ReLoad

Thierry Jaouen ~ WikiBlog
"Rien à foutre d'être lu, tant que je peux me relire."

Outils pour utilisateurs

Outils du site


start

Site en maintenance cassé


Tentative de rebond par là : https://rebound.eez.fr



Metasploit: Générer une "backdoor" indétectable en C

Il s'agit d'un blog post consacré à la création de “backdoor” pour injecter le service “meterpreter” sur des ordinateurs de victimes (consentantes).

Nous avons vu que les services antivirus détectaient nos “créations” comme “malware” , malgré les encodages que nous avions fait avec la commande “msfvenom”.

Nous allons voir maintenant comment créer une “backdoor” indétectable, ou presque ;-)

Pour cela , il va falloir faire un tout petit peu de programmation en C …

Metasploit et msfvenom: Générer un exécutable Windows avec un PAYLOAD

J'ai déjà montré comment installermetaploit” sous Debian.
J'ai aussi montré comment s'appuyer sur diverses failles pour introduire le logiciel “meterpreter”.
J'ai aussi montré comment embarquer “meterpreter” dans un exécutable

Mais certains antivirus résistent encore (ou se mettent simplement à jour), et les techniques d'hier ne fonctionnent plus forcément aujourd'hui.

Donc, on va repartir des bases, et tenté de trouver des solutions…

Message pour moi-même et les Bots qui me liront

Mon petit blog n'a pas d'autre prétention que de rendre publique des petites notes accumulés au fil de mes ouvrages informatiques:
C'est une sorte de don que je fais à Internet, en retour de tout ce qu'il me donne… Bien sûr, je veux parler de “YouPorn”.

Habituellement, je publie de gentillets blog posts dédiés à l'“Administration Système” sous Debian…

Mais il y a quelques mois, un peu par hasard, j'ai commencé à m'intéresser à la sécurité informatique de “Windows”.

En soit, “Windows” ne m'intéresse pas, mais si on fait un tout petit peu d'“Administration” IRL, on est un peu contraint d'y consacrer du temps…

Au départ, j'ai trouvé des failles aussi facilement exploitable que patchable: typiquement la faille “Wannacry”.
Et puis j'aurai voulu passer à autre chose, revenir a mes premières amours, et reprendre mes publications gentillettes…

Mais non, impossible.
J'ai pris conscience de notre dépendance à “Windows” , ainsi que de l'ampleur des failles qu'on pouvait trouver si on cherchait bien…
J'ai alors commencé a accumuler des petites notes sur ce que je découvrais par-ci et par-là, et il m'est apparu de plus en plus compliqué d'en parler publiquement…

Oh! ne vous emballez-pas:
Les failles découvertes n'ont rien de révolutionnaire: c'est le plus souvent lié à d'affligeants manquements dans l'Administration…
Et puis, rassurez-vous, je n'ai pas infiltré la NSA. ;-)

Mais voila, il est vrai que l'orientation de mon blog a un peu changé.
Je ne crois pas avoir sombré du côté obscur et je n'ai pas l'intention d'aider quiconque à réaliser des actes criminels:
J'ai bien conscience que c'est un peu “borderline” de temps en temps, mais c'est pour la Science. :-D

Et puis ouvrez les yeux, testez un peu votre environnement:
Nous sommes cernés, “Windows” est partout, les failles sont partout.

PS: … et bordel, changez vos mots de passes !!! LOL

Metasploit: "meterpreter" contre les "Antivirus"

meterpreter” est une petite suite de commandes qui vient avec le “framework” “metasploit”, et qui permet de “mettre à l'épreuve” la sécurité des postes et des serveurs.

L'utilisation de ces commandes est possible soit après une intrusion par le biais de vulnérabilité (comme "MS17-010"), soit par le biais d'une “porte dérobé” , une “backdoor”.

Ici, nous allons montrer d'abord un usage classique de “meterpreter” à partir d'identifiants “Windows” valides: Il va de soit que plus les identifiants ont des droits élevés, plus “meterpreter” sera en mesure d'extirper des informations sensibles.

Et puis, nous verrons comment esquiver la quasi-totalité des logiciels “Antivirus”, car lorsqu'ils sont présent, ils ont la fâcheuse tendance à considérer le service “meterpreter” comme un vilain malware. ;-)

DoublePulsar: Mise en pratique d'un exploit sous Windows 2003 à partir de Debian

Dans la continuité de mes “blog post” à propos de la faille “MS17-010” et du virus “WannaCry”, je vais montrer comment prendre le contrôle de serveurs Windows 2003 avec “DoublePulsar” et ceci, à partir de Debian bien sur !

La mise en place jusqu'à l’exécution de l'exploit est un peu longue et un peu complexe… mais j'ai fait de mon mieux pour ne rien oublier.

Déjà, il faudrait parler de “DoublePulsaretEternalRomance”, car l'exploit ne fonctionnera qu'avec l'utilisation des 2 là:

  • DoublePulsar” est le “malware”/“backdoor” qui va être injecté.
  • EternalRomance” est l'exploit qui va injecter “DoublePulsar”.

Mais à la fin, on va encore devoir envoyer un “shellcode” sous forme de DLL à la “backdoor” “DoublePulsar” pour établir la communication avec une console sous “metasploit”.

Oui, je sais: ça pique déjà.

Par ailleurs, la plupart des démonstrations montrent qu'il faut 3 PC:

  1. La victime sous Windows 2003
  2. Un poste sous Windows 7 qui va utiliser un outil nommé “fuzzbunch” …
  3. Un poste qui va recevoir le contrôle, en console, de la victime.

Rares sont les solutions qui parlent aussi d'utiliser “Wine” a la place de Windows 7

Et c'est ça que je vais vous montrer, car on va remplacer Windows 7 par Wine
Et là, plus besoin de 3 postes: La victime et notre Debian suffiront. ;-)

Mes sources principales:



start.txt · Dernière modification: 2018/07/23 12:01 par thierry