Annonce

Réduire
Aucune annonce.

Payload reverse_tcp et maintiens d'accès ?

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Payload reverse_tcp et maintiens d'accès ?

    Bonsoir, on parle souvent du payload windows/meterpreter/reverse_tcp qui est le plus utlisé , mais je l'ai testé sur plusieurs de mes VM et je me rends compte de quelques petites choses dont j'aimerais vous faire part ...

    Si le poste est éteint après l'execution du payload = KO plus de possibilité d'ouvrir de shell ou d'exploit le poste, donc ça veut dire qu'il faut être devant sa console multi/handler prêt à ouvrir un shell et exploit ou balancer un backdoor pour pouvoir revenir ??
    La personne qui veut nuire n'est pas devant sa console toute la journée à attendre que la personne ouvre le payload ? Donc comment ça se gère ça ? un script qui, si une connexion se fait alors fait tel ou tel commandes ?!

    Pouvez vous m'en dire plus svp ?
    Dernière modification par _47, 07 novembre 2016, 19h57. Motif: renommage titre

  • #2
    je n'ai pas encore abordé le sujet dans mon apprentissage, mais voici ce que je comprends actuellement: le payload, c'est le moment où tu as une ouverture dans le système en exploitant une faille. Si la machine est redémarrée, tu perds cette possibilité vu que ton payload n'est pas forcément exécuté, Donc une fois que tu as exploité, tu as une phase de post exploit où tu t'arranges pour pouvoir revenir sur le système avec une backdoor ou autres comme tu le dis.

    Ceux qui font des actes malveillants automatisent le process: une fois le payload exécuté, souvent du code en plus est exécuté derrière pour soit installer une backdoor directement, soit télécharger depuis un serveur distant d'autres codes. Mais c'est le payload ou le code qui l'accompagne qui va piloter cette tâche, et clairement pas le pirate lui-même ^^ et la machine compromise est ensuite à l'écoute d'un serveur maitre d'où elle peut recevoir des instructions et là ça peut prendre différentes formes: chan irc, compte twitter, et autres que je ne connais pas

    Commentaire


    • #3
      Hello, oui merci [email protected]$eeker.

      Généralement tu utilise un payload type Reverse_shell afin d'obtenir un 1er accès à la machine, ensuite tu te sers de cet accès, soit pour implémenter un malware "durable" (qui sera ré-exécuté à chaque lancement (via le registre pour Windows par ex)), soit pour mettre en place une backdoor, etc. C'est ce qu'on appelle la phase de "maintiens d'accès".

      Un payload n'est pas censé être utilisé à long terme.


      Suivre Hackademics: Twitter, Google+, Facebook.

      Commentaire


      • #4
        Ok je vous remercie de vos réponses

        Commentaire

        Chargement...
        X