Auteur Sujet: [Résolu] | RAT Msf ou codé main ou mixte  (Lu 1403 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne tonius

  • Nouvel inscrit
  • Messages: 7
  • +0/-0
[Résolu] | RAT Msf ou codé main ou mixte
« le: 21 août 2020 à 00:16:00 »
Bonjour,

Je n'aime pas réinventer la roue bien que ce soit utile pour apprendre. Donc je préfère utiliser le framework metasploit pour des tests d'intrusions plutôt que d'utiliser un code client/serveur tcp fait main par exemple. Mais bon j'aurai aimé savoir qu'elle est la meilleure manière de le faire parmis celles-ci :
- Utiliser metasploit et créer un payload avec un générateur de payload fud.
- Utiliser metasploit et un payload connu (windows/meterpreter/reverse_tcp) mais créer un encoder soi même
- Utiliser metasploit en codant soi même son payload à la main
- Utiliser un code complètement fait main (client/serveur tcp, chiffré etc...par exemple)

Merci  ;)
« Modifié: 21 août 2020 à 14:44:01 par ZeR0-@bSoLu »

Hors ligne Snk

  • Modérateur
  • Membre Elite
  • *****
  • Messages: 1602
  • +112/-1
  • Multiboot Linux - Kali en Amateur - python(A)
Re : RAT Msf ou codé main ou mixte
« Réponse #1 le: 21 août 2020 à 06:38:50 »
Hi  :)

La meilleure manière, c'est celle qui te va... Si tu es pressé, utilises metasploit, en encodant en plus, (ou en utilisant genre thefatrat, bien que je n'aime pas trop ce genre d'outils), avec un peu plus de temps, fais le a la main, ça sera plus simple de faire du fud, et en cadeau, tu apprendras des trucs, tu pourras lui faire faire ce que tu veux, et tu pourras même t'en reservir.
Ben, les signatures de metasploit sont vraiment connu. Donc, du fud... Moi quand je l'utilise, avec genre windows/meterpreter/reverse_tcp comme tu citais, je rajoute un encoder moins connu a metasploit ce qui m'aide a moins me faire flag. (genre 3 ou 4/64)
Si tu veux vraiment du fud, tu devrais le faire toi-même en C, même sans l'encoder c'est fud, en rusant un peu.

A+   8)
« Modifié: 21 août 2020 à 06:49:46 par Snk »
A l'époque c'était système_D (Comme démerdes-toi!)
On ne gagne pas sa Liberté , On choisi de la prendre!
Membre du P.L.F, Bill Gate$ suck'$.
Anti GAFAM - Brûlons les tous!
Eux, c'est les pommes, et vous les poires...

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2927
  • +169/-5
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : RAT Msf ou codé main ou mixte
« Réponse #2 le: 21 août 2020 à 08:26:23 »
Salut,

Le mieux ça reste de coder toi même une charge ou un programme qui fais ce que tu veux, msf n'etant pas obligatoire du tout je me permets de te le faire remarquer vu que tu n'a quasiment cité que msf :)

Tu peux très bien utiliser netcat comme listener pour commencer car tu verras que créer une charge pour msf demande quelques ajustements supplémentaire (logique tu vas me dire).

Avant de te lancer sur des trucs 'fud' commence par te renseigner sur la façon de coder de telles charges, puis après seulement regarde ce que 'fud' implique comme modifications ;)

Globalement la question à se poser dans ta tête c'est surtout "ai'je besoin d'avoir un truc fud" si par exemple tes tests d'intrusions se déroulent très bien en utilisant simplement les charges de msf et bien tu veux simplement aussi regarder le code de celles-ci pour comprendre comment ils s'y prennent :)

A bientôt
Mess  with the bests.
Die like the rest.

Hors ligne tonius

  • Nouvel inscrit
  • Messages: 7
  • +0/-0
Re : RAT Msf ou codé main ou mixte
« Réponse #3 le: 21 août 2020 à 11:44:36 »
Hey merci de vos réponses  :)

Oui c'est vrai qu'il n'y a pas que msf et msf sert surtout à exploiter des vulnérabilités présentes.
Mais je suis un peu têtu j'aime bien quand j'utilise un outil crée par une communauté qui y à passé du temps, réutiliser cet outil  ;)

J'ai fait des erreurs de petits cons.. j'avais créer un RAT en C# mais du coup très très lourd car beaucoup de librairies à ajouter avec le fichier malveillant... Et ma plus grosse erreur a été d'upload sur VirusTotal résultat un mois après mon fud était détécté, alors qu'il était à 0/70 (plus jamais je ne ferai cette erreur).

Par contre je me demande comment des Payload Creator du style TheFatRat, Hercules, Veil-evasion etc.. arrivent à fonctionner. Ils sont tous obsolètes du fait qu'à partir du moment ou c'est rendu public ceux qui ne lisent pas les avertissements du style "dont upload on VirusTotal" vont le faire quand même et du coup les AV vont tout faire pour les bloquer (signatures, repérer le fonctionnement etc..). Du coup il n'y a aucun moyen hormis de le faire soi même si je comprends bien ?

Après 3j de recherche j'étais content avec msfvenom j'avais réussi à faire passer le payload sans détéction sur windows defender. Tout simplement en trouvant un encoder qui bruteforce avec une clé pour que l’exécution du virus en sandbox ne se fasse par (car trop long). Et une fois que le virus me lance une session meterpreter il était chiffré en aes256 avec le EnableStageEncoe à true. Et ça passait pendant 15min mais WindowsDefender est trop fort et par je ne sais quel moyen il le détectait au bout de 15min, 30min ou même lors de la mise en place de persistance malgré le chiffrement aes256.

Du coup je vais le faire en C le client je serai tranquille tant pis et j'utiliserai msf pour l'exploitation de vulnérabilités mais plus pour les virus. Adieu msfvenom je t'aimais  :'(

PS : Je veux juste faire du FUD par curiosité
« Modifié: 21 août 2020 à 12:13:38 par tonius »

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2927
  • +169/-5
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : RAT Msf ou codé main ou mixte
« Réponse #4 le: 21 août 2020 à 12:29:18 »
Prend le temps de bien comprendre ce que tu manipules

Msf ne sert pas qu'a exploiter des vulnérabilités existantes loin de la d'une part mais tu te doutes bien que si tu veux réutiliser les trucs qui existent déjà surtout dans le cas de msf ou c'est énormément utilisé, il faut t'attendre à ce que ça ne soit pas fud.

D'autre part ta question sur le fonctionnement bah c'est très simple, soit ils sont utiles qu'un bref laps de temps, soit les mecs qui tiennent le projet changent en permanence les signatures et les morphismes etc..

Concernant ton histoire de détection, c'est le principe de base des AV, s'ils ont à faire à un bout de code chiffré, ils sont principalement deux solutions pour contourner le problème, soit ils injectent des patterns dans le déchiffreur embarqué soit ils font du déchiffrement dynamique (d'ou la detection après execution) , soit le scan de l'AV détecte le déchiffreur directement.

Finalement peut importe le langage dans lequel tu le fais suffit juste de faire les choses proprement et de préférence légères surtout niveau réseau ;)  et encore que ça va dépendre de tes besoins.

Personne ne t'a également dis d'abandonner msfvenom tu peux très bien fournir des shellcodes personnalisés à msfvenom pour build tes PE.

Si c'est de la curiosité c'est bien pour ça que je te conseillais de regarder directement le code de msf ou de veil ou équivalent ;)
« Modifié: 21 août 2020 à 12:36:51 par ZeR0-@bSoLu »
Mess  with the bests.
Die like the rest.

Hors ligne tonius

  • Nouvel inscrit
  • Messages: 7
  • +0/-0
Re : RAT Msf ou codé main ou mixte
« Réponse #5 le: 21 août 2020 à 14:30:05 »
Merci de ta réponse.

Très honnetement je trouve qu'il est plus dur de comprendre le fonctionnement de msf, des payloads, encoders tout ça que d'en faire un soi même. Je vais commencer simple pour le coup en me concentrant sur la création d'un rat de A à Z en C du coup (pour le client, le serveur je ne sais pas ce qui est le mieux), en prenant un bout de code existant pour la connexion tcp car rien ne sert de réinventer la roue. J'adapterai un peu le code pour être sur qu'il soit fud. Et après je créerai mes propres payloads pour les screenshots, keylogger, persistance ce sera formateur :)

Je reviendrai vers msfvenom plus tard quand je serai plus avancé ;)

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2927
  • +169/-5
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : RAT Msf ou codé main ou mixte
« Réponse #6 le: 21 août 2020 à 14:43:50 »
Bon courage pour la suite :)
Mess  with the bests.
Die like the rest.

Hors ligne tonius

  • Nouvel inscrit
  • Messages: 7
  • +0/-0
Re : [Résolu] | RAT Msf ou codé main ou mixte
« Réponse #7 le: 21 août 2020 à 18:53:05 »
Merci  ;D

C'est fou la différence de poids entre un client en C et en C#. Après je m'y connait pas et je suis sur qu'on doit pouvoir faire pareil en C# mais entre un client tcp en C# qui pèse 20Mo avec toutes les .dll et un client C compilé avec un coup de
gcc (rajouter -lws2_32 pour ceux qui ont des erreurs avec le socket ;) ) et qui pèse 50ko , c'est fou la différence. Ca pèse rien et ça fonctionne :o

Hors ligne Snk

  • Modérateur
  • Membre Elite
  • *****
  • Messages: 1602
  • +112/-1
  • Multiboot Linux - Kali en Amateur - python(A)
Re : [Résolu] | RAT Msf ou codé main ou mixte
« Réponse #8 le: 21 août 2020 à 19:08:16 »
Ça m'etonne pas... c# trop lourd. Le C, y'a que ça de vrai. Et tu en fais ce que tu veux...

Edit: Dans le domaine = bash + python + C !!  Le reste, c'est juste un plus.
« Modifié: 21 août 2020 à 19:42:50 par Snk »
A l'époque c'était système_D (Comme démerdes-toi!)
On ne gagne pas sa Liberté , On choisi de la prendre!
Membre du P.L.F, Bill Gate$ suck'$.
Anti GAFAM - Brûlons les tous!
Eux, c'est les pommes, et vous les poires...

Hors ligne tonius

  • Nouvel inscrit
  • Messages: 7
  • +0/-0
Re : [Résolu] | RAT Msf ou codé main ou mixte
« Réponse #9 le: 21 août 2020 à 19:12:33 »
Dac merci de me l'avoir conseillé je vais l'étudier maintenant ;)

En ligne ZeR0-@bSoLu

  • Administrateur
  • Membre Elite
  • *****
  • Messages: 2927
  • +169/-5
  • Pentest - Arch - Python - Kali
    • Kali-fr
Re : [Résolu] | RAT Msf ou codé main ou mixte
« Réponse #10 le: 22 août 2020 à 09:53:13 »
C'est pas pour rien que on t'a parlé du C :)
Mess  with the bests.
Die like the rest.