本專題文章導航 1�、遠控免殺專題(1)-基礎篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg
2����、遠控免殺專題(2)-msfvenom隱藏的參數:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w
3��、遠控免殺專題(3)-msf自帶免殺(VT免殺率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA
4�����、遠控免殺專題(4)-Evasion模塊(VT免殺率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ
5�、遠控免殺專題(5)-Veil免殺(VT免殺率23/71):
https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw
6�����、遠控免殺專題(6)-Venom免殺(VT免殺率11/71):本文
文章打包下載及相關軟件下載:https://github.com/TideSec/BypassAntiVirus
免殺能力一覽表 幾點說明:
1�����、上表中標識 √ 說明相應殺毒軟件未檢測出病毒,也就是代表了Bypass����。
2���、為了更好的對比效果,大部分測試payload均使用msf的windows/meterperter/reverse_tcp模塊生成���。
3��、由于本機測試時只是安裝了360全家桶和火絨,所以默認情況下360和火絨殺毒情況指的是靜態+動態查殺�。360殺毒版本5.0.0.8160(2019.12.12),火絨版本5.0.33.13(2019.12.12),360安全衛士12.0.0.2001(2019.12.17)�。
4�、其他殺軟的檢測指標是在virustotal.com(簡稱VT)上在線查殺,所以可能只是代表了靜態查殺能力,數據僅供參考,不足以作為免殺的精確判斷指標�。
前言 Venom和Veil���、Shellter是三大老牌免殺工具,免殺主要依靠分離執行和加密混淆等技術,可以和msf無縫對接�。
Venom利用msfvenom(metasploit)生成不同的格式的shellcode,如(c | python | ruby | dll | msi | hta-psh)等,然后將生成的shellcode注入一個模板(例如:python),并使用類似gcc�、mingw32或pyinstaller之類的編譯器生成可執行文件����。
Venom的一些功能還會直接調用Veil-Evasion.py,unicorn.py,powersploit.py等來直接創建免殺程序,避免重復造輪子����。
安裝venom venom安裝和運行必須是在圖形界面下,如果是ssh終端連接到kali進行連接是不行的,我安裝venom是用的parrot 4.4系統�。
venom依賴的軟件比較多,所以安裝出現問題是很正常的��。�����。請做好心里準備~
Zenity | Metasploit | GCC (compiler) | Pyinstaller (compiler)mingw32 (compiler) | pyherion.py (crypter) | wine (emulator)PEScrambler.exe (PE obfuscator) | apache2 (webserver)| winrar (wine)vbs-obfuscator (obfuscator) | avet (Daniel Sauder) | shellter (KyRecon)ettercap (MitM + DNS_Spoofing) | encrypt_PolarSSL (AES crypter)1�����、從github上拖到本地
git clone https://github.com/r00t-3xp10it/venom.git`2�、修改文件執行權限
cd venomsudo chmod -R +x *.shsudo chmod -R +x *.py`3��、安裝依賴庫和軟件
cd auxsudo ./setup.sh4�、運行venom
sudo ./venom.sh我在執行安裝中,遇到了幾個坑,其中遇到zenity報錯信息,翻遍了官方Github也沒找到解決辦法,報錯信息如下:
zenity: relocation error: /usr/lib/x86_64-linux-gnu/libxslt.so.1: symbol xmlBufContent version LIBXML2_2.9.0 not defined in file libxml2.so.2 with link time reference后來經分析,發現系統中存在多個libxml2.so.2文件,使用locate可定位��。
將系統中/usr/local/lib/目錄下的libxml2.so.2從libxml2.so.2.7.8更換為libxml2.so.2.9.4
mv /usr/local/lib/libxml2.so.2.7.8 /usr/local/lib/libxml2.so.2.7.8_bakmv /usr/local/lib/libxml2.so.2 /usr/local/lib/libxml2.so.2_bakln -s /usr/lib/x86_64-linux-gnu/libxml2.so.2.9.4 /usr/local/lib/libxml2.so.2之后可正常安裝����。
另外注意,在parrot系統中,root用戶無法直接使用systemctl start apache2.service開啟apache等服務,必須普通用戶才行�。否則會提示
#systemctl restart apache2.serviceFailed to restart apache2.service: Access deniedSee system logs and 'systemctl status apache2.service' for details.venom生成exe(VT查殺率23/71) 啟動venom:sudo ./venom.sh
然后選擇windows,也就是2
然后會列出所有windows可用的20個agent
支持的種類還是比較全面的,shellter����、avet等免殺工具都內置在里面了,而且支持很多種類似的payload格式
我們先生成一個最簡單直接的,第4個模塊,通過C編譯EXE程序
在輸入4之后,會彈出一個框讓你輸入ip地址,這個就是你msf監聽主機的地址,我的就是10.211.55.2了,不要看著上面那個example還有子網掩碼什么的就照著輸�。
然后輸入端口 號之后,選擇payload,我還是選擇最常規的windows/meterperter/reverse_tcp
再輸入一個文件名
然后在編譯和生成exe的過程中,會彈出來兩個選項框,一般默認就行
之后會提示已經生成,并詢問你如何分發payload,我就直接在測試機上執行就行了�。
在測試機執行后,發現360安全衛士和360殺毒靜態檢測沒問題,但行為檢測都能查殺出為病毒
火絨則靜態+動態都沒有檢測到
virustotal.com中19/71個報毒
venom生成dll(VT查殺率11/70) 我們再試一下其他模塊的免殺效果,選擇windows之后,在agent中選擇第1個,生成dll
后面的操作和上面那個差不多,然后就能看到生成了dll_msf.dll文件
講文件拷貝到測試機上,命令行中執行rundll32.exe dll_msf.dll,main,可動靜態免殺過360和火絨
msf正常上線
virustotal.com中11/70個報毒,過了微軟和卡巴了~
小結 venom是一個綜合性非常強大的工具,而且支持生成多平臺payload,比如android�、ios�����、linux/unix�����、office等等,我這里也只是簡單演示了windows下的兩個agent,其他還有很多agent模塊免殺能力很強,比如18 shellter模塊等等����。
在venom生成編譯的過程中可以看到他生成的shellcode其實是直接調用的msfvenom,而且在最后也可以和msf聯動進行監聽,還支持apache的web分發,很多模塊都能和msf無縫對接,雖然被殺軟盯的緊但免殺體驗還是不錯的����。
參考整理 利用meterpreter下的Venom免殺后門:https://www.cnblogs.com/wh4am1/p/7469625.html
免殺后門venom :https://www.ggsec.cn/venom.html
專注于普及網絡安全知識���。團隊已出版《Web安全攻防:滲透測試實戰指南》,《內網 安全攻防:滲透測試實戰指南》,目前在編Python滲透測試,JAVA代碼審計和二進制逆向方面的書籍����。
團隊公眾號定期分享關于CTF靶場���、內網滲透����、APT方面技術干貨,從零開始�����、以實戰落地為主,致力于做一個實用的干貨分享型公眾號��。
官方網站 :www.ms08067.com
