RSS |

Blog de Omar

Just another WordPress weblog

Advertisement

En el primer video tutorial: Making Metasploit Backdoors – Parte 1 se desarrollaron 04 técnicas para la creación de backdoors:

Técnicas exclusivas de Metasploit

  1. Uso del comando RUN PERSISTENCE
  2. Uso del comando RUN METSVC

Técnicas de evasión de Antivirus

  1. Uso de SHIKATA GA NAI
  2. Uso de NETCAT + Modificación de registros + Modificación de firewall

Sin embargo, los que vieron el video habrán notado que el uso de SHIKATA GA NAI no podía evadir por completo todos los ANTIVIRUS del mercado, en este nuevo video tutorial Making Metasploit Backdoors – Parte 2, se explica como usar SHIKATA GA NAI embebido dentro de un archivo EXE trae como consecuencia evadir cualquier ANTIVIRUS.

 

 

Los archivos utilizados en el videotutorial pueden ser descargados desde aquí:

Presentación del evento LINUX WEEK 2012: DESCARGAR AQUÍ
Código C++ para la creación del ejecutable: DESCARGAR AQUÍ

Finalmente, no suelo tener fotos de los eventos en los que participo pero esta vez si tengo algunas fotos y antes de que se pierdan en mi disco duro, las voy a colocar aquí:

Popularity: 21% [?]

Si te gusto este post, asegurate de suscribirte a mi RSS feed!

Omar Palomino

Hola mi nombre es Omar Palomino. Si te gustan las noticias de mi blog, no olvides suscribirte a la página. Puedes leer más en Acerca de MI, o bien ponerte en contacto conmigo al correo: omarc320@gmail.com

More Posts - Website

Post Relacionados

SI TE GUSTO ESTE ARTICULO, COMPARTELO!


Comments

There are 25 comments for this post.

  1. alfredo on Reply to this comment Abril 3, 2012 11:49 pm

    Omar buenas noches una consulta ya cuando estoy terminado el exploit para conectarme a pc victima me sale esto en
    la pantalla de mestasploit :

    [*] Exploit completed, but no session was created.
    msf exploit(ms08_067_netapi) >
    Bueno he cambiado con varias versiones de mestasploit y lo mismo ,Me podrias ayudar porque sale ese error

  2. admin on Reply to this comment Abril 6, 2012 8:32 pm

    @alfredo: Hola Alfredo, quisiera saber que tipo de Payload estás utilizando, ese mensaje se puede deber a varios factores:

    1.- Conexión no establecida debido a que el firewall de Windows está bloqueando la conexión.
    2.- Algunos antivirus traen un módulo de anti buffer overflow.
    3.- Cuando una sesión es mal cerrada, el sistema operativo queda inestable por lo que no se puede conectar nuevamente usando meterpreter, si reinicias Windows verás que la conexión se puede restablecer.
    4.- Ese error tambien suele ocurrir cuando un EXPLOIT no está diseñado para que funcione en determinada versión de Windows, por eso te pediría que me digas sobre que versión de Windows estas tratando de ejecutar el exploit y también en que lenguaje se encuentra.

    Por favor, bríndame los datos que te pido y podremos ayudarte.

    Saludos,

    Omar

  3. 4cr0p0l1s on Reply to this comment Mayo 12, 2012 1:06 pm

    Hola Omar, me podrias decir que requerimientos y que programa usaste para compilar el codigo C (http://www.el-palomo.com/wp-content/uploads/2012/03/codigoC.txt) ya que he intentado varios y me dan distintos errores.

    Gracias

  4. Omar Palomino on Reply to this comment Mayo 16, 2012 10:50 pm

    @4cr0p0l1s, Hola 4cr0p0l1s: Necesito mas información sobre el tipo de error que te da, donde lo estas compilando en Windows? en Linux? Has algunas opciones que debes haber colocado:
    > Win32 console
    > En parameters –> linker: -LWININET

    Me avisas como te fue.

    Saludos,

  5. Robert on Reply to this comment Junio 21, 2012 2:48 pm

    hola Omar ..felicitaciones por el tutorial es muy bueno e interesante
    mi pregunta es : el exploit que utilizas para obtener una session con meterpreter solo funciona para windows xp, funciona para windows 7 ultimate???
    cuando dices ..cuando se ejecuta el exe hecho en c+++ como llama al archivo .bin??.. es decir en la pc de la victima tiene q estar los 2 archivos el exe en c++ y el archivo.bin???
    el ejecutable hecho en c++ tambien me podria habrir una session con meterpreter??????
    y si es asi como podria enviar este archivo mediante internet usando ettercap y apache2??
    es decir si voy a http://www.google.com.pe se redirecione a 192.168.1.100/exe en c+++ para el la victima lo pueda descargar y ejecutar
    tengo esas dudas …. Te lo agredeceria mucho si me pudieras resolver este dilema
    de antemano muchas gracias y sigues asi

  6. Omar Palomino on Reply to this comment Junio 24, 2012 9:28 pm

    @Robert, Hola Robert, respecto a tus preguntas:

    1.- En la víctima sólo debe estar el archivo EXE, no es necesario ningún otro archivo.
    2.- Sí, tambien puede funcionar en Windows 7.
    3.- El ejecutable EXE lo que hace es llamar al archivo ascii.bin y este último establece la sesión meterpreter, entonces, respondiendo a tu pregunta el ejecutable hecho en C si te abre una sesión meterpreter.
    4.- La última pregunta está algo confusa, asi que te voy a explicar el funcionamiento total:

    4.1.- Primero estamos hablando de un BACKDOOR lo que quiere decir es que de alguna manera ya hemos explotado la vulnerabilidad.
    4.2.- Creamos un EXE que llama aun archivo ASCII.BIN y este último (ASCII.BIN) crea la sesión meterpreter.
    4.3.- Para que funcione la sesión meterpreter necesitas que la víctima ejecute el EXE, además que el servidor donde está el ASCII sea accesible también por la víctima y finalmente la víctima se conectará a Backtrack a través de una conexión reversa.

    Espero haberte ayudado y si tienes otras preguntes no dudes en escribirlas en el blog.

    Saludos,

  7. Robert on Reply to this comment Junio 25, 2012 11:45 am

    Hola Omar ….Te agradesco disolver algunas de mis dudas ….Tengo una ultima pregunta
    como puedo ENVIAR a la victima el backdoor hecho en c++ (claro sin que tenga q ir a la maquina fisicamente)
    He probado con algunas herramientas q tiene backtrack como x ejemplo SET ,Metasploit,Evilgrade y Ettercap pero no me funcionan ya q en manda exploits pero son detectados y eliminados por los antivirus
    Mi idea seria que la victima al digitar o abrir http://www.google.com.pe u otra pagina apareca la opcion de descarga para q la victima lo ejecute o lo guarde y luego lo ejecute …. Pero no se como hacerlo ???

    Como envio este backdoor para q la victima lo descargue y lo ejecute y asi me de la session de meterpreter ….
    Estoy q me rompo la cabeza como poder resolverlo….. espero q me puedas ayudar con esto …. gracias

  8. Omar Palomino on Reply to this comment Junio 29, 2012 11:55 am

    @Robert, Hola Robert, la pregunta que me haces: “¿Cómo envío este backdoor para que la víctima lo descargue?”, pues dejame decirte que esa es la pregunta del millón y la que más trabajo cuesta hacer. Para comenzar no es nada sencillo hacerlo y es por eso que seguramente siempre recibes correo electrónico con archivos para descargar que son en realidad virus, malware, backdoors, etc. Te recomiendo que hagas uso de tu imaginación para poder hacer caer a la posible “víctima” utilizando técnicas de ing. social o escondiendo URLs para que puedan descargar el archivo.

    Saludos,

  9. alex velez on Reply to this comment Junio 29, 2012 12:05 pm

    Saludos omar soy blackrose y tengo una pregunta para vos, estuve viendo tus videos de bypassear un AV por asi describirlo y me parecio interesante el video # 2 donde haces un encoding con shikata_ga_nai y generars un payload con extension .bin, lo montas en un servidor web y luego compilas un archivo malicioso, muy interesante, mi preguntas es que estuve haciendo las pruebas, y todo muy bien exepto por que al momento de la “victima” ejecutar el .exe se abre una ventanita de DOS cargando el binario, por lo cual es muy sospechosa, y debido a esto la persona que ejecute el .exe se va a sentir amenazada e inmediatamente va a queter cerrar el ejecutable, por lo cual ,la sesion de meterpreter quizas ni se alcance a iniciar, despues de todo esto, me queda una pregunta para vos, como puedo, o cual seria la mejor forma de que esa ventanita se ejecute en modo silencioso, osea que el “victimario” no la pueda ver a simple vista, muchas gracias; un abrazo.

  10. Omar Palomino on Reply to this comment Junio 29, 2012 12:20 pm

    @Alex Velez, Hola, me da gusto que hayas realizado todo el ejercicio y estás en lo correcto lo que mencionas pero hay formas de minimizar lo que mencionas y todo está en editar el código C, por ejemplo en el código que seguramente has descargado hay una rutina que imprime todo lo que se ve en la ventana DOS, sólo debes editar el archivo C y quitar esa rutina que no es necesaria.

    Saludos,

    Omar

  11. 4crp0l1s on Reply to this comment Julio 4, 2012 12:20 pm

    todo bien omar, gracias!

  12. Omar Palomino on Reply to this comment Julio 6, 2012 12:40 am

    @4crp0l1s, gracias por comentar. Saludos.
    Omar

  13. Mcrdy Vlogger on Reply to this comment Agosto 12, 2012 9:32 pm

    Que tal Omar,
    te saluda Romario Torres

    Mira tengo una duda…

    Una vez ejectuado el archivo .exe (el que fue compilado en C++) se abre una terminal en pantalla y salen unos codigos, y efectivamente me abre una sesion meterpreter en Backtrack, pero al momento de cerrar la ventana del CMD en el windows se me cierra la sesion en el meterpreter…

    Entonces como será posible ejecutar el archivo .exe como servicio o en modo oculto para que no se cierre y no pierda la session meterpreter…????

    y una cosa adicional, es posible ponerl alguna especie de timer para que envie sesiones de meterpreter cada cierto tiempo??

    Muchas gracias de antemano.

  14. Omar Palomino on Reply to this comment Agosto 12, 2012 9:38 pm

    @Mcrdy Vlogger, para responder a tu pregunta:

    1.- El archivo .exe si genera un terminal, si quieres que cuando se cierre la ventana no se cierra la conexión Meterpreter debes migrar el proceso con el comando MIGRATE.
    2.- La idea de este EXE es que sea un backdoor para un servidor, puedes editar el archivo fuente del programa en C para que no se vean códigos en una ventana CMD.
    3.- Para programar que el código se ejecute de manera constante debes modificar el servicio Scheduler de Windows.

    Saludos,

    Omar

  15. Romario on Reply to this comment Agosto 12, 2012 9:57 pm

    Que tal Omar

    Disculpa las molestias pero tu sabes que cuando a uno le gusta algo lo hace hasta que lo lográ…

    He leido algunos de los comentarioas que te han dejado, y veo que han tenido el mismo problema que yo.
    Entonces será que es posible que puedas darnos el codigo para eliminar la rutina de impresion del codigo en la ventana del CMD???

  16. Omar Palomino on Reply to this comment Agosto 16, 2012 2:20 pm

    @Romario, gracias por comentar, si revisan con detalle el código podran ver que esta comentado y hay una parte que dice: “//this print the data in format \x00 you can delete this routine”. Te agradecería revisar esto por favor y luego nos comentas como te fue =).

    Un abrazo y gracias por comentar.

    Omar

  17. alex on Reply to this comment Enero 11, 2013 7:47 pm

    Hola palomo , saludos desde carabyllo Lima-Peru.

    Palamo ire al grano , eh seguido todos tus pàsos con exito asta el ultimo en que compilo el programa use el mismo programa :
    Pasos que ise :
    1-Copie el Codigo C++ de tu pagina (combie la ip use el mismo servidor apache )
    2-Abri el dev c++ Nueno Proyecto aparecienron varias obciones :
    -windows aplicacion
    -Console aplicacion
    -Static Library
    -DLL
    -Empty

    3-selecione windows aplicacion en C++
    4-Copie y pegue luego cambie la la direcion por la mia
    5-> Cambie en Opciones de Proyecto y puse lo que dijiste
    - en Win32 console
    - En parameters –> linker: -LWININET
    6-le doy ah compilar y compila bien sin errores
    7-LO abro y lo ejecuto para probar y me aparece esto :
    le di un pantallaso para que lo veas :

    https://fbcdn-sphotos-a-a.akamaihd.net/hphotos-ak-snc6/230633_590323897661219_1726349099_n.jpg

    aver si me ayudas palomo! nos vemos , y gracias por todos los tutos ,
    te siguo los pasos palomo! xD tmb estudio ing.sistemas y estoy preparandome para
    certificarme en CEH . Nos vemos y DTB

  18. B3030 on Reply to this comment Mayo 5, 2013 7:57 pm

    Hola Omar soy un seguidor de tus videos tengo unas cuantas dudas espero me puedas responder en el mismo orden:
    1:Cuando otro usuario te a preguntado si funciona en windows 7 y tu respondes “puede funcionar” eso que quiere decir? que a veces funciona y a veces no? por que haces los videos usando wndows xp y no windows 7 que es el mas usado?

    2:El paso de subir el EXE a la red para que la victima lo descargue no me quedo muy claro,en que direccion se sube?

    3:por ultimo, e leido en otros foros que la maquina virtual solo funciona para atacar el propio ordenador que para una peneracion real no funciona,es eso sierto?
    bueno espero respuesta gracias y saludos desde España.

  19. Omar Palomino on Reply to this comment Junio 20, 2013 9:35 pm

    Hola B3030,

    Respondo a tus preguntas:

    1.- Significa que no lo he probado en Win7.
    2.- Lo subo en cualquiera que me permita decargarlo, la idea es que el backdoor lo pueda descargar.
    3.- No es del todo cierto, las máquinas virtuales se usan para enseñar en un escenario real debes adecuarte y cambiar ciertas cosas.

    Saludos,

    Omar

  20. djkike19 on Reply to this comment Agosto 5, 2013 5:54 pm

    Hola Omar Palomino estan mmuy buenos tus videos, una pregunta me funciona el exploit ms08_067_netapi pero el firewall de windows no pwçermite ejecutarlo utilizo el payload windows/shell_reverse_tcp ¿algún otro exploit mucho mejor al que te mencione?

  21. Omar Palomino on Reply to this comment Agosto 6, 2013 11:11 am

    @djkike19,

    Antes de hacerte alguna recomendación, que puertos tiene permitido el firewall?

    Saludos,

    Omar

  22. Djkike19 on Reply to this comment Agosto 7, 2013 12:16 pm

    Omar Palomino ese es mi inconveniente, no se como abrir o saber que puerto tiene abierto el firewall dewindows de la otra pc ¿se puede ver con Nmap?

  23. djkike19 on Reply to this comment Agosto 7, 2013 12:40 pm

    Omar Palomino ese es mi inconveniente, no se como abrir o saber que puerto tiene abierto el firewall de windows xp sp3 de la otra pc ¿se puede ver con Nmap?

  24. djkike19 on Reply to this comment Agosto 11, 2013 9:22 am

    Buenos días Omar cuando ejecuto nmap y escaneo los puertos dentro de mi red la otra pc me dice algo como que los puertos estan filtrados me sale esto: all 1000 scanned ports on 192.168.1.100 are filtered
    alguna opción para poder ver que puertos tiene abierto el firewall de Windows xp Sp 3 sin actualizaciones

  25. djkike19 on Reply to this comment Septiembre 20, 2013 5:36 pm

    ¿Por qué no respondes Omar Palomino?

Write a Comment

*

Comment Spam Protection by WP-SpamFree