D
Ну мне нет) мне было б удобнее из коробки.. щас мы за 100ню комитов уже позади
Можно попробовать договориться с мсф на отдельную ветку, допилить до интегрированного состояния и в этой ветке будет жить пайлоад
Size: a a a
2018 July 04
D
а я так понял что мтпрокси допилили под текущие реалии немного, хотя то что там фикс размер пакетов при начальном обмене это некруто. в реализации днс каналов кстати этот факт тоже не учитывается, имею ввиду, что всегда фикс размер пакета, сервер и клиент не договариваются о протоколе внутри протокола чтобы усложнить обнаружение и блокировку такого трафика
PS
А кто-нибудь сталкивался с блокировкой нагрузки meterpreter_dns, которую обсуждаем, средствами IPS со штатными сигнатурами? Ну там 7812.* в запросах чтобы отлавливало, итд?
H
А что там за футболки?
H
какой принт
AS
Не видел. Все что видел, это сигнатуры FireEye на саму dll когда большой чанк по АААА шеллкодом читается
AS
Ну и некотрые алерты на ДНС тунель ессно ловят(аномалии по числу запосов на время)
D
банк один делал сигны на днс запросы известной нагрузки, размеры пакетов и сигнатуры битов пакетов там еще были
AS
Футболки принт
AS
PS
ситуация - meterpreter/reverse_http где в LHOST мой домен - вижу резолв домена со стороны цели, шелла нет (допустим, DMZ и файервол нормальные). meterpreter/reverse_dns - нет даже первого резолва, хотя на стенде все работает с обеими нагрузками. Т.е. сплоит точно отрабатывает, что на стенде, что на цели
AS
Винда какая?
PS
2003R2 x32, та самая
PS
dll из которой ROP берется, и в которой overflow не зависит от языка итд
AS
Ну да.. ее слабо тестили... тож на стенде раболо.. аааа
AS
Может днс непрописан локальный ?
PS
у цели? она же резолвит как-то meterpreter/reverse_http
SB
странно конечно, но мб reserse_http не спалил ав, а днс - спалил
AS
Хттп через прокси резолвит может...
AS
Шеллкод же