Metasploit и его payloads

RSS

Metasploit и его payloads, Есть ли такой вид шелла?

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

09.02.2009 10:44:04

При эксплуатации уязвимостей в программах просмотра документов и ей подобных, было бы очень удобно встраивать в документ исполняемый файл. Перерыл все payloads для Metasploit. Вроде, такого нету в его стандартной поставке... Но ведь наверняка не я первый таким вопросом задаюсь. Может, кто видел где-нибудь такие payloads? Или может кто сам написал подобный модуль?

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

CyaNiDe

Guest

Это нравится:0 Да/0 Нет

10.02.2009 13:25:53

Цитата

Metasploit updates to msfencode and exe template
HD Moore and the team at Metasploits are constantly updating the framework. The programs, scripts and approaches I document In my SANS paper on the Effectiveness of Antivirus in Detecting Metasploit Payloads have changed significantly. If you haven't read my paper you may find it interesting. Its here

In the document I showed how an attacker can create standalone executable payloads of any of the available payloads in the framework. I showed how to you can use msfencode to alter the payload to avoid detection by antivirus. One difficulty at the time was that msfencode didn't make an executable. That all changed on 9-26! HDM make the some changes to both the template that is used by msfpayload and msfencode (among other things). It now much easier to avoid antivirus. Now msfencode will create an EXE! It doesn't show up in the options when you do msfencode -h but it works! So the following:

./msfpayload windows/meterpreter/bind_tcp R | ./msfencode -t exe

will encode the standalone meterpreter with the default encoder Shikata_ga_nai. It works great!! REMEMBER: msfencode wants machine language code as input (RAW output from msfpayload) If you tell msfpayload to generate an EXE then pipe that to msfencode, msfencode will encode the Win32 PE headers and you end up with binary that will not run. Give msfencode C source code and it will produce encoded C source code. But that source code won't run and better than the unecoded one. msfencode needs RAW input. msfencode will also generate RAW output, so you should be able to chain multiple payload encodes. This works great too!

# ./msfpayload windows/shell_bind_tcp R | ./msfencode -e x86/fnstenv_mov -t raw | ./msfencode -t exe > doubleencoded.exe
[*] x86/fnstenv_mov succeeded, final size 342
[*] x86/shikata_ga_nai succeeded, final size 369

UPDATE: I have been unable to reproduce this result again. Encoding binaries a second time has resulted in corruption. I'm not sure what I did wrong last night. I probably tested my single encoded binary thinking it was my double encoded.

Things have change quite a bit since february. A straight payload with no encoding is detected by 3 antivirus products, Avast, AVG and GData. But none of them detect it as a metasploit payload. Instead they detect a generic "dropper". These are NOT the same antivirus products that detected payloads back in february. Those two products (Kasperski and Webgateway) don't detect anything now. Seems we are relying on dumb luck

Unencoded payload is detected by 3 antivirus products, Avast, AVG and GData
Single encoded (shikata_ga_nia) is detected by 3 antivirus products, Avast, AVG and GData
Double encoded (fnstenv_mov + shikata_ga_nia) is detected by 1 Antivirus product, AVG

Additionally HD changed the template that is used. When msfpayload and msfencode create an executable they rather elegantly do a merge of the payload text with the binary /data/template.exe. HD change the template to make it more difficult for antivirus to detect the payloads. It now stores the payloads in the .rdata section rather than the .data section and employes some techniques to avoid detection.

Lets pretend for a minute that antivirus was able to detect the payloads BEFORE these changes. That task just got a whole lot harder for the antivirus vendors.

Pauldotcom.com did some some similar work on metasploit payloads in September of this year.

Взято отсюда
И еще тык

Изменено: CyaNiDe - 10.02.2009 13:32:50

bs0d

Guest

Это нравится:0 Да/0 Нет

16.02.2009 18:19:40

Хех полная бредятина написана что касаецо темы поста то и последующего ответа... совершенно разные вещи =\
По поводу пэйлоуда который встраивает в документ файл бред полный Зачем это нужно?? да и при встраивании в шелкод исполняемый файл будед куча проблем с размером шелкода да и с уборкой в этом экзешнике нулевых байтов да и смысла невижу если нада чтоб файл выполнял какието определенные команды то можно проще воспользоваться своим шелкодом который как я поняла из вопроса нужен для винды http://metasploit.com:55555/PAYLOADS?MODE=SELECT&MODULE=win32_exec или уж если так нетерпится прикрепить файл то можно воспользоваться альтернативным шелкодом http://metasploit.com:55555/PAYLOADS?MODE=SELECT&MODULE=win32_downloadexec который скачает ваш экзешник с сервера и запустит его

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

17.02.2009 00:01:13

Цитата
bs0d пишет: Зачем это нужно?

Может, стоило сначала поинтересоваться зачем это нужно, а уже потом высказывать своё имхо по поводу бредовости идеи?

Зачем это нужно. Нужно запустить исполняемый файл на машине. Допустим, мы встроили в документ doc шелл-код, который коннектится к серверу, скачивает файл и запускает его. Предположим, что жертве мы такой файл послали через почту. Жертва установила соединение с интернетом, скачала почту почтовой программой и закрыла интернет-соединение. После этого она начинает читать корреспонденцию. Теперь скажите мне: какой толк в данной ситуации от вашего win32_exec ? И потом: при скачивании файла из инета не забывайте о проактивной защите. Так что в следующий раз потрудитесь вникнуть в суть вопроса, прежде чем судить

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

bs0d

Guest

Это нравится:0 Да/0 Нет

17.02.2009 02:58:57

Цитата
Shanker пишет: При эксплуатации уязвимостей в программах просмотра документов и ей подобных, было бы очень удобно встраивать в документ исполняемый файл.

Встраивать файл в шелкод и скачивать его с помощью шелкода с др сервера это СОВЕРШЕННО РАЗНЫЕ ВЕЩИ и объясняй тада подругому
Еслиб ты внимательно читал мой ответ тыб нашел ответ на то как скачать с помощью шелкода файл с сервера даже я дала два способа с помощью win32_exec шелкода и с помощью win32_downloadexec а если ты не разбираешся как с их помощью можно это сделать тада и не нада постить такие ламерские вопросы

Цитата
Перерыл все payloads для Metasploit.

фигово ты рыл

Цитата
Теперь скажите мне: какой толк в данной ситуации от вашего win32_exec ?

учи консольные команды винды зная которых ты сможешь безпроблем использовать этот пэйлоад для скачки файла из нета жертвой а если те под линь нужна то перерой еще несколько раз все пайлоуды для метасплойта хех и поучи команды юникс.

Цитата
Так что в следующий раз потрудитесь вникнуть в суть вопроса, прежде чем судить

Хех я вникнула как нада и фсю суть поняла а вот вы непрально вопрос ставите. Нужно было написать не встраивать в документ исполняемый файл а с помощью пэйлоуда как я уже говорила скачать с сервера и запустить на машине жертвы.

bs0d

Guest

Это нравится:0 Да/0 Нет

17.02.2009 08:24:39

Цитата
win32_exec

ЕСЛИ инет будет закрыт в момент просмотра документа жертвой тогда win32_exec темболее поможет для выполнения определенных команд на компьютере жертвы а также при необходимости восстановления интернет соединения в фоновом режиме, незаметно для жертвы.

bs0d

Guest

Это нравится:0 Да/0 Нет

17.02.2009 08:28:26

Цитата
Shanker пишет: И потом: при скачивании файла из инета не забывайте о проактивной защите.

проактивную защиту на стороне жертвы опять же можно обойти с помощью тогоже win32_exec =)) правда для начала для уменшьения шелкода было бы неплохо провести рекогнасцировку и побольше узнать о проактивной защите жертвы

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

19.02.2009 04:44:11

С каждым постом я всё больше теряю надежду вам объяснить суть ситуации. Но чисто из спортивного интереса всё же попробую.

Цитата
Еслиб ты внимательно читал мой ответ тыб нашел ответ на то как скачать с помощью шелкода файл с сервера

А если бы вы удосужились внимательно прочитать моё сообщение, то поняли бы что такой вариант для меня не подходит. И я уже объяснял почему

Цитата
Нужно было написать не встраивать в документ исполняемый файл а с помощью пэйлоуда как я уже говорила скачать с сервера и запустить на машине жертвы.

Я абсолютно точно изложил что меня интересует.Если ваши знания по использованию Metasploit ограничены чтением статеек на хакер.ру и просмотром видео на античате, то это ещё не означает, что вы прекрасно владеете этим инструментом. Скорее это лишь показывает нежелание вникать во всю мощь инструмента

Цитата
учи консольные команды винды зная которых ты сможешь безпроблем использовать этот пэйлоад для скачки файла из нета жертвой

Может вы раскроете тайну: как связаны консольные команды винды с win32_downloadexec-подобными payloads?

Цитата

Цитата
проактивную защиту на стороне жертвы опять же можно обойти с помощью тогоже win32_exec =)) правда для начала для уменшьения шелкода было бы неплохо провести рекогнасцировку и побольше узнать о проактивной защите жертвы

Что вы говорите?! И чего же вы сделаете через win32_exec в данном случае? Сомневаюсь, что ваших знаний хватит на что-нибудь больше чем add user, tasklist, taskkill, net start, net stop

Цитата
Встраивать файл в шелкод и скачивать его с помощью шелкода с др сервера это СОВЕРШЕННО РАЗНЫЕ ВЕЩИ и объясняй тада подругому

Я уж и не знаю как вам по-другому можно объяснить. Я вот по-русски пытаюсь. Но глядя на количество ошибок, которые вы себе позволяете делать - сомневаюсь, что вы знаете русский язык и сможете понять что я пишу.

Итак, очередная постановка задачи: встроить в документ исполняемый файл, который выполнится при запуске этого документа. Об удалённой машине ничего не известно. Кроме того, что она работает на винде и использует уязвимую версию ПО, эксплоит для которого имеется в metasploit. Скачивание файла с сервера, а также реверс-шелл НЕ подходят.
А теперь подумайте: сможете ли вы решить эту задачу используя скрипткиддерские подходы?

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

bs0d

Guest

Это нравится:0 Да/0 Нет

20.02.2009 14:56:30

Цитата

Shanker пишет:
Итак, очередная постановка задачи: встроить в документ исполняемый файл, который выполнится при запуске этого документа. Об удалённой машине ничего не известно. Кроме того, что она работает на винде и использует уязвимую версию ПО, эксплоит для которого имеется в metasploit. Скачивание файла с сервера, а также реверс-шелл НЕ подходят.

Такого пэйлоуда нет !!!! Мне нужно знать что вы хотите чтоб ваш файл который вы бы хотели прикрепить к шелкоду делал? Думаю встроеных языков vbs, js, и команд командного интерпретатора было бы достаточно чтоб осуществить все те действия которые вам необходимы и это все как я уже говорила можно осуществить с помощью все того же win32_exec

Цитата
Shanker пишет: Но глядя на количество ошибок, которые вы себе позволяете делать - сомневаюсь, что вы знаете русский язык и сможете понять что я пишу.

Я отлично знаю русский язык, а пишу с ошибками потому что это сленг такой он намного удобнее и позволяет максимально сокращать слова и предложения

Цитата
Shanker пишет: Что вы говорите?! И чего же вы сделаете через win32_exec в данном случае? Сомневаюсь, что ваших знаний хватит на что-нибудь больше чем add user, tasklist, taskkill, net start, net stop

ты меня плохо знаешь)

Цитата
Может вы раскроете тайну: как связаны консольные команды винды с win32_downloadexec-подобными payloads?

я писала про win32_exec что связан с консольными командами а про win32_downloadexec для закачки файла с сервера и последующего его запуска

Shanker мастер Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003 всего лишь человек...	#10 Это нравится:0 Да/0 Нет 21.02.2009 19:14:35 Буду надеяться увидеть ответ более компетентного человека. "Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

Alex Sin Guest	#11 Это нравится:0 Да/0 Нет 02.03.2009 11:28:00 Мне недавно похожую задачу ставили, я сказал - тупо перебивайте ваш экзешник в виде оп-кодов Автоматизированого решения не видел(

c2h5oh

Guest

#12

Это нравится:0 Да/0 Нет

02.03.2009 12:56:29

/framework3/trunk/tools/exe2vba.rb

Код
# This script converts an EXE to a VBA scriptfor Word/Excel

/framework3/trunk/msfpayload

Код
Usage:msfpayload <payload> [var=val] <S[ummary]\|C\|P[erl]\|R[aw]\|J[avascript]\|e[X]ecutable>

Изменено: c2h5oh - 02.03.2009 12:57:10

Alex Sin

Guest

#13

Это нравится:0 Да/0 Нет

02.03.2009 14:14:39

exe2vba.rb
- нужен ворд или ексель, что бы макрос полученный оттуда запустить. Вариант, конечно так себе... хотя в ряде случаев может быть результативный эффект.

Как я понял нужно тупо функционал екзешника(троян, рууткит) в пайлоад запихнуть.
Диазассм, вычищаем заголовки там всякие, переводим в оп-коды,смотрим что б эти оп-коды нулл байтов или там перевеодов строк не содержали..хз что там за уязвимость, и вставляем полученную кашу в пейлоад(предварительно проверив, что работает как надо). Грубо, грязно, но если экзешник не большой и без всяких библиотек левых, то может проканать.

А второе, это ж вроде функционал типа "существующий пейлоад в С, перл, екзе"? А требуется наоборот или я чо напутал))

Изменено: Alex Sin - 02.03.2009 14:27:21

Alexey Sintsov Guest	#14 Это нравится:0 Да/0 Нет 13.03.2009 00:29:41 Нашёл фичу в Фаст_Треке (входит в третий бак трак). Переделывает бинарники(екзешники) в хексы(оп коды). Может, наверное, помочь в автоматизации... Изменено: Alexey Sintsov - 13.03.2009 15:51:49

Art Kamensky

Guest

#15

Это нравится:0 Да/0 Нет

13.03.2009 16:24:59

Shanker. Столкнулся с подобной проблемой. Попытался найти средства, автоматизирующие "вшивание" исполняемого файла в PDF-файлы. Поиски завершились неудачей. Создал свою реализацию. Она влючает в себя скрипт, выполняющий сл.действия:
1.вшивает в документ шелл, при выполнении которого поочередно мэппируются все pdf-файлы, открытые процессом, по определенным критериям осуществляет поиск блоков зашитого исполняемого файла (см. ниже), собирает его и запускает.
2.разбивает исполняемый файл на N-блоков.
3.вшивает зашифрованный шелл и блоки в документ по определенным смещениям.

Шелл писал ручками, ибо подходящих шеллов не нашел.
Зависим от формата документа.

Alexey Sintsov

Guest

#16

Это нравится:0 Да/0 Нет

13.03.2009 17:15:09

2Art Kamensky
Хорошая мысль!
Если екзешник не большой, то можно его весь "запаковать" в документ. А шелл просто распаковыввает его и запускает. Это проще и эффективнее чем перебивать екзешник на оп-коды.

amisto0x07 Guest	#17 Это нравится:0 Да/0 Нет 08.04.2009 09:08:00 В продолжение темы хочу поделиться мыслями по поводу Payload-а, подгружающего из документа файл. Могу сказать, что шеллкод следует собирать из двух частей: -1- документонезависимая часть, которая включает парсинг Kernel32 и прочих с целью получения необходимых VA функций, перебор хэндлов в процессе, определение из них тех, которые являются файлами. -2- документозависимая часть, которая по расширению определяет свои (pdf, doc, xls, ppt) файлы, отображает поочередно их в адресное пространство процесса и парсит, и опрделив что, файл найден, распаковывает exe, сохраняя его на FS, запускает. Думаю это более удобно.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?