elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  metasploit y veil
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: metasploit y veil  (Leído 2,724 veces)
mh1

Desconectado Desconectado

Mensajes: 3


Ver Perfil
metasploit y veil
« en: 4 Febrero 2014, 03:18 »

hola a todos !

soy nuevo en el foro y tambien ( aunque no tanto ) en metasploit.
 
el tema es asi, tengo funcionando dos VM ( Kali y XP SP3 ). jugando un poco con la vulnerabilidad ms10-061 de xp, llego a hacer el exploit sin problemas. el tema es,obviamente, cuando activo avast en la maquina con XP.

hay alguna forma de reemplazar ese .exe de nombre aleatorio que genera metasploit ? es decir usar un payload propio creado con veil por ejemplo ?

lo que no quiero es tener que lograr que la victima abra el .exe de payload "voluntariamente".

saludos !
En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: metasploit y veil
« Respuesta #1 en: 4 Febrero 2014, 10:39 »

 Lo que quieres es evadir el AV de la máquina objetivo, no?
Pues herramientas como metasploit, generan payloads que tienen firmas que son bastante conocidas por la mayoría de AVs modernos... puedes tratar de codificarlo, como un algoritmo como "shikata_ga_nai", pero veras que independiente del número de iteraciones que apliques en el proceso de codificación, veras que "a veces funciona y a veces no"...
El mecanismo más efectivo es crear tu mismo el shellcode, cosa que evidentemente requiere que tengas conocimientos en ensamblador, pero es el mecanismo más seguro y efectivo para evadir AV's ademas de que, si estás por aprender, te será mucho más útil y entretenido eso que estar "jugando" con metasploit.
De todos modos, si aun así quieres seguir intentando evadir tu AV con el shellcode que te genera metasploit, puedes echarle un vistazo a estos posts:


http://thehackerway.com/2012/02/10/intentando-evadir-mecanismos-y-restricciones-de-de-seguridad-intentando-evadir-anti-virus-usando-custom-encoders-lenguaje-c-y-metasploit-framework-parte-i/


http://thehackerway.com/2012/02/13/intentando-evadir-anti-virus-usando-metasploit-framework-y-visual-basic-contra-plataformas-windows-parte-ii/


En línea

mh1

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: metasploit y veil
« Respuesta #2 en: 4 Febrero 2014, 17:21 »

Hola adastra.

hasta ahora todas las formas de evasion que vi, implican generar un .exe infectado con msfpayload/msfencode o veil y lograr que la victima ejectue ese archivo voluntariamente para que se inicie la conexion inversa a meterpreter ( que ya deberia estar esperando por la conexion )

lo que yo digo es que en el momento que se esta llevando a cabo el exploit, metasploit genera ese .exe de nombre aleatorio ( que contiene el payload ) y lo intenta subir a la maquina victima. ahi es cuando el av lo detecta. tiene que existir una forma de cambiar ese .exe ( el codigo fuente ) que se genera. es decir, que el exploit ( ms10-061 en este caso ),  intente subir un .exe generado con veil o msfpayload/msfencode y no el "standard".


sabes si se puede ?


En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: metasploit y veil
« Respuesta #3 en: 4 Febrero 2014, 17:37 »

Es igual a lo que te comentaba antes, los AV normalmente se encargan también de monitorizar el trafico. Todo lo que se transfiera a la máquina, será analizado por el antivirus y como te comentaba, si la firma del payload esta dentro del repositorio de firmas del AV, pues ya has visto lo que ocurre...
La solución más comúnmente utilizada (y que suele ser la menos fiable porque es muy probable que el payload siga siendo detectado por el AV) es codificando el payload del ejecutable con un encoder como shikata_ga_nai o como explicaba en los enlaces que te he indicado antes, creando una plantilla en lenguaje C y escribiendo instrucciones que modifiquen la firma del ejecutable generado. (Esta seria la solución tipo "script-kiddie"....
:xD)
La más efectiva, y la que suelen utilizar los atacantes en el "mundo real" es creando un shellcode poliformico y en algunos casos, enviando el payload cifrado, el cual posteriormente es decifrado en la plataforma del objetivo. Son las técnicas más efectivas que conozco actualmente, pero también son las más difíciles de implementar por el nivel de conocimientos que vas a necesitar (lenguaje ensamblador)
En línea

mh1

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: metasploit y veil
« Respuesta #4 en: 4 Febrero 2014, 18:24 »

Ok, y como hago eso ?

como hago para que en vez de subir ese .exe de nombre aleatorio, suba el .exe que genere yo ?

no te pido que me expliques, sino un link o un nombre o una clave de busqueda en google.

estoy usando el exploit exploit/windows/smb/ms10_061


« Última modificación: 4 Febrero 2014, 18:26 por mh1 » En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: metasploit y veil
« Respuesta #5 en: 5 Febrero 2014, 09:36 »

google -> create custom shellcode.
google -> custom shellcode ia32.
google -> bypass av custom shellcode


Ademas, lee detenidamente los enlaces que te he dado anteriormente y otros artículos de la misma serie sobre evasión de mecanismos de seguridad.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Metasploit] Usar Keylogger del Metasploit
Hacking Básico
Shell Root 5 14,800 Último mensaje 23 Abril 2011, 20:59
por Edu
Veil – Evasión de Antivirus
Hacking Ético
Stuxnet 0 1,967 Último mensaje 12 Junio 2014, 17:37
por Stuxnet
Pasá tranquilo (Evadiendo los antivirus con VEIL)
Hacking Ético
alearea51 1 1,288 Último mensaje 1 Abril 2015, 02:09
por iUDEX
Ese regalo sospechoso (Evadiendo los antivirus con Veil) - PARTE II
Hacking Ético
alearea51 1 1,338 Último mensaje 2 Junio 2015, 04:43
por scott_
Virus creado por veil-evasion
Hacking Básico
soxlet 8 2,276 Último mensaje 15 Noviembre 2016, 23:47
por Borito30
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines