Вот в этом и весь затык пентестинга, всегда бегаешь пробуешь разные инструменты, всегда зависишь от инструментов и сплоитов других, а писать свои у пентестеров в 99% случаев не получается. Не работа, извращение.

если винда не обнавлялась то
use exploit/windows/smb/psexec
насколько я помню там нужен USER, попробовать узнать его можно так

Код:


если не получится нужно пробовать узнавать другими утилитами, погуглить или
Код:

Код:

nmap -v --script=smb-enum-users -p445 192.168.xxx.xxx -Pn

можно встать между юзерами и роутером, и провести иньекцию в скачиваемый файл (как вариант)

я у себя на работе все компы вздрючил, так как давно не обновлялись ПО

апдейт.

Прошел кучу возни с настройкой кали под себя и плясок с бубнами вокруг адаптеров и драйверов. С 5-го раза кали прижился на флешке.

По предыдущим шагам:
Поюзал я все enum под винду в метасплоите, ничего интересного не нашел. Вообще глушняк. На большинстве винд активирован фаервол и все сканы в обломе. Если честно, я приятно удивлен таким положением дел на стоковой винде. Во времена 7ки и ХР было все гораздо хуже с безопасностью. Хотя бы список юзеров и версию системы я бы точно взял, а тут полный остос.

Пошел по пути, который советовал коллега:
И действительно, обнаружил хороший вектор.

1. Получил доступ к вайфаю. Перебрал пачку инструментов, надежды были на Fluxion, но он, как и еще парочка тулзов, почему-то не запускал dhcp и при коннекте на мою АП клиент не получал айпи.
В итоге сработало решение через wifiphisher. Лендос там кондовый, конечно, тупо форма Enter wifi password и никаких проверок по хендшейку. Ну да ладно, главное сработал, потом разберемся с fluxion.

2. Чуть позже нашел еще один заход через недонастроенный контроллер с вайфаем на борту. Теперь у меня есть рут на arm-линукс-машине. Но он в другой подсети. Отложил его пока.

3. Пошел в arp и sniff. На удивление у меня не взлетел ettercap. Просто ничего не показывает, зато открыл для себя bettercap. Офигенная штука, изящная, быстрая, со скриптами. Кайф короче.
Быстро обнаружил в сети веб сервис мониторинга без ssl. Все юзеры там постоянно сидят и работают. Получил логин и пасс.

4. Замутил arp-poison и воткнул инжект Beef. И еще раз офигел уже от этого инструмента Поигрался с ним и почитал инет, мне понравилась фишка с социальной инженерией, тупо накладка на сайт с запросом пароля или ссылкой на скачивание. Там есть hta shell и уведомления Хрома об обновке плагинов.
При запуске таска на внедрение hta ничего не происходит. При запуске уведомления для обновки плагина можно вставить свой бинарник.
Хрен с ним с hta, я так понял он хорошо работает только с IE, а у меня все клиенты на Хроме сидят.

Подумал что дело в шляпе, возьму бэкшелл на ps и все. Но не тут то было, шелл палит windows defender.
попробовал сгенерить unicorn - все равно палево. Вот здесь я пока и застрял.

Подскажите что сейчас актуально для генерации fud reverseshell'а ? Думал что повершелловские обфусцированные скрипты это панацея, но обломался. Тема умерла или нужно хитрее делать?

Видел shelter, видел empire. Но пока не пробовал.
Мне бы в и идеале получить meterpreter сессию чтобы можно было, кроме всего прочего, делать скриншоты текущего юзера.

Столкнулся с тем, что на этапе доставки stager'а клиенту, происходит запал антивирем.
Ситуация классическая. Именно тут пентестер вступает в борьбу с АВ индустрией.
Для блек-темы, эта стадия вообще не является проблемой. У ребят из блека свой софт и крипт сервис. Просто делают свой rat fud и привет.
Уверен, что у профи пентестеров ровно такой же подход
Что же делать тем, кто не блек и не профи. Вот тут начинаются пляски с бубнами.
Все модные фреймворки типа empire, unicorn, veil все они старые и давно паляться ав. Более того, вся паблик индустрия софта отстает от приватной малварной индустрии лет на 5(цитата из аналитики).
В моем случае необходим обход windows defender.
В 5 версии метасплоита есть модуль обхода вин дефендера, который, конечно же, не работает
Почему же он не работает? Вот этот человек разобрался:

Beating Windows Defender. Analysis of Metasploit’s new evasion modules.

A research on why the new defender evasion modules fail to evade

idafchev.github.io


Да, можно поставить задержку, можно модифицировать исходник обхода, но!
Абсолютно не факт, что это заработает
Так, же, очень вероятно, что и этот способ уже известен дефендору и он не сработает.
В итоге, я потрачу кучу времени, учитывая что я не реверсер, и, с большой вероятностью не получу рабочего варианта.

Самое прекрасное, что появилось в хакинге в эру Кали и метасплоита - это огромное количество различных фреймворков для работы с пайлоадами и шеллкодами.
А так же систематизация техник проникновения и инструмениарий для этих техник.
Раньше был только си и асм и вперед.
Это означвет, что у пентестеров появилась возможность на достаточно низком уровне крафтить свой стэйджер для обхода АВ.
Чтобы сбить ав нужно изменить сигнатуру и поведения софта.
Используя инструменты типа msfvenom, veil и прочие, стало возможным как в лего конструкторе, брать различные детали, видоизменять их на каждом уровне и собирать итоговый инструмент, который не палиться ав.
Можно подбирать любой шеллкод или писать самому, можно выбирать метод инжекта и можно выбирать средство инжекта.
И все это можно делать различными инструментами.

Вот отличная статья на тему обхода ав через модификации шеллкодов:

Hiding Metasploit Shellcode to Evade Windows Defender | Rapid7 Blog

If malware development is a cat-and-mouse game, then I would say that the industry creates some of the most terrifying hunters. Learn more.

blog.rapid7.com


Тут о том как генерить пэйлоады в msfvenom MSFvenom | Offensive Security

А вот отличная статья с практической частью. Именна она помогла мне сдвинуться с мертвой точки. Я получил fud stager с reverse tcp psh:

Does Veil Evasion Still Work Against Modern AntiVirus?

Bypassing antivirus solution is easy as well as difficult depending upon situation and methods you are using. Evading firewalls, Intrusion detection

www.hackingloops.com


Это уже отлично, однако, я хотел именно meterpreter сессию. Теперь есть два пути, работать с тем что есть либо дрочиться с криптованием шеллкода meterpreter.

Модель атаки получидась очень близка к вот этой Red Team Diary, Entry #3: Custom Malware Development (Establish A Shell Through the Browser)

Там автор усложнил процесс получения шелла и замаскировал его прцессом браузера. Мне это не было не нужно, однако способ доставки стэйджера и упаковка очень схожа.

PSh скрипты на какой стадии блокирует? Не даёт их загружать или твой реверсшелл блокирует по поведению? Мож просто нагрузку сменить и добавить пользователя в системе, а не пытатся реверсшелл выполнить? Да, такой подход не по феншую, но всё же, за неименеем других.

Ванлайнер psh делает document load другого psh с шеллкодом метерпретера и ав палит powershell.exe в момент исполнения этого скрипта
Сейчас я получаю беспалевный шелл, но пейлоад от winpayloads и дает он мне PSshell на handler winpayloads, что вообще неудобно.

Можно конечно нагрузку поменять,, но на винде стоит дефолтный фаерволл и врядли я смогу что-то сделать через psexec. Хотя можно попробовать.
Но тут дело принципа блин, я хочу метерпретер)))

Сейчас изучаю вопрос крипта метепретер шелкода и дальше лиюо попробую его запаковать в повершел либо сгенерить бинарник.

На форуме был перевод статьи как AV детектят реверсшелл и какие приёмы используются чтоб это дело обойти.

В неие пишут, что повершелл тактики сильно задрочены и что ав пристально за ними смотрят.
Возможно это так. Но реверсшелл обычный у меня взлетел с дефендером.
Решил все же попробовать поиграться с шеллкодами.