Da anni sono molti quelli che desiderano mettere le mani sulla versione a pagamento della famosa suite di exploitation di Rapid7, ma qual è la verità? Conviene davvero passare a Pro? Conviene davvero mettere da parte l'ammontare di ben 12,000€ (da versare tutti in una botta) per mettere le mani sulla versione a pagamento, che promette di automatizzare le operazioni di penetration testing attraverso una comoda Web GUI?
Oggi condividerò la mia esperienza personale con Metasploit Pro, e ovviamente, auguro che non capiti anche a voi. E spiegherò nei dettagli, perché Metasploit Framework è migliore, sotto ogni punto di vista.
Difetti riscontrati in Metasploit Pro:
- Rallentamento. Le operazioni di penetration testing vengono automatizzate attraverso una GUI, tuttavia, per compensare, le prestazioni del vostro dispositivo dimuniranno, anche se state usando un computer di fascia media, e soprattutto se avete installato la suite su un qualsiasi OS su VirtualBox o VMWare Workstation (come nel mio sfortunato caso);
- Errori. E parliamo di errori anche pericolosi, che rischiano di far mettere in discussione le vostre abilità, e farvi perdere il contratto. Siete in grado di fare backdoor irrilevabili in 10 linguaggi di programmazione differenti? Non vi preoccupate, Metasploit Pro genererà degli errori di staging che offriranno ad Avast una finestra d'opportunità per scoprire e freddare Meterpreter! Non conviene spendere il deposito dello Zio Paperone per questo bellissimo risultato? Secondo me sì!
- Moduli datati non mantenuti: Tu credevi, che quell'exploit trascurato nella versione gratuita, sia fixato veramente qua ? EH, VOLEVI. GUARDA CHE FACCIA, NON SEL'ASPETTAVA.
Passiamo ora alla WebGUI. Allora, questa GUI promette di fare un discreto numero di cose, all'apparenza appetibili, fra cui:
- Automatizzare i task dell'analista. Ebbene sì, attraverso alcuni imput, voi potete automatizzare la vostra campagna di phishing, scansionare sistemi e webserver, MA:
A UNA CERTA CRASHA TUTTO, devi tornare su terminal e fare sudo su restart postgresql PERCHÉ CRASHA TUTTO E VIENI LETTERALMENTE BUTTATO FUORI, COSTRETTO A RIFARE IL LOGIN NELLA WEBGUI E TUTTO DA CAPO: MAMMA MIA 12,000€ QUESTA ROBA DEVE COSTARE 12 CENTESIMI.
- Generazione di payload con uno stager dinamico e scritti in C (mamma mia che idea geniale, @JunkCoder che ne pensi???) che a loro detta, EVADONO OGNI LAYER DI PROTEZIONE OFFERTO DAGLI ANTIVIRUS.
Allora io scaricai due payload, il primo usava il basic stager in reverse_tcp, insomma il solito che abbiamo visto anche nelle 220 guide riciclate su Google, appena ci clicco sopra, Windows Defender sta effettivamente zitto... Bene... Ma non succede un *azzo. Metasploit riceve un segnale dal payload, ma la connessione muore 1 secondo dopo.
OKÈ, allora provai a farne un altro, stavolta usando lo stager reverse_https, che in teoria, oltre ad essere più stabile offre anche possibilità di evasione maggiori, per ovvie ragioni.
Allora scaricato l'artefatto, metto tutto al cospetto di Defender, poi ci clicco sopra... Passano 30 secondi (scansione cloud in corso...) Finalmente sulla GUI compare la dicitura "Meterpreter >" e Io "Caspita ha funzionato!, e invece 2 secondi dopo il Behaviour Control blocca l'app, stabilendo che il comportamento è riconducibile a Meterpreter.
Insomma, dopo questa disavventura io vi sconsiglio altamento questo prodotto, è meglio spendere 12,000€ al casinò della Yakuza piuttosto che su questa roba, e soprattutto di scrivere per conto vostro le vostre backdoor. Se siete lazy potete ritoccare quelle che genera di base msfvenom cambiando i template e riallocando lo shellcode, potete usare il crypter Hyperion che vi raccomando caldamente, dato che permette di evadere almeno Windows Defender ad occhi chiusi... Oppure usate Shellter, che la versione 7.2 vi consente di bypassare alcuni AV popolari come Avast o AVG iniettando shellcode in app legittime a 32 bit (il risultato varia a seconda delle caratteristiche originali dell'app che volete infettare). La cosa migliore (a mio parere) è sempre rimboccarsi le maniche però tenete presente. Che vi piaccia o no.
Oggi condividerò la mia esperienza personale con Metasploit Pro, e ovviamente, auguro che non capiti anche a voi. E spiegherò nei dettagli, perché Metasploit Framework è migliore, sotto ogni punto di vista.
Difetti riscontrati in Metasploit Pro:
- Rallentamento. Le operazioni di penetration testing vengono automatizzate attraverso una GUI, tuttavia, per compensare, le prestazioni del vostro dispositivo dimuniranno, anche se state usando un computer di fascia media, e soprattutto se avete installato la suite su un qualsiasi OS su VirtualBox o VMWare Workstation (come nel mio sfortunato caso);
- Errori. E parliamo di errori anche pericolosi, che rischiano di far mettere in discussione le vostre abilità, e farvi perdere il contratto. Siete in grado di fare backdoor irrilevabili in 10 linguaggi di programmazione differenti? Non vi preoccupate, Metasploit Pro genererà degli errori di staging che offriranno ad Avast una finestra d'opportunità per scoprire e freddare Meterpreter! Non conviene spendere il deposito dello Zio Paperone per questo bellissimo risultato? Secondo me sì!
- Moduli datati non mantenuti: Tu credevi, che quell'exploit trascurato nella versione gratuita, sia fixato veramente qua ? EH, VOLEVI. GUARDA CHE FACCIA, NON SEL'ASPETTAVA.
Passiamo ora alla WebGUI. Allora, questa GUI promette di fare un discreto numero di cose, all'apparenza appetibili, fra cui:
- Automatizzare i task dell'analista. Ebbene sì, attraverso alcuni imput, voi potete automatizzare la vostra campagna di phishing, scansionare sistemi e webserver, MA:
A UNA CERTA CRASHA TUTTO, devi tornare su terminal e fare sudo su restart postgresql PERCHÉ CRASHA TUTTO E VIENI LETTERALMENTE BUTTATO FUORI, COSTRETTO A RIFARE IL LOGIN NELLA WEBGUI E TUTTO DA CAPO: MAMMA MIA 12,000€ QUESTA ROBA DEVE COSTARE 12 CENTESIMI.
- Generazione di payload con uno stager dinamico e scritti in C (mamma mia che idea geniale, @JunkCoder che ne pensi???) che a loro detta, EVADONO OGNI LAYER DI PROTEZIONE OFFERTO DAGLI ANTIVIRUS.
Allora io scaricai due payload, il primo usava il basic stager in reverse_tcp, insomma il solito che abbiamo visto anche nelle 220 guide riciclate su Google, appena ci clicco sopra, Windows Defender sta effettivamente zitto... Bene... Ma non succede un *azzo. Metasploit riceve un segnale dal payload, ma la connessione muore 1 secondo dopo.
OKÈ, allora provai a farne un altro, stavolta usando lo stager reverse_https, che in teoria, oltre ad essere più stabile offre anche possibilità di evasione maggiori, per ovvie ragioni.
Allora scaricato l'artefatto, metto tutto al cospetto di Defender, poi ci clicco sopra... Passano 30 secondi (scansione cloud in corso...) Finalmente sulla GUI compare la dicitura "Meterpreter >" e Io "Caspita ha funzionato!, e invece 2 secondi dopo il Behaviour Control blocca l'app, stabilendo che il comportamento è riconducibile a Meterpreter.
Insomma, dopo questa disavventura io vi sconsiglio altamento questo prodotto, è meglio spendere 12,000€ al casinò della Yakuza piuttosto che su questa roba, e soprattutto di scrivere per conto vostro le vostre backdoor. Se siete lazy potete ritoccare quelle che genera di base msfvenom cambiando i template e riallocando lo shellcode, potete usare il crypter Hyperion che vi raccomando caldamente, dato che permette di evadere almeno Windows Defender ad occhi chiusi... Oppure usate Shellter, che la versione 7.2 vi consente di bypassare alcuni AV popolari come Avast o AVG iniettando shellcode in app legittime a 32 bit (il risultato varia a seconda delle caratteristiche originali dell'app che volete infettare). La cosa migliore (a mio parere) è sempre rimboccarsi le maniche però tenete presente. Che vi piaccia o no.
