Mail template selection

  1. Navegar y seleccionar acmebank_test.html. Hacer clic en Next.

Mail template selection
Mail template editor
Mail template selected

  1. Marcar la opción Web Server Options para personalizar cómo se muestra el sitio web clonado al usuario objetivo. Hacer clic en Next.

Mail template selection

  1. Hacer clic en Next.

Web Server Settings 1

  1. Configurar la base de la URL como www.acmebank.com. Hacer clic en Next.

Web Server Settings 2

  1. Esperar a que Client Side Phishing RPT se inicie.

Attack launched

Act as the Target User

Ahora tu rol debe cambiar y debes actuar como el usuario objetivo, en este caso Ruth.

  1. Acceder a la máquina de Ruth a través de Remote Desktop con las siguientes credenciales:

  2. Hostname: win10vpn.internal.cloudapp.net

  3. Dirección IP: 10.27.34.80

  4. Credenciales:

    • Usuario: ACME\ruth.lane
    • Contraseña: Iamthe1

  5. Abrir el cliente de correo predeterminado de Windows 10 y actualizar los correos.

Mail Received

  1. Hacer clic en el enlace Join Acme Pay. Se abrirá un navegador.

Web browser landing

  1. Rellenar el formulario de inicio de sesión en la parte superior derecha con las credenciales de Ruth.

Login

  1. Ruth recibirá un mensaje explicando los peligros del Phishing.

Phishing awareness page

Back to Core Impact

Una

vez que el ataque ha tenido éxito y Ruth ha ingresado sus credenciales, toda la información está disponible en la consola para continuar con los siguientes pasos del penetration testing:

  • Hostname: 10.27.34.80
  • Navegador: Google Chrome 84
  • Credenciales. Un paso lógico siguiente sería intentar conectarse a través de RDP a esa máquina utilizando las credenciales obtenidas:
    • Usuario: ACME\ruth.lane
    • Contraseña: Iamthe1

User Information

Generate Report of the Phishing Campaign

Finalmente, generaremos un Client-Side Phishing Report para mostrar los resultados de la campaña de phishing.

  1. Desde la sección RPT, seleccionar y hacer clic en Client Side Report Generation RPT.

Report Wizard

  1. Hacer clic en Next.

  2. Seleccionar Client-Side Phishing Report y hacer clic en Next.

Report Selection

  1. Hacer clic en Finish.

Generate Report

El módulo Client Side Report Generation generará el informe y lo abrirá usando el programa asociado.

Generate Report

Aunque no se muestra aquí, los informes basados en Excel en Core Impact permiten personalizarlos después de ser generados. Además, el usuario también puede personalizar un informe existente basado en Excel antes de que se llene con los resultados del workspace, para que estas personalizaciones se apliquen cada vez que se genere el informe duplicado. El usuario puede actualizar imágenes de marca, textos introductorios, mostrar/eliminar secciones y personalizar tablas de resultados y gráficos.