4 Antworten in diesem Thema

[m0nk3y]

Hallo liebes Toolbase Volk,

in diesem Post will ich nur kurz auf die Modifizierung einer MeterpreterEXE eingehen.

Mein Anliegen war es eine Meterpreter-Session aufzubauen ohne dabei den Server online haben zu müssen.

Außerdem sollte sofort nach dem Ausführen eine Persistence-Funktion ausgeführt werden und vielleicht noch ein Keylogger.

 

Mit Veil-Evasion kann man sich die c#Source generieren lassen, deswegen ist es extrem einfach die EXE nach belieben umzuschreiben.

Die Funktionen die eingebaut habe dienen dabei nur als Anregungen und Beispiele:

+ Reconnect every x seconds

+ Copy to TEMP
+ Start exe in TEMP
+ Persistence (Autostart HKCU Registry)

also super einfach und schnell gemacht!

 

 

Der Payload ist in diesem Beispiel "windows/meterpreter/reverse_tcp"

 

 

Hier der Code:

 

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

[pi^2]

Ansich eine nette Sache, leider hilft Meterpreter in der Anwendung eher weniger, da sogar Windows Defender den Payload als schädlich identifiziert..

Praktischer wäre z.B. diese Detection umgehen zu können ;-)

[m0nk3y]

Für quasi alle AntiVir unsichbar, aber WindowsDefender schlägt an Ironie

[gr33d]

Wäre es denn möglich den Meterpreter-Payload als Assembler-Code in einem String zu verschlüsselt zu speichern, ihn runtime zu entschlüsseln und das Programm an die Startadresse vom Payload springen zu lassen. Mit PEs ist das ja auch möglich allerdings müsste man bei dem Assemblercode keine Header etc. auslesen und laden, sodass es ja eigentlich einfacher sein müsste das zu implementieren.

[Haxlor]

Habt ihr schon was von schellter gehört .... nebenbei erwähnt

 

Please Login HERE or Register HERE to see this link!

 

evasion is dead das klar das könnte Funken hier ....