严正声明: 本文仅用于实现安全教育目的, 请不要将其用于恶意活动.
前言
如今, 很多恶意软件和 Payload 都会使用各种加密技术和封装技术来绕过反病毒软件的检测, 原因就是 AV 产品很难去检测到经过加密或加壳的恶意软件 (Payload).
今天, 我们要学习是如何使用 VENOM 来生成经过加密的 Payload, 权当为加固安全保护措施抛砖引玉, 未来或许会再出一篇文章来讲一讲如何堵住这个方法.
概述
根据 VENOM 的介绍, 该脚本会使用 MSF venom(Metasploit) 来以不同的格式生成 Shellcode, 比如说 c | python | Ruby | dll | msi |hta-psh 等格式, 并将生成的 Shellcode 注入到一个函数之中 (比如说 Python 函数).
这个 Python 函数将会在 RAM 中执行 Shellcode, 并使用类似 gcc,mingw32 或 Pyinstaller 这样的编译工具来构建可执行文件, 然后开启一个多处理器来处理远程连接 (反向 Shell 货 Meterpreter 会话).
第一步:
由于该工具并不是 Kali 自带的工具, 所以我们需要在 Kali Linux 上进行下载和安装. 大家可以点击 [ 下载链接 ] 直接从 Sourceforge 网站下载 VENOM.
下载并解压之后, 大家就可以运行 VENOM 了.
第二步:
启动工具之后, 工具会要求继续处理后续选项.
第三步:
接下来, 工具会给你显示代码构建, 目标设备, Payload 格式和数据输出等选项.
工具提供了 20 种不同类型的 Shellcode 构建选项, 都列举在下图之中了. 我们在本文中, 选择使用选项 10 来进行演示.
输入 10, 并按下回车键.
第四步:
在这一步骤, 我们需要设置本地主机 IP 地址, 输入本地设备 IP 地址来监听 Payload 之后, 按下 OK 键.
设置好了我们的 LHOST 之后, 工具会要求你设置 LPORT, 提供你想要设置的 LPROT 号, 按下 OK 键.
第五步:
VENOM 自带了很多默认的 msf Payload, 我们这里选择使用 "windows/meterpreter/reverse_tcp".
第六步:
输入需要生成的 Payload 名称, 然后点击 OK.
第七步:
生成好加密的 Payload 之后, 工具将会把 Payload 存储在 VENOM 的文件输出目录中:
root/Desktop/shell/output/gbhackers.hta
第八步:
在成功生成加密后的 Payload 之后, 我们可以用反病毒产品来检测一下:
接下来, 我们看看如何使用 Metasploit 和我们生成的 Payload 来绕过反病毒产品.
第九步:
我们需要开启 Apache 服务器来将恶意 Payload 发送到目标主机中, 选择好服务器后点击 OK 继续.
第十步:
在这一步中, 我们需要连接后渗透模块, 这里我们可以随意选择一个. 由于我需要访问的只有系统信息, 所以我选择 sysinfo.rc 来进行后渗透操作.
这是一个可选操作, 所以你甚至可以手动执行这个模块, 然后用 Metasploit 实现绕过.
第十一步:
最后, 我需要用生成的加密 Payload 在目标主机和我的 Windows 7 主机之间建立 Meterpreter 会话.
在启动在会话处理器之前, 确保你的 Payload 已经成功注入到目标主机之中了. 我这里使用的 URL 为 http://192.168.56.103/ .
注意: 在开始之前, 请检查 LPORT 和 LHOST 设置是否正确.
最后, 我们成功绕过了目标主机的反病毒产品, 并获得了目标设备的完整访问权.
来源: http://www.tuicool.com/articles/2A773i7