Metasploit, usar exe como payloat?

Iniciado por Distorsion, 26 Julio 2012, 05:45 AM

0 Miembros y 1 Visitante están viendo este tema.

Distorsion

Buenas,

Me he descargado metasploit y lo he estado trasteando con la GUI WEB, me he fijado que la mayoría de xploits solo te deja usar meterpreter como payloat.

Si uso la consola puedo inyectar un exe como payload, es decir, si tengo un troyano indetectable puedo inyectarlo directamente?

Meterpreter es detectado por la mayoría de antivirus...

TapIt

Hola Distorsion,

A ver creo que tienes algún problemilla de concepto. Te comento, en primer lugar cuando tu accedes a un ordenador a través de metaesploit es imposible que salte el antivirus, tu te alojas en una DLL y eso es indetectable para cualquier equipo.

Con lo que si que podrías tener problemas es con el firewall que si que te podría bloquear el acceso.

Para alojar un troyano en el equipo remoto puedes utilizar el comando "upload" una vez que has tenido acceso a él.

Tienes aquí una guía para utilizar el framework de metasploit.

http://www.securitytube.net/groups?operation=view&groupId=10

Saludos!
Busca y encontrarás...

Distorsion

Gracias por la respuesta, pero meterpreter es detectado, por eso lleva encoders para intentar dificultar la detección.

Por ejemplo, si uso de payload el meterpreter en un xploit de Adobe reader, al ser scaneado por el AV detecta el meterpreter, esto es irrefutable.


TapIt

Bale a ver o te entendido mal o te has expresado mal... tu que estas creando archivos .pdf que son enviados al PC atacado para ser abiertos y asi poder entrar remotamente?

Ese archivo lleva un payload asociado pero no se llama payload en si.
Busca y encontrarás...

adastra

Cita de: Distorsion en 26 Julio 2012, 22:14 PM
Gracias por la respuesta, pero meterpreter es detectado, por eso lleva encoders para intentar dificultar la detección.

Por ejemplo, si uso de payload el meterpreter en un xploit de Adobe reader, al ser scaneado por el AV detecta el meterpreter, esto es irrefutable.


[/color]
Estas equivocado y tienes problemas de concepto.
1. Meterpreter no detectado, ya que se carga directamente en memoria y normalmente no ejecuta operaciones en disco, lo que puede ser facilmente detectable, es el payload que utilices, como el ejemplo que acabas de dar, pero una vez el exploit se logra ejecutar y meterpreter (es decir, el shellcode) se carga en la máquina objetivo, meterpreter no es detectable por AV's.


2. Normalmente se suelen emplear tecnicas de códificación del payload al momento de crearlo para que sea más dificil de detectar, para ello se utiliza msfvenom o msfpayload+msfencode.


3. Tal vez esta serie de publicaciones te sirvan para aclarar conceptos y crear payloads dificiles de detectar. (intenta leer todas las partes para tener una imagen global y entender lo que te intento decir).


Comienza aquí:
http://thehackerway.com/2012/02/10/intentando-evadir-mecanismos-y-restricciones-de-de-seguridad-intentando-evadir-anti-virus-usando-custom-encoders-lenguaje-c-y-metasploit-framework-parte-i/



Valium7

 A ver si alguien responde a la pregunta j0 d3r que no es tan difícil
use generic/custom set PAYLOADFILE D:\srv.exe ¿Alguien conoce otra forma?
generate y despues usas el exploit
PD: mssecurity essentials .. lo odio jajaja

Bomb-P

Cita de: Valium7 en  1 Septiembre 2012, 16:06 PM
A ver si alguien responde a la pregunta j0 d3r que no es tan difícil
use generic/custom set PAYLOADFILE D:\srv.exe ¿Alguien conoce otra forma?
generate y despues usas el exploit
PD: mssecurity essentials .. lo odio jajaja
Genial!!!, Ahora podre hacerlo yo tambien!! jejeje
me quise pasar por el foro de hacking avanzado bueno me vicie con lo de la programacion pero ya veo que no esta nada mal pasarse por los otros foros ^^