Статья Terminator - генератор Payloads для Metasploit

vertigo1.png

Добрый день,Уважаемые Форумчане,Друзья и те,кто следит за пульсом ИБ.
Хочу порадовать форум сегодня новинкой,которая генерирует различные backdoor.
Автора этого замечательного генератора зовут Mohamed Nour.

Помогать мне сегодня будут сделать обзор дистрибутивы ArchStrike и BlackArch.
Простите за дерзость,но продемонстрирую вам атаку на BlackArch Linux.
Нашей задачей будет получение оболочки атакуемой машины.
Для этого Terminator продуман для работы с Metasploit.

Администрация ресурса и автор обзора предупреждают о запрете использования рассматриваемого
инструмента в незаконных целях.Вся информация предоставлена исключительно для ознакомления.


Установим Terminator:
Код:
# git clone https://github.com/MohamedNourTN/Terminator.git
# cd Terminator/
# chmod +x terminator.py
# python2 terminator.py -Запуск на Arch Linux
# python terminator.py -Запуск на Debian Linux

Нас встретит интерфейс с меню,которое представлено выбором следующих задач:
Binaries Payloads

1) Android
2) Windows
3) Linux
4) Mac OS

Scripting Payloads

1) Python
2) Perl
3) Bash

Web Payloads

1) ASP
2) JSP
3) War

Encrypters

1) APK Encrypter
2) Python Encrypter

Помимо этого,всегда присутствует опция 0,которая возвращает вас к основному меню.
Со знакомством с Terminator проблем никаких не должно встретиться.
Работет всё чётко и безупречно.

Все опции я не тестил,но кое-какие недостатки были замечены.
Например,из раздела Binaries Payloads,для Windows генерируется файл .exe,
который ужасно палится AV,да и какие антивири,когда такой файл ,даже почтовый сервис yandex не позволил отправить.
Он был тут же определён как обнаруженный вирусный файл.

Аналогичная история повторилась и для Linux,только расширение файла .elf
Что не всегда актуально.В общем,требуется доработка файлов в плане защиты от обнаружения и детекта.

И совсем другая радостная картина происходит с файлами из категории Scripting Payloads.
Здесь всё прекрасно,и почтовый сервис не стал бить тревогу,да и AV тоже.
Но,продолжим атаку.

vertigo2.png

Для генерируемого файла запрашиваются данные атакующей машины-это ip адрес с портом.
И предлагается выбор произвольного названия для вредоносного файла.
В общем-то ,здесь,я бы отметил,что гораздо опаснее такая атака для Линуксоидов,чем пользователей Windows.
Т.к. сам файл,попадая на тестируемую машину,не запустится,пока сам Линуксоид не сделает его исполняемым.

Моя легенда была такой,что будто я отправляю кому-то (или кто-то скачивает на моём ресурсе данный архивчик).
Представим,что это даже заманчивая программа,по-соседству с которой вшит этот самый файл.
В инструкции будет указано,чтобы дать ему права (chmod +x install.sh) и запустить его (sudo ./install.sh )
Название часто встречающееся,не правда ли ? Мне тоже вот ,пришла такая же идея.

Вот что значит , как важно проверять исполняемые файлы!
В итоге,инструмент нас просит ответить утвердительно,что с Metasploit у нас всё в порядке
И предлагает 2 варианта событий.Но я остановился на запуске прослушивателя.

Как только на тестируемой машине запускается файл,мы получаем Shell
vertigo3.png

Никаких привелегий нам уже не требуется , приступаем к полученной сессии и бродим по директориям.

vertigo4.png
На этом у меня всё,будьте осторожны и этичны,благодарю всех за внимание и до встречи.
 
Последнее редактирование:

valerian38

Grey Team
20.07.2016
662
764
BIT
83
Отличная статья! Хороший инструмент, собирался сделать обзор, но ты оказался быстрей.
 
Последнее редактирование:
  • Нравится
Реакции: ghost, Vertigo и ALF

Letun

Green Team
08.02.2018
50
30
BIT
0
.apk ни встроенный ни сберовский антивири не спалили, но вылетает сразу после запуска, пичальбеда.
 

Djon253

Green Team
15.11.2017
120
93
BIT
6
статья великолепная. автор как всегда пишет отлично. но читаю и думаю. одно не получилось. здесь светится. там не срабатывает. и зачем он такой. имхо моё личное мнение.
 
  • Нравится
Реакции: ALF и Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 999
BIT
3
одно не получилось. здесь светится. там не срабатывает. и зачем он такой.
Чтобы идеально везде работало,такое сложно встретить,сами понимаете.Поэтому , как есть конечно,кто-то доработает файлы.
Кого-то, другие модули вполне устроят.Инструмент сам многообразен и неплох даже для изучения.
В любом случае,благодарю за критику ,отзывы и поддержку.
 
N

n01n02h

Посмотреть вложение 18824

Добрый день,Уважаемые Форумчане,Друзья и те,кто следит за пульсом ИБ.
Хочу порадовать форум сегодня новинкой,которая генерирует различные backdoor.
Автора этого замечательного генератора зовут Mohamed Nour.

Помогать мне сегодня будут сделать обзор дистрибутивы ArchStrike и BlackArch.
Простите за дерзость,но продемонстрирую вам атаку на BlackArch Linux.
Нашей задачей будет получение оболочки атакуемой машины.
Для этого Terminator продуман для работы с Metasploit.

Администрация ресурса и автор обзора предупреждают о запрете использования рассматриваемого
инструмента в незаконных целях.Вся информация предоставлена исключительно для ознакомления.


Установим Terminator:
Код:
# git clone https://github.com/MohamedNourTN/Terminator.git
# cd Terminator/
# chmod +x terminator.py
# python2 terminator.py -Запуск на Arch Linux
# python terminator.py -Запуск на Debian Linux

Нас встретит интерфейс с меню,которое представлено выбором следующих задач:
Binaries Payloads

1) Android
2) Windows
3) Linux
4) Mac OS

Scripting Payloads

1) Python
2) Perl
3) Bash

Web Payloads

1) ASP
2) JSP
3) War

Encrypters

1) APK Encrypter
2) Python Encrypter

Помимо этого,всегда присутствует опция 0,которая возвращает вас к основному меню.
Со знакомством с Terminator проблем никаких не должно встретиться.
Работет всё чётко и безупречно.

Все опции я не тестил,но кое-какие недостатки были замечены.
Например,из раздела Binaries Payloads,для Windows генерируется файл .exe,
который ужасно палится AV,да и какие антивири,когда такой файл ,даже почтовый сервис yandex не позволил отправить.
Он был тут же определён как обнаруженный вирусный файл.

Аналогичная история повторилась и для Linux,только расширение файла .elf
Что не всегда актуально.В общем,требуется доработка файлов в плане защиты от обнаружения и детекта.

И совсем другая радостная картина происходит с файлами из категории Scripting Payloads.
Здесь всё прекрасно,и почтовый сервис не стал бить тревогу,да и AV тоже.
Но,продолжим атаку.

Посмотреть вложение 18825

Для генерируемого файла запрашиваются данные атакующей машины-это ip адрес с портом.
И предлагается выбор произвольного названия для вредоносного файла.
В общем-то ,здесь,я бы отметил,что гораздо опаснее такая атака для Линуксоидов,чем пользователей Windows.
Т.к. сам файл,попадая на тестируемую машину,не запустится,пока сам Линуксоид не сделает его исполняемым.

Моя легенда была такой,что будто я отправляю кому-то (или кто-то скачивает на моём ресурсе данный архивчик).
Представим,что это даже заманчивая программа,по-соседству с которой вшит этот самый файл.
В инструкции будет указано,чтобы дать ему права (chmod +x install.sh) и запустить его (sudo ./install.sh )
Название часто встречающееся,не правда ли ? Мне тоже вот ,пришла такая же идея.

Вот что значит , как важно проверять исполняемые файлы!
В итоге,инструмент нас просит ответить утвердительно,что с Metasploit у нас всё в порядке
И предлагает 2 варианта событий.Но я остановился на запуске прослушивателя.

Как только на тестируемой машине запускается файл,мы получаем Shell
Посмотреть вложение 18826

Никаких привелегий нам уже не требуется , приступаем к полученной сессии и бродим по директориям.

Посмотреть вложение 18827
На этом у меня всё,будьте осторожны и этичны,благодарю всех за внимание и до встречи.
Начинаю подумывать отписаться ото всех блогов, и подписаться на тебя) как всегда (y)
 
  • Нравится
Реакции: ALF, valerian38 и Vertigo

Lisenok

Green Team
02.04.2016
133
75
BIT
1
Установил в термукс, все отлично отработало,метасплоит запускается автоматически.
 

Вложения

  • Screenshot_20180601-211718.png
    Screenshot_20180601-211718.png
    82,8 КБ · Просмотры: 344
  • Screenshot_20180601-211134.png
    Screenshot_20180601-211134.png
    87,4 КБ · Просмотры: 333
  • Screenshot_20180601-211116.png
    Screenshot_20180601-211116.png
    91,6 КБ · Просмотры: 350
  • Нравится
Реакции: Vertigo, ALF и valerian38
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!