• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Exploit Как обойти антивирусную защиту после компрометации системы

Всем читателям доброго времени! Сегодня решил описать как можно избавиться от надоедливого ,для нашего дела, антивируса:) Так вот как обычно получалось у меня, после получении сессии метерпретер я ничего не мог сделать, что было нужно для меня, блокировал антивирус.

Перейдем от слов к делу, у нас имеется:

1. Система windows 7 x64, с уязвимостью ms17_010;
версиясистемы.jpg

2.Телефон под управление андроид с предустановленными Termux и metasploit;
3.Установленный антивирус ESET, обновленный и в полной готовности противостоять нам:)
есетверсияобрезанныйскрин.jpg

И так начнем, для начала получаем сессию метерпретер средствами ms17_010 или как вам удобнее, после этого допустим пытаемся получить shell:
nedaetshellezlishnego.jpg


Шелл получить не удается, попробуем создать папку:
mkdirobrez.jpg


Создать папку получилось, что ж залью майнер, может быть юзер увидит ему станет интересно и он сам запустит этот файл, так как шелла то нету.
mkdirps6svhost.jpg

Нет, все таки антивирус спалил, так что не получилось ну и ладно, найдем другую уязвимую систему....
Шучу, шучу....) Конечно же мы продолжим..))

Так теперь подгрузим powershell, и посмотрим будет ли он выполнять наши команды:
psdate.jpg


Дату показал. Теперь перейдем к интересному, получим список установленных программ:
installprogramm.jpg


Тут мы видим наш горячо (не)любимый антивирус.
Пробуем удалять:
Uninstallvir.jpg


Вот в этот момент я думал что ничего не получилось, но прошло минуты три и я боковым зрением уловил какое то движение на уязвимой системе:
searchprogramm.jpg


Посмотрев список установленных программ, антивируса не увидел:
списокпрограмм1.jpg


Телефон больше никаких признаков не подавал*, поэтому нажатием ctrl + c , я остановил этот процесс и решил попытаться заново залить свой майнер и рмс. Через шелл запускаю рмс, хотя можно и через метерпретер командой execute, но мне было интересно именно так. На почту приходит id рмс:
idzatert.jpg

И подключились:
vncobrez.jpg

Вот и всё ребята:)

Отписывайтесь получилось ли у Вас? где были какие затыки? Как решили? Была ли статья для Вас полезна?

*Примечание: В последующий раз при удаление антивируса, по окончанию ответ все таки приходил:
otvetpsuninsta1l.jpg
 

arm_n

Green Team
26.02.2018
91
89
BIT
0
Хм. Через PS не пробовал, попробую.
Обычно использую командную строку WMI:
wmic:root\cli>
product get name
product where name="имя программы" call uninstall
Но через PS проще. Спасибо, буду тестить :)
 

arm_n

Green Team
26.02.2018
91
89
BIT
0
А не проще ли, чтобы не "запалиться" с удалкнием АВ остановить службу ESET Service (ekrn.exe), а уж затем заливать на тестируемый (атакуемый) комп "всяко-разно заразно?"
 

Tayrus

Red Team
13.04.2017
365
787
BIT
6
Получил права системы.
2018-06-09_9-51-05.png
Список отобразился, но не полный, много программ отсутствует.
2018-06-09_9-51-30.png
2018-06-09_9-52-31.png
2018-06-09_9-52-45.png
2018-06-09_9-52-59.png
 
U

Underwood

Список отобразился, но не полный, много программ отсутствует.
Мне кажется, тут лучше использовать , этот командлет покажет все работающие/остановленные процессы, а Stop-service - остановит процесс
Например, эта команда остановит работу процесса Avast, т.е отключит антивирус, с помощью Powershell
PS C:\> Stop-service -force "avast! antivirus"
 
Последнее редактирование модератором:

Lisenok

Green Team
02.04.2016
133
75
BIT
0
А не проще ли, чтобы не "запалиться" с удалкнием АВ остановить службу ESET Service (ekrn.exe), а уж затем заливать на тестируемый (атакуемый) комп "всяко-разно заразно?"
Служба ekrn перезапускается, я как то пробовал написать бат файл который непрерывно её останавливает, но на атакуемой машине это не сработало
 

Lisenok

Green Team
02.04.2016
133
75
BIT
0
Хм. Через PS не пробовал, попробую.
Обычно использую командную строку WMI:
wmic:root\cli>
product get name
product where name="имя программы" call uninstall
Но через PS проще. Спасибо, буду тестить :)
А wmic как запускаешь в метерпретере? Я тоже хотел , но помоему сначало нужен shell? Или есть какая то уловка вроде load wmic?
 

Lisenok

Green Team
02.04.2016
133
75
BIT
0
Мне кажется, тут лучше использовать , этот командлет покажет все работающие/остановленные процессы, а Stop-service - остановит процесс
На пример, эта команда остановит работу процесса Avast, т.е отключит антивирус, с помощью Powershell
PS C:\> Stop-service -force "avast! antivirus"
Я пытался остановить процесс через метерпретер командой kill, и через cmd , он только заного перезапускался, и получалось что уведомления от антивируса переставали приходить , но он все так же удалял все зараженные файлы. А вы пробовали через ps? Это сработало?
 

CHEATER

Green Team
09.09.2017
79
43
BIT
0
Обычно антивирус еще gmer-ом можно снять, ведь технология защиты у него стандартна - драйвер.
 
  • Нравится
Реакции: Art777

arm_n

Green Team
26.02.2018
91
89
BIT
0
Служба ekrn перезапускается, я как то пробовал написать бат файл который непрерывно её останавливает, но на атакуемой машине это не сработало
Попробуйте остановить службу так:
net stop Eset Service
HKLM\SYSTEM\CurrentControlSet\Services\Eset Service "Start"=dword:00000004
 

arm_n

Green Team
26.02.2018
91
89
BIT
0
Самому стало интересно. Поковыряюсь в разных АВ, попробую изучить их работу. Лично у меня антивирусы не установлены, поэтому и туплю :)
 
Последнее редактирование:

Lisenok

Green Team
02.04.2016
133
75
BIT
0
Самому стало интересно. Поковыряюсь в разных АВ, попробую изучить их работу. Лично у меня антивирусы не установлены, поэтому и туплю :)
Да и тем более для запуска батника надо сначало получить шелл помоему)))я заливать то их заливал, а запустить не мог допустим)
 

arm_n

Green Team
26.02.2018
91
89
BIT
0
если вы на удаленной машине запускаете powershell какой шелл вам еще надо? powershell позволяет запускать любой исполняемый файл напрямую, wmi, dism, cmd команды.Не запускается bat файл на удаленной машине? А на локальной он работает?
Как запускаете bat-файл?
 

Lisenok

Green Team
02.04.2016
133
75
BIT
0
если вы на удаленной машине запускаете powershell какой шелл вам еще надо? powershell позволяет запускать любой исполняемый файл напрямую, wmi, dism, cmd команды.Не запускается bat файл на удаленной машине? А на локальной он работает?
Как запускаете bat-файл?
Вот про то что через пс можно запустить батник не знал, можно поинтересоваться где об этом можно почитать?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!