GCAT – BACKDOOR EM PYTHON

Ferramenta desenvolvida em Python que funciona como backdoor com command & control via Gmail.

Quem é pentester sabe que uma das fases de um teste de invasão, de acordo com a OSSTMM, é conseguir manter o acesso que foi ganho após uma exploração, para que possa fazer a movimentação lateral e a escalada de privilégio para obter mais e mais informações dentro da estrutura do alvo.

Para conseguir isso, muitas vezes é necessário prolongar o acesso para voltar mais vezes à infraestrutura comprometida, e nada melhor do que um backdoor para isso.

E para esse fim, existe a ferramenta GCat, desenvolvida em Python e que usa o Gmail para “Command & Control” (o gerenciamento da backdoor).

                                             dP   
                                             88   
                .d8888b. .d8888b. .d8888b. d8888P 
                88'  `88 88'  `"" 88'  `88   88   
                88.  .88 88.  ... 88.  .88   88   
                `8888P88 `88888P' `88888P8   dP   
                     .88                          
                 d8888P  


                   .__....._             _.....__,
                     .": o :':         ;': o :".
                     `. `-' .'.       .'. `-' .'   
                       `---'             `---'  

             _...----...      ...   ...      ...----..._
          .-'__..-''----    `.  `"`  .'    ----'''-..__`-.
         '.-'   _.--'''       `-._.-'       ''''--._   `-.`
         '  .-"'                  :                  `"-.  `
           '   `.              _.'"'._              .'   `
                 `.       ,.-'"       "'-.,       .'
                   `.                           .'
              jgs    `-._                   _.-'
                         `"'--...___...--'"`

                     ...IM IN YUR COMPUTERZ...

                        WATCHIN YUR SCREENZ

optional arguments:
  -h, --help            show this help message and exit
  -v, --version         show program's version number and exit
  -id ID                Client to target
  -jobid JOBID          Job id to retrieve

  -list                 List available clients
  -info                 Retrieve info on specified client

Commands:
  Commands to execute on an implant

  -cmd CMD              Execute a system command
  -download PATH        Download a file from a clients system
  -upload SRC DST       Upload a file to the clients system
  -exec-shellcode FILE  Execute supplied shellcode on a client
  -screenshot           Take a screenshot
  -lock-screen          Lock the clients screen
  -force-checkin        Force a check in
  -start-keylogger      Start keylogger
  -stop-keylogger       Stop keylogger

Meow!

Essa é a saída que temos quando executamos a ferramenta. Então aí já conseguimos ver algumas de suas funcionalidades:

  • download de arquivos a partir do cliente comprometido;
  • upload de arquivos para o cliente comprometido;
  • execução de shellcodes personalizados (incluindo aqueles criados com o Metasploit, como o meterpreter, por exemplo);
  • tirar screenshot;
  • bloquear a tela e forçar o check-in;
  • iniciar e parar um keylogger (em paralelo com a funcionalidade acima, fica fácil pegar a senha do usuário).

O repositório do programa contém dois arquivos:

  • gcat.py – um script que é usado para enumerar e enviar comandos para os clientes;
  • implant.py – o backdoor para fazer deployment.

Em ambos os arquivos, edite as variáveis gmail_user e gmail_pwd com o usuário e senha da conta do Gmail que criou previamente para controlar a backdoor.

É possível baixar o GCat diretamente daqui: https://github.com/byt3bl33d3r/gcat/archive/master.zip

Divirtam-se!

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s