 Autor
|
Tema: metasploit y veil (Leído 4,440 veces)
|
mh1
 Desconectado
Mensajes: 3
|
hola a todos !
soy nuevo en el foro y tambien ( aunque no tanto ) en metasploit.
el tema es asi, tengo funcionando dos VM ( Kali y XP SP3 ). jugando un poco con la vulnerabilidad ms10-061 de xp, llego a hacer el exploit sin problemas. el tema es,obviamente, cuando activo avast en la maquina con XP.
hay alguna forma de reemplazar ese .exe de nombre aleatorio que genera metasploit ? es decir usar un payload propio creado con veil por ejemplo ?
lo que no quiero es tener que lograr que la victima abra el .exe de payload "voluntariamente".
saludos !
|
|
|
|
|
En línea
|
|
|
|
adastra
Endless Learner
Ex-Staff
Desconectado
Mensajes: 885
http://thehackerway.com/
|
Lo que quieres es evadir el AV de la máquina objetivo, no? Pues herramientas como metasploit, generan payloads que tienen firmas que son bastante conocidas por la mayoría de AVs modernos... puedes tratar de codificarlo, como un algoritmo como "shikata_ga_nai", pero veras que independiente del número de iteraciones que apliques en el proceso de codificación, veras que "a veces funciona y a veces no"... El mecanismo más efectivo es crear tu mismo el shellcode, cosa que evidentemente requiere que tengas conocimientos en ensamblador, pero es el mecanismo más seguro y efectivo para evadir AV's ademas de que, si estás por aprender, te será mucho más útil y entretenido eso que estar "jugando" con metasploit. De todos modos, si aun así quieres seguir intentando evadir tu AV con el shellcode que te genera metasploit, puedes echarle un vistazo a estos posts: http://thehackerway.com/2012/02/10/intentando-evadir-mecanismos-y-restricciones-de-de-seguridad-intentando-evadir-anti-virus-usando-custom-encoders-lenguaje-c-y-metasploit-framework-parte-i/http://thehackerway.com/2012/02/13/intentando-evadir-anti-virus-usando-metasploit-framework-y-visual-basic-contra-plataformas-windows-parte-ii/ |
|
|
|
|
En línea
|
|
|
|
mh1
Desconectado
Mensajes: 3
|
Hola adastra.
hasta ahora todas las formas de evasion que vi, implican generar un .exe infectado con msfpayload/msfencode o veil y lograr que la victima ejectue ese archivo voluntariamente para que se inicie la conexion inversa a meterpreter ( que ya deberia estar esperando por la conexion )
lo que yo digo es que en el momento que se esta llevando a cabo el exploit, metasploit genera ese .exe de nombre aleatorio ( que contiene el payload ) y lo intenta subir a la maquina victima. ahi es cuando el av lo detecta. tiene que existir una forma de cambiar ese .exe ( el codigo fuente ) que se genera. es decir, que el exploit ( ms10-061 en este caso ), intente subir un .exe generado con veil o msfpayload/msfencode y no el "standard".
sabes si se puede ?
|
|
|
|
|
En línea
|
|
|
|
adastra
Endless Learner
Ex-Staff
Desconectado
Mensajes: 885
http://thehackerway.com/
|
Es igual a lo que te comentaba antes, los AV normalmente se encargan también de monitorizar el trafico. Todo lo que se transfiera a la máquina, será analizado por el antivirus y como te comentaba, si la firma del payload esta dentro del repositorio de firmas del AV, pues ya has visto lo que ocurre... La solución más comúnmente utilizada (y que suele ser la menos fiable porque es muy probable que el payload siga siendo detectado por el AV) es codificando el payload del ejecutable con un encoder como shikata_ga_nai o como explicaba en los enlaces que te he indicado antes, creando una plantilla en lenguaje C y escribiendo instrucciones que modifiquen la firma del ejecutable generado. (Esta seria la solución tipo "script-kiddie"....  ) La más efectiva, y la que suelen utilizar los atacantes en el "mundo real" es creando un shellcode poliformico y en algunos casos, enviando el payload cifrado, el cual posteriormente es decifrado en la plataforma del objetivo. Son las técnicas más efectivas que conozco actualmente, pero también son las más difíciles de implementar por el nivel de conocimientos que vas a necesitar (lenguaje ensamblador) |
|
|
|
|
En línea
|
|
|
|
mh1
Desconectado
Mensajes: 3
|
Ok, y como hago eso ?
como hago para que en vez de subir ese .exe de nombre aleatorio, suba el .exe que genere yo ?
no te pido que me expliques, sino un link o un nombre o una clave de busqueda en google.
estoy usando el exploit exploit/windows/smb/ms10_061
|
|
|
|
« Última modificación: 4 Febrero 2014, 18:26 pm por mh1 »
|
En línea
|
|
|
|
adastra
Endless Learner
Ex-Staff
Desconectado
Mensajes: 885
http://thehackerway.com/
|
google -> create custom shellcode.
google -> custom shellcode ia32.
google -> bypass av custom shellcode
Ademas, lee detenidamente los enlaces que te he dado anteriormente y otros artículos de la misma serie sobre evasión de mecanismos de seguridad.
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
[Metasploit] Usar Keylogger del Metasploit
Hacking
|
Shell Root
|
5
|
17,449
|
23 Abril 2011, 20:59 pm
por Edu
|
|
|
|
Veil – Evasión de Antivirus
Hacking
|
Stuxnet
|
0
|
3,189
|
12 Junio 2014, 17:37 pm
por Stuxnet
|
|
|
|
Pasá tranquilo (Evadiendo los antivirus con VEIL)
Hacking
|
alearea51
|
1
|
2,484
|
1 Abril 2015, 02:09 am
por Br1ant
|
|
|
|
Ese regalo sospechoso (Evadiendo los antivirus con Veil) - PARTE II
Hacking
|
alearea51
|
1
|
2,509
|
2 Junio 2015, 04:43 am
por scott_
|
|
|
|
Virus creado por veil-evasion
Hacking
|
soxlet
|
8
|
4,867
|
15 Noviembre 2016, 23:47 pm
por Borito30
|
 |
