Комментарии 29
Ну все равно без соц. инженеринга не получится провернуть грязные делишки.
Почему же, на закрытых багтрекерах довольно много 0day уязвимостей (про WinXP молчу), и при навыках написания эксплоитов они успешно используются для проникновения на удаленную машину без соц. инженеринга. Позже я напишу статью о написании эксплоитов и адаптации их под использование в Metasploit. Но это будет позже, а сейчас есть уже известные уязвимости, которые позволяют сделать многое. Я не отрицаю важности наличия навыков соц. инженеринге, но есть ряд случаев когда это не требуется. Для win-пользователей скажу одно — не забывайте о апдейтах.
Да =) Однажды мне даже помог exploit-db.com. Не реклама.
За мою достаточно большую практику работы в качестве пентестера различных компаний от маленьких до больших, неудачных пентестов на Windows платформах — не было. Я сейчас не говорю о том, что windows дырявая, уязвимости были не только в операционной системе просто не разу не встретил полного ручного или автоматического контроля за своевременным обновлением ПО и аудита политик, всегда находился какой нибудь «заброшенный» сервер или рабочая станция с уязвимостью и хешем админа.
За статью спасибо — интересно было узнать о подобном инструменте.
Приведенное в начале определение этой штуки, правда, совсем не сразу дошло. Что касается целей использования и обнаружения антивирусами — тот же powershell обладает схожими возможностями и многими (мною в том числе) используется для выполнения задач администрирования компов в сети, однако тоже не считается опасным ПО и не обнаруживается антишпионским ПО.
А вот почему у вас при тестировании Outpost и подобные не сочли подозрительным внедрение процесса в память другого процесса — по крайней мере странно.
Приведенное в начале определение этой штуки, правда, совсем не сразу дошло. Что касается целей использования и обнаружения антивирусами — тот же powershell обладает схожими возможностями и многими (мною в том числе) используется для выполнения задач администрирования компов в сети, однако тоже не считается опасным ПО и не обнаруживается антишпионским ПО.
А вот почему у вас при тестировании Outpost и подобные не сочли подозрительным внедрение процесса в память другого процесса — по крайней мере странно.
Я честно говоря тоже удивился, но реакции не было никакой, ради интереса я даже снимал скриншоты периодически, и никакой реакции замечено не было. На одной из тестируемых систем (случайно выбранный компьютер в локальной сети с множественными уязвимостями) был установлен NOD32, после проникновения, и после нескольких произвольных (для пользователя) ребутов, был запущен Dr. Web в режиме максимальной защищенности (не помню как это там у них называется, я на Линуксе сижу) и все равно ноль реакции. Outpost, обновленный был запущен на двух тестируемых компьютерах, команда killav его срубила в первом случае, во втором случае было добавлено исключение в фаервол, и опять же Outpost это принял как должное.
палится он почти всеми популярными АВ. приходится вручную в ольке чистить
а msfvenom на что? тройной крипт payload и уже не палиться совсем.
Согласен, msfvenom важная деталь.
а Вы пробовали давно?
я в курсе msfenom'a. ни тройной, ни пятирной крипт той же shikata_ga_nai не помогает
я в курсе msfenom'a. ни тройной, ни пятирной крипт той же shikata_ga_nai не помогает
Нет, не давно, насчет shikata_ga_nai ничего не могу сказать, однако за всю практику ни разу не засветил свое присутствие в системе (конечно же использую не только meterpreter) используя разные крипторы, msfvenom включительно
Совсем недавно пробовал. как раз shikata_ga_nai. У вас версия метасплоита свежая? у меня 4.1, возможно там обновились алгоритмы просто. А у вас кто ловит?
шикатой энкодил с разными итерациями и темплейтами ехе. на «нетвирусспасибо» детектилось 4-6 АВ. какие точно не помню, то точно среди них авира и аваст. приходилось олькой ковырять, после чего все становилось ок. а вот по поводу версии метасплоита вы, возможно, правы. у меня счас стоит metasploit v4.0.1-dev [core:4.0 api:1.0]. надо бы обновиться и проверить еще раз
Делал так: берется шеллкод в -e shikata_ga_nai -t raw, пишется для него маленькая оболочка, которая делает inflate, VirtualAlloc и jmp far. Работает.
Вот здесь более полная информация
Почему-то первый и последний абзацы перепутаны местами. Из первого же невозможно понять, что это такое.
Не вижу спутанности, в первом написано общее определение, переведенное с официальной документации. Последнее — сугубо мое мнение относительно данного Payload'а. Я же не могу привести свое мнение как истину в последней инстанции в качестве определения.
Первый абзац не является определением, потому что в нём указывается ближайшее родовое понятие «начинка», но не даётся исчерпывающий список отличий от него.
Это же ваша статья, она интересна интересна сугубо вашим мнение в большей степени, нежели перепечаткой официальных текстов. И уж тем более понятие читателям важнее определения.
Это же ваша статья, она интересна интересна сугубо вашим мнение в большей степени, нежели перепечаткой официальных текстов. И уж тем более понятие читателям важнее определения.
О чём статья?
Вступление совсем не иформативное, теги тоже.
Дайте хотя бы два три предложения из какой облсати и что делает.
Вступление совсем не иформативное, теги тоже.
Дайте хотя бы два три предложения из какой облсати и что делает.
Статья о payload'у под названием meterpreter. Статья рассказывает о том, как использовать его в качестве инструмента удаленного администрирования. Meterpreter широко используется в Metasploit (все версии). Если есть еще вопросы — задавайте, с удовольствием отвечу.
Что такое payload? Извините но не все варятся в вашей области потому хотя бы введение вы должны написать так чтобы даже люди далёкие поняли очём она.
Что то вроде: «В даной статье хочу рассмотреть как создать рассширение для продукта тестирования уязвимостей Metasploit с помощью meterpreter payload. Payload-ом называются разширения к Metasploit en.wikipedia.org/wiki/Metasploit_Project#Payloads.» или как-то так.
Иначе та часть аудитории которая не знает как-это называется но е' интересно даже не обратит внимание на вашу статью.
Да и из песочницы такую сырую статью вряд-ли кто-то вытянет, редактор просто увидин плохо написаную статью о чёрт знает чём.
Что то вроде: «В даной статье хочу рассмотреть как создать рассширение для продукта тестирования уязвимостей Metasploit с помощью meterpreter payload. Payload-ом называются разширения к Metasploit en.wikipedia.org/wiki/Metasploit_Project#Payloads.» или как-то так.
Иначе та часть аудитории которая не знает как-это называется но е' интересно даже не обратит внимание на вашу статью.
Да и из песочницы такую сырую статью вряд-ли кто-то вытянет, редактор просто увидин плохо написаную статью о чёрт знает чём.
Прочитав всю статью станет понятно даже человеку, который не «варится» в моей области, ИМХО
И эта статья не о том как создать расширение, она о расширении, которое уже создано. Payload — не расширение к metasploit, а код, который должен выполниться в результате эксплуатирования уязвимости.
Вопрос почему этого нет в оглавлении?
Большинство читателей судят о статье по оглавлению. С существующим оглавлением шансы выпасть из песочницы невелики, ещё меньшие шансы что её будут читать целиком.
Большинство читателей судят о статье по оглавлению. С существующим оглавлением шансы выпасть из песочницы невелики, ещё меньшие шансы что её будут читать целиком.
Это как раз таки есть в заголовке. Не вижу смысла разжевывать базовые понятия, которые прямого отношения к теме статьи не имеют, при том что она опубликована в блоге «Информационная безопасность», это подразумевает то, что вы в курсе основных понятий и не будете задавать вопросы, не имеющие отношения к обсуждению данной статьи. Про шансы выпасть из песочницы и чтение целиком — это не ваша забота. Вместо неконструктивной критики — напишите свою статью, покажите как надо писать. На этом этот оффтоп прекращаю.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Секреты Meterpreter Payload