Старый 24.10.2012, 09:51   #1
Waxid
 
Регистрация: 24.10.2012
Сообщений: 6
Репутация: 0
Exclamation Вопрос про meterpreter

Всем привет! Такая ситуация: meterpreter/bind_tcp загнал в exe. Запустил процесс на виртуалке. В Metasploit выбираю сплойт multi/handler , выбираю payload meterpreter/bind_tcp, высталяю значение для rhost. запускаю, сессия проходит нормально, выхожу командой exit ... И тут сталкиваюсь с проблемой: процесс что на виртуалке висит дальше и слушает , НО больше подключится к нему не могу пока не рестартану систему. На виртуалке ОС windows XP. В чем трабл? Из-за чего следующие коннекты не проходят? Фаеров на виртуалке нет.
Waxid вне форума   Ответить с цитированием
Старый 24.10.2012, 10:21   #2
Waxid
 
Регистрация: 24.10.2012
Сообщений: 6
Репутация: 0
По умолчанию

Заметил, что процесс на виртуалке после закрытия сессии через некоторое время убивается. Как заставить его не убивать себя после отключения? Пробовал мигрировать в другой процесс а потом уже отключаться, но все равно та же картина. Процесс убивается через некоторое время.
Waxid вне форума   Ответить с цитированием
Старый 25.10.2012, 23:52   #3
3t3st3r
 
Аватар для 3t3st3r
 
Регистрация: 16.11.2011
Сообщений: 9
Репутация: 0
По умолчанию

bind - слушать порт на входящий конект, после чего подгрузить стейджер, создать сессию
meterpreter>exit - разорвать сессию, выгрузить длл
другими словами - это одноразовая хрень.
если нужен постоянный бинд порта - юзай metsvc
3t3st3r вне форума   Ответить с цитированием
Старый 26.10.2012, 10:32   #4
Waxid
 
Регистрация: 24.10.2012
Сообщений: 6
Репутация: 0
По умолчанию

Цитата:
Сообщение от 3t3st3r Посмотреть сообщение
bind - слушать порт на входящий конект, после чего подгрузить стейджер, создать сессию
meterpreter>exit - разорвать сессию, выгрузить длл
другими словами - это одноразовая хрень.
если нужен постоянный бинд порта - юзай metsvc
Спасибо. Тоже почитал про EXITFUNC. У меня он по умолчанию в значении process был, а он подразумевает как раз закрытие процесса после команды exit из сессии. Пришлось перечитать книгу про Metasploit.
Waxid вне форума   Ответить с цитированием
Старый 02.11.2012, 18:24   #5
n0_const
 
Регистрация: 02.11.2012
Сообщений: 1
Репутация: 0
По умолчанию

хай, еще можна во время сесии meterpreter использовать команду persistance
n0_const вне форума   Ответить с цитированием
Старый 06.11.2012, 06:14   #6
Waxid
 
Регистрация: 24.10.2012
Сообщений: 6
Репутация: 0
По умолчанию

Цитата:
Сообщение от n0_const Посмотреть сообщение
хай, еще можна во время сесии meterpreter использовать команду persistance
Спасибо за ответ. Да так тоже можно, тока так он по умолчанию будет палиться антивирусами, если только чуток его доработать. Мой ехе закриптован и не палится. Вопрос решил и понял где ошибся. Всем спасибо за ответы )
Waxid вне форума   Ответить с цитированием
Старый 06.06.2013, 12:20   #7
Stoun
 
Регистрация: 06.06.2013
Сообщений: 2
Репутация: 0
По умолчанию

Waxid, а ты не можешь подсказать как ты его закриптовал?
Stoun вне форума   Ответить с цитированием
Старый 06.06.2013, 13:47   #8
lefty
 
Аватар для lefty
 
Регистрация: 01.09.2011
Сообщений: 50
Репутация: 13
По умолчанию

Цитата:
Сообщение от Stoun Посмотреть сообщение
Waxid, а ты не можешь подсказать как ты его закриптовал?
да хотябы так - https://www.christophertruncer.com/veil-a-payload-generator-to-bypass-antivirus/
lefty вне форума   Ответить с цитированием
Старый 06.06.2013, 18:23   #9
Stoun
 
Регистрация: 06.06.2013
Сообщений: 2
Репутация: 0
По умолчанию

lefty, помоги пожалуйста разобраться! Поподробней расскажи!!
Stoun вне форума   Ответить с цитированием
Старый 21.06.2013, 02:22   #10
lefty
 
Аватар для lefty
 
Регистрация: 01.09.2011
Сообщений: 50
Репутация: 13
По умолчанию

Stoun, вот еще:
подробнее, также другие техники
https://community.rapid7.com/community/metasploit/blog/2012/12/14/the-odd-couple-metasploit-and-antivirus-solutions
http://www.scriptjunkie.us/2011/04/why-encoding-does-not-matter-and-how-metasploit-generates-exes/
http://schierlm.users.sourceforge.net/avevasion.html
http://www.pentestgeek.com/2012/01/25/using-metasm-to-avoid-antivirus-detection-ghost-writing-asm/
http://pen-testing.sans.org/blog/2011/10/13/tips-for-evading-anti-virus-during-pen-testing
вот тут в середине презентации - http://www.slideshare.net/pauldotcom/webcast-6-13ppt?ref=http://pauldotcom.com/
и вот тут рассматривают методы борьбы с AV - http://www.trustedsec.com/files/BSIDESLV_Secret_Pentesting_Techniques.pdf
lefty вне форума   Ответить с цитированием
Ответ

Метки
metasploit, meterpreter

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot