Pastejacking

Pastejacking es una técnica que se hace cargo del portapapeles de una máquina, por ejemplo, cuando copiamos texto de un sitio web, ese texto puede estar plagado de código malicioso que se ejecutará al pegar ese texto. Esta es una muy buena manera de lograr una sesión Meterpreter debido a su simplicidad. Todo lo que se necesita hacer es; copie algunas palabras inofensivas del navegador y péguelas en el símbolo del sistema y listo, sesión !!
Le guiaremos a través del proceso, usando una herramienta llamada PasteZort
Así es como sucede:
Lo primero que debes hacer es obtener la herramienta de Github.
Para simplificar, desde tu terminal Kali, navega hasta el escritorio usando "cd Desktop". Una vez que esté en "root @ kali: ~ / Desktop #", escriba "git clone https://github.com/Zetahack/PasteZort.git". Esto hará que una carpeta PasteZort en su escritorio con la herramienta en ella.

Abra la carpeta y verá todos los archivos que necesita para ejecutar esta herramienta, el interior de la carpeta se verá como la captura de pantalla que se muestra a continuación.
Para ejecutar la herramienta, primero debemos cambiar el permiso del archivo "encode.rb". Haga clic derecho en el archivo "encode.rb" y abra sus propiedades, debajo de las propiedades, vaya a la pestaña "Permisos", marque la casilla que se encuentra delante de "Ejecutar" que dice "Permitir la ejecución del archivo como programa".
 
Navega a la carpeta PasteZort desde la terminal Kali, ahora ejecuta la herramienta usando "python ./PasteZOrt.py". Tu herramienta ahora se está ejecutando.
Ahora podemos comenzar a hacer nuestra carga útil de pegado de pastillas utilizando las herramientas interfase. Haremos una carga útil de Windows, por lo tanto, frente a "Objectves:" escriba "1" para elegir Windows como sistema operativo específico.
Después de eso, seleccione nuevamente la opción "1" en "Seleccionar carga útil" para generar un shell de tcp inverso de Windows. Ingrese su dirección IP en "LHOST" y el número de puerto con el que desea que se comunique el exploit en "LPORT"
Ahora tendrá la opción de ingresar el mensaje que desea que se muestre como el texto de copiar en forma de pegado, por ejemplo: hemos escrito "ping" y "http://www.hackingarticles.in".
Y eso es todo, tu carga está lista.
Se le preguntará si desea activar Handler, escriba "Y" y presione enter
Abra un navegador web en la máquina víctima e ingrese su IP en la barra de direcciones, aparecerá el texto que escribió en la sección del mensaje, seleccione el texto y cópielo.
Abra el símbolo del sistema en la máquina víctima, pegue el texto copiado y presione Entrar.

Regresa a la terminal de Kali y verás que Handler está comenzando el tcp inverso y listo, ya lo has hecho. Ahora tiene una sesión de Meterpreter, simple y llana.

La belleza de esta herramienta radica en su simplicidad, tiene una interfase limpia con un flujo de trabajo intuitivo y puede obtener resultados efectivos sin ningún problema. La sección de mensajes hace que sea más fácil hacer que su carga útil parezca tan inofensiva como sea posible. Esto también muestra cuán fácil es ser pirateado, así que mantente alerta.