Сегодня посмотрим ,на мой взгляд , довольно таки не плохой мультиплатформенный RAT на питоне c очень большим функционалом.

Pupy может использовать различные протоколы шифрования для комуникации с жертвой (SSL,HTTP,RSA,obfs3,scramblesuit), мигрировать в процессы (reflective injection), подгружать удаленные python скрипты, python пакеты и python C-extensions из оперативной памяти.
Pupy может создавать payloads в различных форматах ,таких как PE executables, reflective DLLs, python files, powershell, apk, ...

После тестирования данного продукта мне он напомнил что то общее между meterpreter и модулями из PowerShell Empire Framework ,как интерфейсом так и модулями которые разработчики вложили в сей продукт.

Я считаю что его можно отлично использовать для:

• security research
  
• обучения
  
• пентестинга
  
• администрирования

И так давайте все же познакомимся с ним по ближе.
Создаем PAYLOAD
Ну для начала скачаем все же и установим зависимости(я делаk на Kali Linux):

Код:

Код:

---

git clone https://github.com/n1nj4sec/pupy.git pupy
cd pupy
git submodule update --init --depth 1 pupy/payload_templates
git submodule init
git submodule update
pip install -r requirements.txt

---

Дальше идем в папку pupy и там нас пока что интересуют только два файла:
pupygen.py-сам билдер(генератор) так сказать иpupysh.pyсама серверная часть,консоль управления.

Я попытаюсь кратко описать функционал,иначе статья будет очень длинная. Одна из фишек этой тулзы это транспорты и скриплеты которые позволяют выбирать тип шифрования трафика ,а скриплеты позволяют запустить какой то модуль сразу же при старте вредоноса(например кейлоггер) Посмотреть список скриплетов и транспортов можно командой

Код:



Cгенерировать бинарник под виндоус систему можно следующей командой:

Код:



После этого парим жертве(правда он скорее всего спалится антивирусом,но в следующих статья я научу его вас обходить,это ознакомительная часть)

Дальше все очень похоже на метерпретер сессию метаслоита:
Открываем сессию командой

Код:


пользуемся командамы
help

list_modules

run module_name -h









Спасибо за внимания.C Вами былDarkNode)

Зачет!

Инструмент периодически обновляется и является актуальным на сегодняшний день.

Пример компрометации для малоопытных пользователей:
В качастве атакующей систем kali linux 2017.1 с адресом 192.168.43.162
В качасве атакуемой системы win7 x64 c АВ NOD32.

Генерируем нагрузку:

Код:


https://forum.antichat.xyz/attachmen...15fa628795.png

Получаем файл (test_for_codeby.exe) с заданными параметрами:

https://forum.antichat.xyz/attachmen...76e1dea8cd.png

он находится в папке с pupy:

https://forum.antichat.xyz/attachmen...f36a886504.png

Доставляем файл на целевую систему, после чего из папку с pupy запускаем клиентскую часть:

Код:


https://forum.antichat.xyz/attachmen...46c28ea5dc.png

Проверим файл NOD'ом c обновленными от 13.05.2017г. сигнатурами:

https://forum.antichat.xyz/attachmen...55dd8a7eee.png

Как видим, всё ОК.

После запуска файла на целевой системе получаем сессию:

https://forum.antichat.xyz/attachmen...26e3437d91.png

Список команд:

https://forum.antichat.xyz/attachmen...bda596afd4.png

Наш процесс ID и разыв сессии:

https://forum.antichat.xyz/attachmen...a8fd9ed36e.png

Спасибо ~~DarkNode~~за обзор!!!
[doublepost=1497343964,1497343770][/doublepost]П.С. Мой пост к тому, что благодаря шифрованию и SSL ни брандмауэр ни АВ наш файл не заблокировали.
Минусом лично для меня является размер файла

https://forum.antichat.xyz/attachmen...8e08ed7f7e.png

[doublepost=1497347490][/doublepost]Еще добавлю.
В отличие от meterpreter, при разрыве сессии отсутствует необходимость повторной эксплуатации цели (в случае с pupy это повторный запуск вредоносного файла на целевой машине). Т.е. если процесс не был завершен, то достаточно повторно запустить листенер.

Avast детектировал файл test_for_codeby.exe как вирус!

Только что сгенерировал с отличными от первого файла параметрами, NOD молчит (тест в virtualbox)

https://forum.antichat.xyz/attachmen...2710a77cf6.png



Вчера тестировал на реальной машине - тоже тишина
На VT не хочу загонять.

С отключенным антивирем прекрасно работает

сам пользуюсь этой утилитой( как пост эксплуатацией) ..впечатления хорошее, но палится некоторыми антивирусами.

на днях сгенерированный файл был спален на целевой системе стандартным виндовым АВ.

в грей секции полно способов обхода АВ)) моя колонка))

Опять ошибки при установке. Как же они за..Ладно.
При установке m2crypto возникала ошибка, поэтому пришлось:

1. Убрать строку m2crypto из requirements.txt
   
2. sudo apt-get install python-m2crypto

Также не мог установить кучу того, что требовалось, поэтому sudo.
Ещё не мог установить из-за того, что нужен python-dev. Решилось так:

1. sudo aptitude install python-dev
   
2. n [enter]
   
3. Y [enter]
   
4. sudo aptitude upgrade

Надеюсь помог тем, у кого та же проблема.
[Добавка от 13.12.2017: 16 - 03 МСК]
"Template not found (/home/server/Загрузки/Прочее/pupy/pupy/payload_templates/pupyx86.exe)"
Решение:

1. wget https://github.com/n1nj4sec/pupy/releases/download/latest/payload_templates.txz
   
2. tar xvf payload_templates.txz && mv payload_templates/* pupy/payload_templates/ && rm payload_templates.txz && rm -r payload_templates

[doublepost=1513178216,1513169557][/doublepost]Ещё проблема с установкой PyAutoGUI.
Решение #1:

1. pip install python-xlib
   
2. sudo apt-get install scrot
   
3. sudo apt-get install python-tk
   
4. См. установку python-dev комментарием выше
   
5. pip install pyautogui

Решение #2:

1. Ставьте PyAutoGUI без SSH (т.е. не используя SSH)

Причина неизвестна, но так нужно сделать.