Underc0de

Buenas, al crear un payload con veil (en mi laboratorio personal) obtengo session meterpreter.
Después al introducir el comando shell, me lo detecta el AV, ¿por qué?
Al ejecutar de primeras, ¿no hay alguna forma de que no me lo detecte al poner shell?

Gracias

Tienes que verificar la configuracion que le estas dando en veil, ahi muchos tutoriales que te muestran como.

Me pasas algún vídeo tutorial dé esa configuración que dices.

Muy buenas @salem (https://underc0de.org/foro/index.php?action=profile;u=48655), desconozco de lo que hablais, pero buscando en google me ha salido esto, ojala te sea de ayuda. veil tutorial (https://www.veil-framework.com/veil-tutorial/)

Buenos días! Tener presente que desde el so windows vista en adelante existe un control de ejecución de comandos sin permisos de administrador, hacia que destino realizaste la sesión? Por otro lado, debes de tener presente que si vas a realizar la conexión puerto a puerto en modo pasivo al momento de negociar una acción este la enviara y la ejecutara en una shell -> eso significa que tanto desde la linea de comandos como dentro de powershell este va a ser analizado por el so/av. Un ejemplo muy simple seria con un ftp (modo pasivo) enviarías un comando y este viaja sin cifrar, al momento de negociar los puertos la conexión cae.

A mi me huele que lo frena el sistema operativo.

En principio te pido más información del ataque que quieres realizar.

Saludos!

Como puedo saltar el control ese, yo creo el payload  creado por veil me voy a mi maquina virtual y lo ejecuto desde el escritorio.

Ejecuta el payload/shell que creaste en modo administrador, manteniendo apretado shift, clic derecho y ejecutar como administrador, saludos

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Como puedo saltar el control ese, yo creo el payload  creado por veil me voy a mi maquina virtual y lo ejecuto desde el escritorio.

Si el payload se configura bien no va se reconocido por ningun av, si buscas en google encontraras bastante informacion sobre eso. No pretendas que te lo den todo a la mano sin pasar ningun tipo de esfuerzo.

Ok, gracias

El problema es más que claro, Veil no está "protegiendo" del todo el payload, por lo cual es posible que al momento de ejecutar el comando shell el cual te brinda un CMD remoto del equipo a atacar, este por causa de heurística del antivirus podría marcar el ejecutable potencialmente peligroso, por lo cual como solución deberías buscar otra shellcode (sugerencia que no sea meterpreter pues digamos que es la caballería pesada de las shellcode brindadas por Metasploit, ¿Para qué tanto?)

Saludos

gracias solucionado si lo ejecuto con administrador no me lo detecta el porque no lo se

Cierro el tema dado que has solucionado el problema.
Seguramente, investigar las razones de la solución te aportará conocimiento.

Cualquier duda, pides reabrir o creas otro post.

:)

Gabi