Eternalblue & double_pulsar ayuda!!!!

  • 7 Respuestas
  • 1770 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado RxB

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 14, 2019, 07:16:18 pm
Hola a todos,
Quería rpeguntar si alguien sabe como hacer para que el antivirus no detecte el archivo eternal11.dll generado por {este exploit ya que cuando lo detecta interrumpe la conexión! Estuve viendo que metasploit tiene un encoder dentro de las opciones de éste exploit, pero no se bien como usarlo o como combinar los diferecntes encoders! Si alguine me puede ayudar se lo agradeceré!  Saludos!  :)

msf > use exploit/windows/smb/eternalblue_doublepulsar
msf exploit(windows/smb/eternalblue_doublepulsar) > show encoders

Compatible Encoders
===================

   Name                          Disclosure Date  Rank       Check  Description
   ----                          ---------------  ----       -----  -----------
   generic/eicar                                  manual     No     The EICAR Encoder
   generic/none                                   normal     No     The "none" Encoder
   x64/xor                                        normal     No     XOR Encoder
   x64/xor_dynamic                                normal     No     Dynamic key XOR Encoder
   x64/zutto_dekiru                               manual     No     Zutto Dekiru
   x86/add_sub                                    manual     No     Add/Sub Encoder
   x86/alpha_mixed                                low        No     Alpha2 Alphanumeric Mixedcase Encoder
   x86/alpha_upper                                low        No     Alpha2 Alphanumeric Uppercase Encoder
   x86/avoid_underscore_tolower                   manual     No     Avoid underscore/tolower
   x86/avoid_utf8_tolower                         manual     No     Avoid UTF8/tolower
   x86/bloxor                                     manual     No     BloXor - A Metamorphic Block Based XOR Encoder
   x86/bmp_polyglot                               manual     No     BMP Polyglot
   x86/call4_dword_xor                            normal     No     Call+4 Dword XOR Encoder
   x86/context_cpuid                              manual     No     CPUID-based Context Keyed Payload Encoder
   x86/context_stat                               manual     No     stat(2)-based Context Keyed Payload Encoder
   x86/context_time                               manual     No     time(2)-based Context Keyed Payload Encoder
   x86/countdown                                  normal     No     Single-byte XOR Countdown Encoder
   x86/fnstenv_mov                                normal     No     Variable-length Fnstenv/mov Dword XOR Encoder
   x86/jmp_call_additive                          normal     No     Jump/Call XOR Additive Feedback Encoder
   x86/nonalpha                                   low        No     Non-Alpha Encoder
   x86/nonupper                                   low        No     Non-Upper Encoder
   x86/opt_sub                                    manual     No     Sub Encoder (optimised)
   x86/service                                    manual     No     Register Service
   x86/shikata_ga_nai                             excellent  No     Polymorphic XOR Additive Feedback Encoder
   x86/single_static_bit                          manual     No     Single Static Bit
   x86/unicode_mixed                              manual     No     Alpha2 Alphanumeric Unicode Mixedcase Encoder
   x86/unicode_upper                              manual     No     Alpha2 Alphanumeric Unicode Uppercase Encoder
   x86/xor_dynamic                                normal     No     Dynamic key XOR Encoder


« Última modificación: Enero 14, 2019, 09:52:09 pm por Gabriela »

Desconectado Rad1us

  • *
  • Underc0der
  • Mensajes: 80
  • Actividad:
    0%
  • Actividad:
    0%
  • Country: 00
  • Reputación 2
    • Ver Perfil
    • Email

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 14, 2019, 08:42:43 pm
Esto es una pregunta y como tal debe ir en preguntas y respuestas.

 :P


en cuanto a tu pregunta:

https://www.offensive-security.com/metasploit-unleashed/Msfvenom/
Código: [Seleccionar]
[email protected]:~# msfvenom -h

Options:
   ......
    -e, --encoder            The encoder to use
    ....

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 863
  • Actividad:
    100%
  • Actividad:
    100%
  • Country: 00
  • Reputación 17
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 15, 2019, 07:57:03 am
@RxB

Si no me equivoco estas usando el módulo integrado por defecto en metasploit, te recomiendo usar el de eleven path: https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit

Lo probé hace un tiempo con Avast instalado y funcionando con todas las características en excepción del firewall y el firewall de Windows.
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado RxB

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 15, 2019, 08:11:49 am
Gracias por tu respuesta, pero estoy utilizando el mismo módulo que mencionás. Al utilizarlo crea el dll y lo inyecta (según tengo entendido). Lo que no sé es como modificar el dll con los encoders. Ya que si yo modifico el dll, cuand ejecute nuevamente el exploit se va a generar un nuevo dll y va a reemplazar el mío!

Conectado DtxdF

  • *
  • Moderator
  • Mensajes: 863
  • Actividad:
    100%
  • Actividad:
    100%
  • Country: 00
  • Reputación 17
  • Eres un auto y tienes dos opciones: Parar o Seguir
    • Ver Perfil
    • Mi repositorio de Github donde encontraras herramientas para tu trabajo.
    • Email

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 15, 2019, 12:25:30 pm
@RxB

Ve el código fuente de el modulo, buscas la línea donde genera la dll y la comentas, la eliminas o alguna acción para que no se genere y supongo que el nombre debe estar en una variable o un dato predefinido, intenta colocar la ruta de donde la dll generada por la tuya.

Te recomiendo que uses el framework fuzzbunch.
Los seres humanos son robots, cuyo combustible es el afanado dinero.

Desconectado RxB

  • *
  • Underc0der
  • Mensajes: 23
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 15, 2019, 12:37:52 pm
Gracias!!! LO VOY A PROBAR Y LUEGO COMENTO!

Desconectado Kirari

  • *
  • Moderator
  • Mensajes: 241
  • Actividad:
    23.33%
  • Actividad:
    23.33%
  • Country: ru
  • Reputación 12
  • No dejes que el mundo te corrompa
    • Ver Perfil
    • Baúl para el público

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 19, 2019, 02:09:15 pm
Hasta donde yo sé, los encoders que utiliza msfvenom son completamente detectables por los antivirus de hoy en día. Claro, no estoy seguro, pero te digo que la mayoría que probé fueron detectados. Y si quieres hacerlo más indetectable, ten cuidado con la cantidad de iteraciones que le des, porque puede romperlo. Saludos!
Jamás te contarán la verdadera versión, siempre te dirán la suya... Por eso... Si quieres saber la verdad, debes buscarla tú mismo...

Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 302
  • Actividad:
    0%
  • Actividad:
    0%
  • Reputación 1
  • Vivir sin sueño no es vivir.
    • Ver Perfil

Re:Eternalblue & double_pulsar ayuda!!!!

  • en: Enero 19, 2019, 09:12:44 pm
pero msfvenom tambien lo detectanlos antivirus