Здравствуйте уважаемые профессионалы!
Являюсь, можно сказать, начинающим пентестером и пока не могу обойти указанную проблему. Для теста использую каспера фри, так как думаю, что если его получится обойти, то и с другими АВ получится
Итак, что имеем:
1. Kali Linux, Metasploit Framework, ну и всякие фатраты... Для теста Win7 x86 (Powershell 2.0) + стоит на автоматическом winupdate + соответственно каспер фри.
2. Создал пейлоад для повершела, запихнул в батник, обфусцировал...
3.1. Проверяем батник. Точечная проверка батника каспером показывает чистоту нашего файлика (вообще раньше даже txt удаляло с кодом, причем реагировало даже на строку доставки пейлоада). Однако при его запуске, или даже если вставляем через run (Win+R), получаем "Powershell.exe был запрещен, обнаружено подозрительное поведение и т.п."...
3.2. Отключаем АВ, запускаем батник, включаем АВ. Тут происходят фокусы. Сначала есесьна любые команды с клиента встречали всплывающее окно каспера с блокировкой подозрительных действий (эт я предполагал). Вышел покурить, налил чаю, слопал шоколадку, ввожу "shell"... и попадаю в командную строку винды! Каспер перестал реагировать, все заработало. Почему это могло произойти?
Каким образом можно это обойти? Возможно ли это вообще с meterpreter'ом? Помогут ли дальнейшие пробы с шифрованием пейлоада, или все дело именно в специфике срабатывания при выполнении команды и запуске, которую обрабатывает АВ? Происходит ли шифрование сессии метерпретера при соединении клиент-сервер (в мп есть вроде параметр ssl, но он шифрует только https насколько понимаю, хотя вообще без разницы через что подключаться, главное вопрос закрыть)? Есть ли возможность исключить алармы АВ при управлении?
Конечно я понимаю, что 100% пошаговый фак тут мне не напишут, ибо, во-первых, любителей попроверять на вирустоталах здесь хватает, а во-вторых такие знания это хлеб спецов ) но буду рад любым намекам, надеюсь, не слишком тонким )
Являюсь, можно сказать, начинающим пентестером и пока не могу обойти указанную проблему. Для теста использую каспера фри, так как думаю, что если его получится обойти, то и с другими АВ получится
Итак, что имеем:
1. Kali Linux, Metasploit Framework, ну и всякие фатраты... Для теста Win7 x86 (Powershell 2.0) + стоит на автоматическом winupdate + соответственно каспер фри.
2. Создал пейлоад для повершела, запихнул в батник, обфусцировал...
3.1. Проверяем батник. Точечная проверка батника каспером показывает чистоту нашего файлика (вообще раньше даже txt удаляло с кодом, причем реагировало даже на строку доставки пейлоада
). Однако при его запуске, или даже если вставляем через run (Win+R), получаем "Powershell.exe был запрещен, обнаружено подозрительное поведение и т.п."...3.2. Отключаем АВ, запускаем батник, включаем АВ. Тут происходят фокусы. Сначала есесьна любые команды с клиента встречали всплывающее окно каспера с блокировкой подозрительных действий (эт я предполагал). Вышел покурить, налил чаю, слопал шоколадку, ввожу "shell"... и попадаю в командную строку винды! Каспер перестал реагировать, все заработало
. Почему это могло произойти?Каким образом можно это обойти? Возможно ли это вообще с meterpreter'ом? Помогут ли дальнейшие пробы с шифрованием пейлоада, или все дело именно в специфике срабатывания при выполнении команды и запуске, которую обрабатывает АВ? Происходит ли шифрование сессии метерпретера при соединении клиент-сервер (в мп есть вроде параметр ssl, но он шифрует только https насколько понимаю, хотя вообще без разницы через что подключаться, главное вопрос закрыть)? Есть ли возможность исключить алармы АВ при управлении?
Конечно я понимаю, что 100% пошаговый фак тут мне не напишут, ибо, во-первых, любителей попроверять на вирустоталах здесь хватает, а во-вторых такие знания это хлеб спецов ) но буду рад любым намекам, надеюсь, не слишком тонким )
