Как обойти антивирусную защиту после компрометации системы
https://t.me/Torchik_Ru![](/file/4e8abd1aa9f224782901a.png)
Всем читателям доброго времени! Сегодня решил описать как можно избавиться от надоедливого ,для нашего дела, антивируса
Так вот как обычно получалось у меня, после получении сессии метерпретер я ничего не мог сделать, что было нужно для меня, блокировал антивирус.
Перейдем от слов к делу, у нас имеется:
1. Система windows 7 x64, с уязвимостью ms17_010;
2.Телефон под управление андроид с предустановленными Termux и metasploit;
3.Установленный антивирус ESET, обновленный и в полной готовности противостоять нам
![](/file/3ab4eea33ffbb112339f4.png)
И так начнем, для начала получаем сессию метерпретер средствами ms17_010 или как вам удобнее, после этого допустим пытаемся получить shell:
![](/file/e499d841e30c104ff35ea.png)
Шелл получить не удается, попробуем создать папку:
![](/file/2c0937d92c964d4b507e9.png)
Создать папку получилось, что ж залью майнер, может быть юзер увидит ему станет интересно и он сам запустит этот файл, так как шелла то нету.
![](/file/9477d1784c21653492c80.png)
Нет, все таки антивирус спалил, так что не получилось ну и ладно, найдем другую уязвимую систему....
Шучу, шучу....) Конечно же мы продолжим..))
Так теперь подгрузим powershell, и посмотрим будет ли он выполнять наши команды:
![](/file/646325169264105b3e2a3.png)
Дату показал. Теперь перейдем к интересному, получим список установленных программ:
![](/file/991b82c4e228ce9a759b9.png)
Тут мы видим наш горячо (не)любимый антивирус.
Пробуем удалять:
![](/file/ff2eb400cb7df81eb9e21.png)
Вот в этот момент я думал что ничего не получилось, но прошло минуты три и я боковым зрением уловил какое то движение на уязвимой системе:
![](/file/e7678d1f77f8ce5a57418.png)
Посмотрев список установленных программ, антивируса не увидел:
![](/file/8aba48a92c8a6e49016b8.png)
Телефон больше никаких признаков не подавал*, поэтому нажатием ctrl + c , я остановил этот процесс и решил попытаться заново залить свой майнер и рмс. Через шелл запускаю рмс, хотя можно и через метерпретер командой execute, но мне было интересно именно так. На почту приходит id рмс:
![](/file/677aa738662087c65e6bf.png)
И подключились:
![](/file/d5906e8f87b871f64eed9.png)
*Примечание: В последующий раз при удаление антивируса, по окончанию ответ все таки приходил:
![](/file/cf7c6189ffa38d3e50fbe.png)
[Источник]