Veil-Evasion 是一个用 python 写的免杀框架,可以将任意脚本或一段 shellcode 转换成Windows 可执行文件,还能利用Metasploit框架生成相兼容的 Payload 工具,从而逃避了常见防病毒产品的检测。
安装veil
veil 地址:
https://github.com/Veil-Framework/Veil
kali 快速安装
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent
安装过程中很容易有各种报错,依赖包等等,也可以使用docker镜像直接安装
docker安装
安装docker环境,这里不复述了
拉取veil镜像
docker pull mattiasohlsson/veil
拉取后执行:
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
v /tmp/veil-output:/var/lib/veil/output:z 是将宿主机的 /tmp/veil-output
录映射到 docker 里面,这样 veil 生成的 payload 可以直接在宿主机里使用。
之后我们启动镜像之后,使用下面命令
dk ps -a //查看启动的镜像
dk exec -it 4ae72dc914c9 /bin/bash
执行 veil命令可启动,版本为 3.1.1
veil使用
veil 有两个免杀的工具,Evasion 和Ordnance。
Ordnance 可生成在 Veil-Evasion 中使用的 shellcode,Evasion 是用做文件免杀
我们一般选择Evasion
Veil>: use 1 #选择Evasion功能
Veil/Evasion>: list #查看payload列表
使用list可以查看到41种stager
推荐使用go和ruby语言encode的编码方式。
试一下使用go生成
Veil/Evasion>: use 16
输入监听的主机和端口就可以
然后再设定生成的payload名字
因为之前已经做过映射,所以在宿主机的/tmp/veil-output/compiled/目录可直接看到生成的exe文件
在msf中监听
测试主机发现可以上线
我这里使用virus进行测试
原文始发于微信公众号(白安全组):老牌免杀工具veil免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论