远控免杀技术-Veil免杀

前言

Veil、Venom和Shellter是三大老牌免杀工具,Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。

安装

 安装分两种,一种是手动安装,一种是docker安全装,这里建议使用docker安装,方便快捷

镜像地址:

https://hub.docker.com/r/mattiasohlsson/veil/

在kali里安装docker后,添加docker加速镜像地址vi /etc/docker/daemon.json

{
    "registry-mirrors": [
        "https://1nj0zren.mirror.aliyuncs.com",
        "https://docker.mirrors.ustc.edu.cn",
        "http://f1361db2.m.daocloud.io",
        "https://registry.docker-cn.com"
    ]
}

然后重启docker服务

systemctl daemon-reloadsystemctl restart docker

拉取veil镜像

docker pull mattiasohlsson/veil

拉取成功后,使用该镜像启动容器,并将生成免杀文件的目录映射到宿主机的/tmp目录中

docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

出现以下界面,则安装成功

 

 

 基础使用

veil中有两个功能模块,Evasion和Ordnance,其中Evasion来做文件免杀,命令帮助信息如下

 

 

 Evasion中包含了很多种payload,我们先选择Evasion,再列出所有payload信息

use 1
list

 

 

 metasploit免杀

veil中可以直接通过meterpreter生成免杀文件,这里我们选择使用python语言编码生成tcp的马

在选择的时候不用输入payload全名,使用use跟前面的序号就可以

use 28

 

 

 

 然后设置好LHOST和LPORT,再使用generate生成。

输入一个文件名称,对生成的文件命名

选择生成方式,选择默认用pyinstaller生成exe文件(直接敲回车就行)

生成完成,因为在启动容器的时候已经将生成文件目录映射到宿主机的/tmp目录了,这样就不用使用docker cp往宿主机中拷贝了,直接在宿主机/tmp目录下找就可以

 

 启动msf,配置msf过程不再详细赘述,平时反弹shell怎么配置就怎么配置,但是要跟上面设置的LHOST和LPOT相同

 

 在window7虚拟机中运行木马,回弹成功

 

使用360杀毒对木马进行检测,未检测到木马

 

 文件免杀

同样使用python进行编码,对cobaltstrike的木马进行免杀

cobaltstrike的基本使用在这里多赘述

启动teamserver,创建好监听器,生成payload

 

 

 

 veil中选择29(aes)

 

 直接输入generate

 

 选择3,将刚才生成的payload.txt中的编码复制过来

 

 后面生成文件的过程就一样了,同样选择pyinstaller生成,放到windows7虚拟机中运行,上线成功

 

 使用360杀毒对木马进行检测,未检测到木马

 

 参考文献

https://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247484786&idx=1&sn=ad9d407c1609fec077e5d58860de7385&scene=21#wechat_redirect

posted @ 2021-01-25 13:27  xuanlv、  阅读(2506)  评论(0编辑  收藏  举报