• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Exploit Как обойти антивирусную защиту после компрометации системы

Тема была полезна для Вас?

  • Да

    Голосов: 23 85,2%
  • Нет

    Голосов: 1 3,7%
  • Не определился..)

    Голосов: 3 11,1%

  • Всего проголосовало
    27
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
Всем читателям доброго времени! Сегодня решил описать как можно избавиться от надоедливого ,для нашего дела, антивируса:) Так вот как обычно получалось у меня, после получении сессии метерпретер я ничего не мог сделать, что было нужно для меня, блокировал антивирус.

Перейдем от слов к делу, у нас имеется:

1. Система windows 7 x64, с уязвимостью ms17_010;
Exploit Как обойти антивирусную защиту после компрометации системы

2.Телефон под управление андроид с предустановленными Termux и metasploit;
3.Установленный антивирус ESET, обновленный и в полной готовности противостоять нам:)
есетверсияобрезанныйскрин.jpg

И так начнем, для начала получаем сессию метерпретер средствами ms17_010 или как вам удобнее, после этого допустим пытаемся получить shell:
Exploit Как обойти антивирусную защиту после компрометации системы


Шелл получить не удается, попробуем создать папку:
Exploit Как обойти антивирусную защиту после компрометации системы


Создать папку получилось, что ж залью майнер, может быть юзер увидит ему станет интересно и он сам запустит этот файл, так как шелла то нету.
Exploit Как обойти антивирусную защиту после компрометации системы

Нет, все таки антивирус спалил, так что не получилось ну и ладно, найдем другую уязвимую систему....
Шучу, шучу....) Конечно же мы продолжим..))

Так теперь подгрузим powershell, и посмотрим будет ли он выполнять наши команды:
Exploit Как обойти антивирусную защиту после компрометации системы


Дату показал. Теперь перейдем к интересному, получим список установленных программ:
Exploit Как обойти антивирусную защиту после компрометации системы


Тут мы видим наш горячо (не)любимый антивирус.
Пробуем удалять:
Exploit Как обойти антивирусную защиту после компрометации системы


Вот в этот момент я думал что ничего не получилось, но прошло минуты три и я боковым зрением уловил какое то движение на уязвимой системе:
Exploit Как обойти антивирусную защиту после компрометации системы


Посмотрев список установленных программ, антивируса не увидел:
Exploit Как обойти антивирусную защиту после компрометации системы


Телефон больше никаких признаков не подавал*, поэтому нажатием ctrl + c , я остановил этот процесс и решил попытаться заново залить свой майнер и рмс. Через шелл запускаю рмс, хотя можно и через метерпретер командой execute, но мне было интересно именно так. На почту приходит id рмс:
idzatert.jpg

И подключились:
vncobrez.jpg

Вот и всё ребята:)

Отписывайтесь получилось ли у Вас? где были какие затыки? Как решили? Была ли статья для Вас полезна?

*Примечание: В последующий раз при удаление антивируса, по окончанию ответ все таки приходил:
otvetpsuninsta1l.jpg
 
A

arm_n

Well-known member
26.02.2018
92
87
Хм. Через PS не пробовал, попробую.
Обычно использую командную строку WMI:
wmic:root\cli>
product get name
product where name="имя программы" call uninstall
Но через PS проще. Спасибо, буду тестить :)
 
A

arm_n

Well-known member
26.02.2018
92
87
А не проще ли, чтобы не "запалиться" с удалкнием АВ остановить службу ESET Service (ekrn.exe), а уж затем заливать на тестируемый (атакуемый) комп "всяко-разно заразно?"
 
Tayrus

Tayrus

Grey Team
13.04.2017
360
731
Получил права системы.
Exploit Как обойти антивирусную защиту после компрометации системы
Список отобразился, но не полный, много программ отсутствует.
Exploit Как обойти антивирусную защиту после компрометации системы
Exploit Как обойти антивирусную защиту после компрометации системы
Exploit Как обойти антивирусную защиту после компрометации системы
Exploit Как обойти антивирусную защиту после компрометации системы
 
U

Underwood

Список отобразился, но не полный, много программ отсутствует.
Мне кажется, тут лучше использовать , этот командлет покажет все работающие/остановленные процессы, а Stop-service - остановит процесс
Например, эта команда остановит работу процесса Avast, т.е отключит антивирус, с помощью Powershell
PS C:\> Stop-service -force "avast! antivirus"
 
Последнее редактирование модератором:
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
А не проще ли, чтобы не "запалиться" с удалкнием АВ остановить службу ESET Service (ekrn.exe), а уж затем заливать на тестируемый (атакуемый) комп "всяко-разно заразно?"
Служба ekrn перезапускается, я как то пробовал написать бат файл который непрерывно её останавливает, но на атакуемой машине это не сработало
 
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
Хм. Через PS не пробовал, попробую.
Обычно использую командную строку WMI:
wmic:root\cli>
product get name
product where name="имя программы" call uninstall
Но через PS проще. Спасибо, буду тестить :)
А wmic как запускаешь в метерпретере? Я тоже хотел , но помоему сначало нужен shell? Или есть какая то уловка вроде load wmic?
 
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
Мне кажется, тут лучше использовать , этот командлет покажет все работающие/остановленные процессы, а Stop-service - остановит процесс
На пример, эта команда остановит работу процесса Avast, т.е отключит антивирус, с помощью Powershell
PS C:\> Stop-service -force "avast! antivirus"
Я пытался остановить процесс через метерпретер командой kill, и через cmd , он только заного перезапускался, и получалось что уведомления от антивируса переставали приходить , но он все так же удалял все зараженные файлы. А вы пробовали через ps? Это сработало?
 
C

CHEATER

Well-known member
09.09.2017
79
42
Обычно антивирус еще gmer-ом можно снять, ведь технология защиты у него стандартна - драйвер.
 
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
Через ту же консоль power shell можно запустить
Аа вон как, ну им я не пользовался особо, а вот повершеллом заинтересовался после статей на этом форуме powershell глазами хакера.Благодарю за информацию
 
A

arm_n

Well-known member
26.02.2018
92
87
В power shell все команды cmd выполняются
 
  • Нравится
Реакции: Vertigo
A

arm_n

Well-known member
26.02.2018
92
87
Служба ekrn перезапускается, я как то пробовал написать бат файл который непрерывно её останавливает, но на атакуемой машине это не сработало
Попробуйте остановить службу так:
net stop Eset Service
HKLM\SYSTEM\CurrentControlSet\Services\Eset Service "Start"=dword:00000004
 
A

arm_n

Well-known member
26.02.2018
92
87
Или так:
sc stop eset service
sc config eset service start=disable
 
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
по второму варианту тоже делал, не вышло
 
A

arm_n

Well-known member
26.02.2018
92
87
Самому стало интересно. Поковыряюсь в разных АВ, попробую изучить их работу. Лично у меня антивирусы не установлены, поэтому и туплю :)
 
Последнее редактирование:
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
Самому стало интересно. Поковыряюсь в разных АВ, попробую изучить их работу. Лично у меня антивирусы не установлены, поэтому и туплю :)
Да и тем более для запуска батника надо сначало получить шелл помоему)))я заливать то их заливал, а запустить не мог допустим)
 
A

arm_n

Well-known member
26.02.2018
92
87
если вы на удаленной машине запускаете powershell какой шелл вам еще надо? powershell позволяет запускать любой исполняемый файл напрямую, wmi, dism, cmd команды.Не запускается bat файл на удаленной машине? А на локальной он работает?
Как запускаете bat-файл?
 
Lisenok

Lisenok

Happy New Year
02.04.2016
123
71
если вы на удаленной машине запускаете powershell какой шелл вам еще надо? powershell позволяет запускать любой исполняемый файл напрямую, wmi, dism, cmd команды.Не запускается bat файл на удаленной машине? А на локальной он работает?
Как запускаете bat-файл?
Вот про то что через пс можно запустить батник не знал, можно поинтересоваться где об этом можно почитать?
 
Мы в соцсетях: