Discussione Payload cryptato

Samuele romano

Utente Iron
11 Maggio 2022
3
1
0
2
Salve mi serve un aiuto come posso rendere il mio payload su una rete che non sia lostessa della mia macchina attacante (Kali Linux) e soprattutto come posso rendere il payload invisibile agli A.V (antivirus) grazie per chi mi aiuterà!
 

0xbro

Moderatore
24 Febbraio 2017
3,906
150
2,786
1,525
Per rendere il payload FUD - o quasi - devi inanzitutto capore come ragione l'AV che ti interessa: lavora solo a signature? Cambia determinate stringhe standard, modifica un po' il codice e cerca di ottenere una signature (un hash quindi) mai visto, e che quindi non verrà identificato (cosa che ormai è molto rara).
L'AV analizza il comportamento del payload? Dovrai cercare di utilizzare funzioni che non vengano ritenute pericolose, inserire magari delle pause all'interno del payload in modo da "guadagnare tempo" durante l'analisi, implementare delle logiche di evasion e tante altre cose abbastanza advanced (di cui non ho le skill tecniche per parlarne).

Riguardo la prima parte della discussione non ho propriamente capito quale sia la necessità. Potresti essere più chiaro?
 

wesker1998

Utente Silver
17 Gennaio 2022
106
32
64
92
Ultima modifica:
Payload che funziona fuori dalla rete dell'attaccante: ngrok o port forwarding;

Payload che evade l'AV = se non sai proprio niente è inutile che ti butto sulla programmazione , vai di script kidding con Shellter 7.2 (community) produce ottime backdoor se gli dai in input un app Win32 valida, ti darà un buon risultato ma non avrai la più pallida idea di come viene generato l'output.

Se hai una buona preparazione sui vari linguaggi che usa Metasploit per generare payload invece, chiedi a msfvenom di stampare l'output del codice sul terminale, ma senza generare nessun file col comando -o. In questo modo potrai osservare il codice e prendere contromisure, ad esempio buildando un custom loader.

L'importante è che non ti metti a dare 150 e passa di iterazioni di shikata_ga_nai a vanvera, come ti fanno credere su google.
Messaggio unito automaticamente:

Ah una cosa importante ho dimenticato, se è un payload con stager ferma tutto

Se devi rendere FUD un payload con stager, devi rivedere anche lo stager, che non è parte dell'output finale, perché è un frammento di codice (di circa 1,240 kb) che invia la console al payload (stage 0, stage 1, stage 2). Se ti metti a riscrivere tutto quest'ambaradambe finisci quando arrivo a 30 anni (ne ho 26).

Lavora con un payload senza stager, (windows/meterpreter_reverse_tcp). I payload senza stager sono molto più gestibili perché tutti i dati che servono per buildare la sessione sono inclusi nell'output finale.
 

Samuele romano

Utente Iron
11 Maggio 2022
3
1
0
2
Ultima modifica:
Eh il fatto è che evadere Windows Defencer e molto più semplice ma play progect mi sta dando un po' sulle palle ma comq seguiro il tuo consiglio devo concentrarmi su come lavora in se per se A.V e poi capire come evaderlo grazie mille fra .
Messaggio unito automaticamente:

Payload che funziona fuori dalla rete dell'attaccante: ngrok o port forwarding;

Payload che evade l'AV = se non sai proprio niente è inutile che ti butto sulla programmazione , vai di script kidding con Shellter 7.2 (community) produce ottime backdoor se gli dai in input un app Win32 valida, ti darà un buon risultato ma non avrai la più pallida idea di come viene generato l'output.

Se hai una buona preparazione sui vari linguaggi che usa Metasploit per generare payload invece, chiedi a msfvenom di stampare l'output del codice sul terminale, ma senza generare nessun file col comando -o. In questo modo potrai osservare il codice e prendere contromisure, ad esempio buildando un custom loader.

L'importante è che non ti metti a dare 150 e passa di iterazioni di shikata_ga_nai a vanvera, come ti fanno credere su google.
Messaggio unito automaticamente:

Ah una cosa importante ho dimenticato, se è un payload con stager ferma tutto

Se devi rendere FUD un payload con stager, devi rivedere anche lo stager, che non è parte dell'output finale, perché è un frammento di codice (di circa 1,240 kb) che invia la console al payload (stage 0, stage 1, stage 2). Se ti metti a riscrivere tutto quest'ambaradambe finisci quando arrivo a 30 anni (ne ho 26).

Lavora con un payload senza stager, (windows/meterpreter_reverse_tcp). I payload senza stager sono molto più gestibili perché tutti i dati che servono per buildare la sessione sono inclusi nell'output finale.

Payload che funziona fuori dalla rete dell'attaccante: ngrok o port forwarding;

Payload che evade l'AV = se non sai proprio niente è inutile che ti butto sulla programmazione , vai di script kidding con Shellter 7.2 (community) produce ottime backdoor se gli dai in input un app Win32 valida, ti darà un buon risultato ma non avrai la più pallida idea di come viene generato l'output.

Se hai una buona preparazione sui vari linguaggi che usa Metasploit per generare payload invece, chiedi a msfvenom di stampare l'output del codice sul terminale, ma senza generare nessun file col comando -o. In questo modo potrai osservare il codice e prendere contromisure, ad esempio buildando un custom loader.

L'importante è che non ti metti a dare 150 e passa di iterazioni di shikata_ga_nai a vanvera, come ti fanno credere su google.
Messaggio unito automaticamente:

Ah una cosa importante ho dimenticato, se è un payload con stager ferma tutto

Se devi rendere FUD un payload con stager, devi rivedere anche lo stager, che non è parte dell'output finale, perché è un frammento di codice (di circa 1,240 kb) che invia la console al payload (stage 0, stage 1, stage 2). Se ti metti a riscrivere tutto quest'ambaradambe finisci quando arrivo a 30 anni (ne ho 26).

Lavora con un payload senza stager, (windows/meterpreter_reverse_tcp). I payload senza stager sono molto più gestibili perché tutti i dati che servono per buildare la sessione sono inclusi nell'output finale.
Eh ma non ho capito bene come far funzionare la backdoor su una rete diversa se potresti spiegarmi ti ringrazio in anticipo
 

Samuele romano

Utente Iron
11 Maggio 2022
3
1
0
2
Ciao a tutti ho un problema che non capisco proprio dove sbaglio allora quando vado a creare il payload con msfvenom (per android ) (android/meterpreter/reverse_tcp)
Uso un encrypter presente in metasploit ovvero (PHP/base64) una volta generato
Avvio un server apache2 carico l apk una volta che vado ad cercare di scaricarlo durante lo scaricamento del file apk sul telefono "vittima" mi ricontinua a dire
"Errore analisi del pacchetto"
Cosa può essere,dove ho sbagliato,grazie a chi mi aiuterà.